{"id":490872,"date":"2022-12-01T21:06:28","date_gmt":"2022-12-01T23:06:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ce-dont-les-developpeurs-ont-besoin-pour-lutter-contre-les-vulnerabilites-courantes\/"},"modified":"2022-12-01T21:06:30","modified_gmt":"2022-12-01T23:06:30","slug":"ce-dont-les-developpeurs-ont-besoin-pour-lutter-contre-les-vulnerabilites-courantes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ce-dont-les-developpeurs-ont-besoin-pour-lutter-contre-les-vulnerabilites-courantes\/","title":{"rendered":"Ce dont les d\u00e9veloppeurs ont besoin pour lutter contre les vuln\u00e9rabilit\u00e9s courantes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le paysage des menaces d&#8217;aujourd&#8217;hui est en constante \u00e9volution, et maintenant plus que jamais, les organisations et les entreprises de tous les secteurs ont un besoin critique de produire et de maintenir constamment des logiciels s\u00e9curis\u00e9s.  Alors que certains secteurs verticaux &#8211; comme le secteur financier, par exemple &#8211; sont soumis \u00e0 des exigences r\u00e9glementaires et de conformit\u00e9 depuis un certain temps, nous constatons une augmentation constante de l&#8217;attention port\u00e9e aux meilleures pratiques en mati\u00e8re de cybers\u00e9curit\u00e9 aux plus hauts niveaux du gouvernement, avec les \u00c9tats-Unis, le Royaume-Uni et L&#8217;Australie a tous mis en lumi\u00e8re tr\u00e8s r\u00e9cemment la n\u00e9cessit\u00e9 d&#8217;un d\u00e9veloppement s\u00e9curis\u00e9 \u00e0 chaque \u00e9tape du SDLC. <\/p>\n<p>Malgr\u00e9 cela, les attaquants trouvent constamment de nouvelles fa\u00e7ons de contourner m\u00eame les protections et les d\u00e9fenses les plus avanc\u00e9es.  Par exemple, beaucoup ont d\u00e9plac\u00e9 leur attention de la diffusion de logiciels malveillants vers la compromission des API ou le lancement d&#8217;attaques cibl\u00e9es. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/sites\/default\/files\/publications\/defending_against_software_supply_chain_attacks_508_1.pdf\" target=\"_blank\">contre une cha\u00eene d&#8217;approvisionnement<\/a>.  Et bien que ces incidents de haut niveau se produisent avec une fr\u00e9quence beaucoup plus \u00e9lev\u00e9e, il en va de m\u00eame pour les exploits plus simplistes tels que les scripts intersites et l&#8217;injection SQL, qui sont tous deux un fl\u00e9au pour les d\u00e9fenses de la cybers\u00e9curit\u00e9 depuis des d\u00e9cennies.  Juste <a rel=\"nofollow noopener\" href=\"https:\/\/www.searchenginejournal.com\/woocommerce-vulnerabilities\/470996\/\" target=\"_blank\">le mois dernier<\/a>une vuln\u00e9rabilit\u00e9 critique d&#8217;injection SQL a \u00e9t\u00e9 signal\u00e9e dans un plugin WooCommerce WordPress, avec un indice de gravit\u00e9 de 9,8\/10. <\/p>\n<p>Il devient \u00e9vident que si les plates-formes et les d\u00e9fenses de cybers\u00e9curit\u00e9 sont des composants essentiels de la d\u00e9fense contre les attaques modernes, ce dont on a vraiment besoin, c&#8217;est d&#8217;un code s\u00e9curis\u00e9 pouvant \u00eatre d\u00e9ploy\u00e9 sans vuln\u00e9rabilit\u00e9s.  Et cela n\u00e9cessite une augmentation d\u00e9lib\u00e9r\u00e9e et engag\u00e9e des normes de codage s\u00e9curis\u00e9, actionn\u00e9e par des d\u00e9veloppeurs soucieux de la s\u00e9curit\u00e9.<\/p>\n<p>De nombreux d\u00e9veloppeurs disent qu&#8217;ils sont pr\u00eats \u00e0 d\u00e9fendre la s\u00e9curit\u00e9 et \u00e0 s&#8217;engager \u00e0 respecter des normes plus \u00e9lev\u00e9es de qualit\u00e9 de code et de sortie s\u00e9curis\u00e9e, mais ils ne peuvent pas le faire seuls.  