{"id":398553,"date":"2022-10-05T10:49:25","date_gmt":"2022-10-05T12:49:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/vous-voulez-un-logiciel-plus-securise-commencez-a-reconnaitre-les-developpeurs-qualifies-en-securite\/"},"modified":"2022-10-05T10:49:27","modified_gmt":"2022-10-05T12:49:27","slug":"vous-voulez-un-logiciel-plus-securise-commencez-a-reconnaitre-les-developpeurs-qualifies-en-securite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/vous-voulez-un-logiciel-plus-securise-commencez-a-reconnaitre-les-developpeurs-qualifies-en-securite\/","title":{"rendered":"Vous voulez un logiciel plus s\u00e9curis\u00e9\u00a0?  Commencez \u00e0 reconna\u00eetre les d\u00e9veloppeurs qualifi\u00e9s en s\u00e9curit\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p><em>Les d\u00e9veloppeurs professionnels veulent faire ce qu&#8217;il faut, mais en termes de s\u00e9curit\u00e9, ils sont rarement configur\u00e9s pour r\u00e9ussir.  Les organisations doivent soutenir leur perfectionnement avec une formation de pr\u00e9cision et des incitations si elles veulent un logiciel s\u00e9curis\u00e9 \u00e0 partir de z\u00e9ro.<\/em><\/p>\n<p>Le paysage des cybermenaces se complexifie de jour en jour, nos donn\u00e9es \u00e9tant largement consid\u00e9r\u00e9es comme un \u00ab\u00a0or num\u00e9rique\u00a0\u00bb hautement souhaitable.  Les attaquants analysent constamment les r\u00e9seaux \u00e0 la recherche d&#8217;applications, de programmes, d&#8217;instances cloud vuln\u00e9rables, et la derni\u00e8re saveur du mois est les API, avec Gartner <a rel=\"nofollow noopener\" href=\"https:\/\/www.gartner.com\/en\/webinars\/4002323\/api-security-protect-your-apis-from-attacks-and-data-breaches\" target=\"_blank\">pr\u00e9dire correctement<\/a> qu&#8217;ils deviendraient le vecteur d&#8217;attaque le plus courant en 2022, et c&#8217;est en grande partie gr\u00e2ce \u00e0 leurs contr\u00f4les de s\u00e9curit\u00e9 souvent laxistes. <\/p>\n<p>Les acteurs de la menace sont si persistants que de nouvelles applications peuvent parfois \u00eatre compromises et exploit\u00e9es dans les heures qui suivent leur d\u00e9ploiement.  La <a rel=\"nofollow noopener\" href=\"https:\/\/www.verizon.com\/business\/resources\/reports\/dbir\/\" target=\"_blank\">Rapport d&#8217;enqu\u00eate sur les violations de donn\u00e9es Verizon 2022<\/a> r\u00e9v\u00e8le que les erreurs et les erreurs de configuration \u00e9taient \u00e0 l&#8217;origine de 13 % des violations, l&#8217;\u00e9l\u00e9ment humain \u00e9tant globalement responsable de 82 % des 23 000 incidents analys\u00e9s.<\/p>\n<p>Il devient tr\u00e8s clair que la seule fa\u00e7on de vraiment fortifier le logiciel en cours de cr\u00e9ation est de s&#8217;assurer qu&#8217;il repose sur un code s\u00e9curis\u00e9.  En d&#8217;autres termes, la meilleure fa\u00e7on d&#8217;arr\u00eater l&#8217;invasion des acteurs mena\u00e7ants est de leur refuser d&#8217;abord l&#8217;acc\u00e8s \u00e0 votre logiciel.  Les cybercriminels ont un net avantage face aux organisations qui se bousculent pour d\u00e9fendre leur surface d&#8217;attaque souvent vaste, et toute fen\u00eatre d&#8217;opportunit\u00e9 qui peut \u00eatre ferm\u00e9e pour de bon r\u00e9duit consid\u00e9rablement les risques.<\/p>\n<h2><strong>Nous emp\u00eachons les stars de la s\u00e9curit\u00e9 de briller<\/strong><\/h2>\n<p>Le statu quo actuel pour les d\u00e9veloppeurs de nombreuses organisations est tel que leur r\u00f4le principal est de cr\u00e9er des fonctionnalit\u00e9s impressionnantes et de d\u00e9ployer rapidement des logiciels.  Plus les d\u00e9veloppeurs peuvent coder et d\u00e9ployer rapidement, plus ils ont tendance \u00e0 \u00eatre consid\u00e9r\u00e9s comme pr\u00e9cieux en termes d&#8217;\u00e9valuation des performances.