Nous ne pouvons pas nous permettre d&#8217;ignorer les besoins des d\u00e9veloppeurs dans la lutte contre les vuln\u00e9rabilit\u00e9s courantes, et ils ont besoin du soutien d&#8217;outils et de formations adapt\u00e9s, ainsi que d&#8217;un remaniement des param\u00e8tres traditionnels par lesquels ils sont souvent jug\u00e9s par leurs employeurs et organisations.<\/p>\n<h2 style=\"text-align: left;\"><strong>Pourquoi la plupart des d\u00e9veloppeurs ne donnent pas d\u00e9j\u00e0 la priorit\u00e9 \u00e0 la s\u00e9curit\u00e9<\/strong><\/h2>\n<p>Les meilleures pratiques de codage ont continu\u00e9 d&#8217;\u00e9voluer au fil des ans, en r\u00e9ponse aux besoins des entreprises et aux tendances du march\u00e9.  Dans le pass\u00e9, la plupart des applications \u00e9taient cr\u00e9\u00e9es \u00e0 l&#8217;aide de ce qu&#8217;on appelle <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Waterfall_model\" target=\"_blank\">d\u00e9veloppement de la cascade<\/a> mod\u00e8le dans lequel les ing\u00e9nieurs logiciels travaillaient pour pr\u00e9parer leur code afin d&#8217;atteindre une s\u00e9rie continue d&#8217;\u00e9tapes ou d&#8217;objectifs avant de passer \u00e0 la phase de d\u00e9veloppement suivante.  Waterfall avait tendance \u00e0 soutenir le d\u00e9veloppement de programmes qui, apr\u00e8s avoir franchi toutes les \u00e9tapes pr\u00e9c\u00e9dentes en cours de route, \u00e9taient exempts de bogues ou de d\u00e9fauts op\u00e9rationnels au moment o\u00f9 ils \u00e9taient pr\u00eats pour l&#8217;environnement de production.  Mais selon les normes d&#8217;aujourd&#8217;hui, c&#8217;\u00e9tait douloureusement lent, avec parfois 18 mois ou plus entre le d\u00e9marrage d&#8217;un projet et l&#8217;arriv\u00e9e \u00e0 la ligne d&#8217;arriv\u00e9e.  Et cela ne va pas voler dans la plupart des entreprises ces jours-ci.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Agile_software_development\" target=\"_blank\">m\u00e9thode agile<\/a> avait tendance \u00e0 remplacer Waterfall, en mettant beaucoup plus l&#8217;accent sur la vitesse.  Et cela a \u00e9t\u00e9 suivi par DevOps, qui est con\u00e7u pour encore plus de rapidit\u00e9 en combinant le d\u00e9veloppement et les op\u00e9rations pour s&#8217;assurer que les programmes sont pr\u00eats pour la production presque d\u00e8s qu&#8217;ils effacent les derniers ajustements de d\u00e9veloppement. <\/p>\n<p>Mettre la vitesse sur la s\u00e9curit\u00e9, et presque tout le reste au-del\u00e0 de la fonctionnalit\u00e9, \u00e9tait une n\u00e9cessit\u00e9 \u00e0 mesure que l&#8217;environnement commercial \u00e9voluait.  Dans un monde bas\u00e9 sur le cloud o\u00f9 tout le monde est en ligne tout le temps et o\u00f9 des millions de transactions mobiles peuvent se produire toutes les quelques secondes, il est essentiel de d\u00e9ployer des logiciels et de les int\u00e9grer dans le pipeline d&#8217;int\u00e9gration et de livraison continues (CI\/CD) aussi rapidement que possible. pour les entreprises.<\/p>\n<p>Ce n&#8217;est pas que les organisations ne se souciaient pas de la s\u00e9curit\u00e9.  C&#8217;est juste que dans l&#8217;environnement commercial concurrentiel qui existe dans la plupart des industries, la vitesse \u00e9tait consid\u00e9r\u00e9e comme plus importante.  Et les d\u00e9veloppeurs qui pouvaient \u00e9galer cette vitesse ont prosp\u00e9r\u00e9 au point o\u00f9 cela est devenu le principal moyen par lequel leurs performances professionnelles \u00e9taient jug\u00e9es.