<\/p>\n<p>La s\u00e9curit\u00e9 peut \u00eatre une r\u00e9flexion apr\u00e8s coup, si elle n&#8217;est pas prise en compte du tout, et est manifestement absente en tant que mesure du succ\u00e8s des d\u00e9veloppeurs.  La <a rel=\"nofollow noopener\" href=\"https:\/\/discover.securecodewarrior.com\/state-of-developer-driven-security-2022.html\" target=\"_blank\">Enqu\u00eate 2022 sur l&#8217;\u00e9tat de la s\u00e9curit\u00e9 pilot\u00e9e par les d\u00e9veloppeurs<\/a> en collaboration avec Evans Data soutient cette perspective, 86 % des d\u00e9veloppeurs interrog\u00e9s r\u00e9v\u00e9lant qu&#8217;ils ne consid\u00e8rent pas la s\u00e9curit\u00e9 des applications comme une priorit\u00e9 absolue.  Au lieu de cela, une grande partie de cela est laiss\u00e9e aux \u00e9quipes de s\u00e9curit\u00e9 des applications (AppSec) pour le comprendre.  Les \u00e9quipes AppSec ont tendance \u00e0 \u00eatre une source de frustration pour la plupart des d\u00e9veloppeurs, car elles renvoyaient souvent des applications termin\u00e9es en d\u00e9veloppement pour appliquer des correctifs de s\u00e9curit\u00e9 ou pour r\u00e9\u00e9crire du code afin de rem\u00e9dier \u00e0 des vuln\u00e9rabilit\u00e9s.  Et chaque heure qu&#8217;un d\u00e9veloppeur passait \u00e0 travailler sur une application d\u00e9j\u00e0 &#8220;termin\u00e9e&#8221; \u00e9tait une heure pendant laquelle il ne cr\u00e9ait pas de nouvelles applications et fonctionnalit\u00e9s, diminuant ainsi leurs performances (et leur valeur, aux yeux d&#8217;une entreprise particuli\u00e8rement punitive).<\/p>\n<p>Cependant, l&#8217;environnement moderne des menaces a oblig\u00e9 tout le monde, des entreprises aux minist\u00e8res, \u00e0 repenser l&#8217;importance et la hi\u00e9rarchisation de la s\u00e9curit\u00e9, et ils seraient bien plac\u00e9s pour consid\u00e9rer comment la cohorte de d\u00e9veloppement s&#8217;inscrit dans une approche d\u00e9fensive.  Selon le r\u00e9cent <a rel=\"nofollow noopener\" href=\"https:\/\/www.ibm.com\/security\/data-breach\" target=\"_blank\">Rapport 2022 sur le co\u00fbt d&#8217;une violation de donn\u00e9es<\/a> d&#8217;IBM et du Ponemon Institute, la violation moyenne de la cybers\u00e9curit\u00e9 co\u00fbte d\u00e9sormais environ 4,24 millions de dollars par incident, bien que ce ne soit pas la limite sup\u00e9rieure.  Les entreprises d&#8217;aujourd&#8217;hui veulent la s\u00e9curit\u00e9 offerte par DevSecOps, mais, malheureusement, ont \u00e9t\u00e9 lentes \u00e0 r\u00e9compenser les d\u00e9veloppeurs qui r\u00e9pondent \u00e0 cet appel.<\/p>\n<p>Dire simplement aux \u00e9quipes de d\u00e9veloppement de tenir compte de la s\u00e9curit\u00e9 ne fonctionnera pas, surtout si elles sont toujours incit\u00e9es uniquement en fonction de la vitesse.  En fait, dans un tel syst\u00e8me, les d\u00e9veloppeurs qui prennent le temps de se renseigner sur la s\u00e9curit\u00e9 et de s\u00e9curiser leur code pourraient en fait perdre de meilleures \u00e9valuations de performances et des bonus lucratifs que leurs coll\u00e8gues moins conscients de la s\u00e9curit\u00e9 continuent de gagner.  C&#8217;est presque comme si les entreprises truquaient involontairement le syst\u00e8me pour leurs propres lacunes en mati\u00e8re de s\u00e9curit\u00e9, et cela revient \u00e0 leur perception de l&#8217;\u00e9quipe de d\u00e9veloppement.  S&#8217;ils ne les consid\u00e8rent pas comme les premi\u00e8res lignes de la s\u00e9curit\u00e9, il est tr\u00e8s peu probable qu&#8217;un plan viable d&#8217;utilisation de leur main-d&#8217;\u0153uvre se concr\u00e9tise.<\/p>\n<p>Et cela ne tient m\u00eame pas compte du manque de formation.  Certains d\u00e9veloppeurs tr\u00e8s comp\u00e9tents ont des d\u00e9cennies d&#8217;exp\u00e9rience dans le codage, mais tr\u00e8s peu en mati\u00e8re de s\u00e9curit\u00e9\u2026 apr\u00e8s tout, cela ne leur a jamais \u00e9t\u00e9 demand\u00e9, ni une mesure de r\u00e9ussite ou de qualit\u00e9 du travail.  \u00c0 moins qu&#8217;une entreprise ne propose un bon programme de formation, elle ne peut gu\u00e8re s&#8217;attendre \u00e0 ce que ses d\u00e9veloppeurs acqui\u00e8rent soudainement de nouvelles comp\u00e9tences et les mettent en action d&#8217;une mani\u00e8re significative qui r\u00e9duise activement les vuln\u00e9rabilit\u00e9s.<\/p>\n<p>(<strong><em>Vous voulez affronter d&#8217;autres d\u00e9veloppeurs d&#8217;\u00e9lite du monde entier ou nommer votre propre \u00e9quipe de d\u00e9veloppeurs de superstars de la s\u00e9curit\u00e9\u00a0?  Rejoindre <\/em><\/strong><a rel=\"nofollow noopener\" href=\"https:\/\/securecodewarrior.com?utm_source=onlineadvertising&amp;utm_medium=hackernews&amp;utm_campaign=devlympics&amp;utm_content=sponsored\" target=\"_blank\"><strong><em>Guerrier du code s\u00e9curis\u00e9<\/em><\/strong><\/a><strong><em>c&#8217;est <\/em><\/strong><a rel=\"nofollow noopener\" href=\"https:\/\/discover.securecodewarrior.com\/devlympics-register.html?utm_source=hackernews&amp;utm_medium=cpc&amp;utm_campaign=2022-08-q4-devlympics\" target=\"_blank\"><strong><em>Jeux olympiques de d\u00e9veloppement 2022<\/em><\/strong><\/a><strong><em>notre plus grand et meilleur tournoi mondial de codage s\u00e9curis\u00e9, et vous pourriez gagner gros\u00a0!)<\/em><\/strong><\/p>\n<h2><strong>R\u00e9compenser les d\u00e9veloppeurs pour leurs bonnes pratiques de s\u00e9curit\u00e9<\/strong><\/h2>\n<p>La bonne nouvelle est que l&#8217;\u00e9crasante majorit\u00e9 des d\u00e9veloppeurs font leur travail parce qu&#8217;ils le trouvent \u00e0 la fois stimulant et gratifiant, et parce qu&#8217;ils appr\u00e9cient le respect que leur poste implique.  Ing\u00e9nieur logiciel \u00e0 vie Michael Shpilt <a rel=\"nofollow noopener\" href=\"https:\/\/michaelscodingspot.com\/motivation-of-software-developers\/\" target=\"_blank\">a r\u00e9cemment \u00e9crit sur<\/a> toutes ces choses qui le motivent, lui et ses coll\u00e8gues, dans leur travail de d\u00e9veloppement.  Oui, il \u00e9num\u00e8re la compensation mon\u00e9taire parmi ces incitations, mais c&#8217;est \u00e9tonnamment loin dans la liste.  Au lieu de cela, il donne la priorit\u00e9 au frisson de cr\u00e9er quelque chose de nouveau, au d\u00e9veloppement des comp\u00e9tences et \u00e0 la satisfaction de savoir que son travail va \u00eatre directement utilis\u00e9 pour aider les autres.  Il parle \u00e9galement de vouloir se sentir valoris\u00e9 au sein de son entreprise et de sa communaut\u00e9.  En bref, les d\u00e9veloppeurs ne sont pas diff\u00e9rents de beaucoup de bonnes personnes qui sont fi\u00e8res de leur travail.<\/p>\n<p>Les d\u00e9veloppeurs comme Shpilt ne veulent pas que les pirates compromettent leur code et l&#8217;utilisent pour nuire \u00e0 leur entreprise ou aux utilisateurs qu&#8217;ils essaient d&#8217;aider.  Mais, ils ne peuvent pas soudainement d\u00e9placer leurs priorit\u00e9s vers la s\u00e9curit\u00e9 sans soutien. <\/p>\n<p>Pour aider les \u00e9quipes de d\u00e9veloppement \u00e0 am\u00e9liorer leurs prouesses en mati\u00e8re de cybers\u00e9curit\u00e9, il faut d&#8217;abord leur enseigner les comp\u00e9tences n\u00e9cessaires.  L&#8217;utilisation d&#8217;une approche \u00e0 plusieurs niveaux de l&#8217;apprentissage &#8211; ainsi que des outils sp\u00e9cialement con\u00e7us pour s&#8217;int\u00e9grer de mani\u00e8re transparente dans leur flux de travail r\u00e9el &#8211; peut rendre ce processus beaucoup moins p\u00e9nible tout en aidant \u00e0 s&#8217;appuyer sur les connaissances existantes dans le bon contexte. <\/p>\n<p>Avec un engagement \u00e0 am\u00e9liorer les comp\u00e9tences en place, les anciennes m\u00e9thodes d&#8217;\u00e9valuation des d\u00e9veloppeurs bas\u00e9es uniquement sur la vitesse doivent \u00eatre \u00e9limin\u00e9es.  Au lieu de cela, les d\u00e9veloppeurs devraient \u00eatre r\u00e9compens\u00e9s en fonction de leur capacit\u00e9 \u00e0 cr\u00e9er de bons mod\u00e8les de codage s\u00e9curis\u00e9s, les meilleurs candidats devenant <a rel=\"nofollow noopener\" href=\"https:\/\/www.securecodewarrior.com\/blog\/managers-and-security-champions-the-pied-pipers-and-critical-influencers-of-secure-coding-practice\" target=\"_blank\">champions de la s\u00e9curit\u00e9<\/a> qui aident le reste de l&#8217;\u00e9quipe \u00e0 am\u00e9liorer leurs comp\u00e9tences.  Et ces champions doivent \u00eatre r\u00e9compens\u00e9s \u00e0 la fois par le prestige de l&#8217;entreprise et par une compensation mon\u00e9taire.  Il est \u00e9galement important de se rappeler que les d\u00e9veloppeurs n&#8217;ont g\u00e9n\u00e9ralement pas une exp\u00e9rience positive de la s\u00e9curit\u00e9, et les \u00e9lever avec un apprentissage positif et amusant et des incitations qui correspondent \u00e0 leurs int\u00e9r\u00eats contribueront grandement \u00e0 assurer \u00e0 la fois la r\u00e9tention des connaissances et le d\u00e9sir de continuer \u00e0 d\u00e9velopper leurs comp\u00e9tences. .<\/p>\n<p>(<strong><em>Vous voulez affronter d&#8217;autres d\u00e9veloppeurs d&#8217;\u00e9lite du monde entier ou nommer votre propre \u00e9quipe de d\u00e9veloppeurs de superstars de la s\u00e9curit\u00e9\u00a0?  Rejoindre <\/em><\/strong><a rel=\"nofollow noopener\" href=\"https:\/\/securecodewarrior.com?utm_source=onlineadvertising&amp;utm_medium=hackernews&amp;utm_campaign=devlympics&amp;utm_content=sponsored\" target=\"_blank\"><strong><em>Guerrier du code s\u00e9curis\u00e9<\/em><\/strong><\/a><strong><em>c&#8217;est <\/em><\/strong><a rel=\"nofollow noopener\" href=\"https:\/\/discover.securecodewarrior.com\/devlympics-register.html?utm_source=hackernews&amp;utm_medium=cpc&amp;utm_campaign=2022-08-q4-devlympics\" target=\"_blank\"><strong><em>Jeux olympiques de d\u00e9veloppement 2022<\/em><\/strong><\/a><strong><em>et vous pourriez remporter un gros prix en cash dans nos tournois mondiaux\u00a0!)<\/em><\/strong><\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/want-more-secure-software-start.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les d\u00e9veloppeurs professionnels veulent faire ce qu&#8217;il faut, mais en termes de s\u00e9curit\u00e9, ils sont rarement configur\u00e9s pour r\u00e9ussir. Les organisations doivent soutenir leur perfectionnement avec une formation de pr\u00e9cision et des incitations si elles veulent un logiciel s\u00e9curis\u00e9 \u00e0 partir de z\u00e9ro. Le paysage des cybermenaces se complexifie de jour en jour, nos donn\u00e9es [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":398554,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10634,4168,4158,4165,4161,11530,4157,4159,4171,4170,65,6816,4167,4160,4163,4162,26804,786,36264,1835,4172,4169,4166,15355,188,4164],"class_list":["post-398553","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-commencez","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-developpeurs","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-qualifies","tag-reconnaitre","tag-securise","tag-securite","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-voulez","tag-vous","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/398553","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=398553"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/398553\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/398554"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=398553"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=398553"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=398553"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}