<\/p>\n<p>Maintenant que les attaques avanc\u00e9es se multiplient de mani\u00e8re si spectaculaire, le d\u00e9ploiement de code vuln\u00e9rable devient un handicap.  La pr\u00e9f\u00e9rence change une fois de plus, la s\u00e9curit\u00e9 devenant de plus en plus l&#8217;objectif principal du d\u00e9veloppement de logiciels, suivie de pr\u00e8s par la vitesse.  Le renforcement de la s\u00e9curit\u00e9 apr\u00e8s coup n&#8217;est pas seulement dangereux, il ralentit \u00e9galement le processus de d\u00e9ploiement du logiciel.  Cela a conduit \u00e0 la mont\u00e9e de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.devsecops.org\/\" target=\"_blank\">DevSecOps<\/a> m\u00e9thodologie qui tente de fusionner vitesse et s\u00e9curit\u00e9 pour aider \u00e0 g\u00e9n\u00e9rer un code s\u00e9curis\u00e9 et consid\u00e8re la s\u00e9curit\u00e9 comme une responsabilit\u00e9 partag\u00e9e.  Mais les d\u00e9veloppeurs form\u00e9s \u00e0 la vitesse pure ne peuvent pas devenir conscients de la s\u00e9curit\u00e9 fonctionnelle sans un soutien important de la part de leurs organisations. <\/p>\n<h2 style=\"text-align: left;\"><strong>Ce dont les d\u00e9veloppeurs ont besoin pour vraiment avoir un impact sur la r\u00e9duction des vuln\u00e9rabilit\u00e9s<\/strong><\/h2>\n<p>La bonne nouvelle est que la plupart des d\u00e9veloppeurs souhaitent voir un passage au codage s\u00e9curis\u00e9 et une red\u00e9finition des priorit\u00e9s de la s\u00e9curit\u00e9 dans le cadre du processus de d\u00e9veloppement.  Dans un <a rel=\"nofollow noopener\" href=\"https:\/\/www.securecodewarrior.com\/press-releases\/secure-code-warrior-survey-finds-86-of-developers-do-not-view-application-security-as-a-top-priority?utm_source=hackernews&amp;utm_medium=syndication&amp;utm_campaign=2022-10-q4-developer-security-maturity&amp;utm_content=press-release\" target=\"_blank\">enqu\u00eate compl\u00e8te<\/a> men\u00e9e par Evans Data aupr\u00e8s de plus de 1 200 d\u00e9veloppeurs professionnels travaillant activement dans le monde au d\u00e9but de cette ann\u00e9e, la grande majorit\u00e9 a d\u00e9clar\u00e9 qu&#8217;elle soutenait le concept de cr\u00e9ation de code s\u00e9curis\u00e9.  La plupart s&#8217;attendaient \u00e9galement \u00e0 ce qu&#8217;elle devienne une priorit\u00e9 dans leur organisation.  Cependant, seuls 8 % des r\u00e9pondants ont d\u00e9clar\u00e9 que l&#8217;\u00e9criture de code s\u00e9curis\u00e9 \u00e9tait facile \u00e0 r\u00e9aliser.  Cela laisse beaucoup de place \u00e0 l&#8217;am\u00e9lioration au sein des \u00e9quipes de d\u00e9veloppement de la plupart des organisations entre ce qui est n\u00e9cessaire et ce qui est requis pour y parvenir. <\/p>\n<p>Le simple fait d&#8217;imposer un code s\u00e9curis\u00e9 ne fera pas le travail, et sans effort pour d\u00e9velopper les bonnes comp\u00e9tences et la sensibilisation, cela perturbera fortement leur flux de travail.  Les \u00e9quipes de d\u00e9veloppement doivent exister dans un environnement qui nourrit leur esprit de s\u00e9curit\u00e9 et promeut une culture de responsabilit\u00e9 partag\u00e9e.<\/p>\n<p>La plus grande chose dont ils ont besoin est une meilleure formation pour eux, suivie d&#8217;outils qui aident \u00e0 faire du codage s\u00e9curis\u00e9 une partie int\u00e9grante de leur flux de travail.  Et le programme doit \u00eatre personnalis\u00e9 afin que les d\u00e9veloppeurs moins exp\u00e9riment\u00e9s puissent commencer leur formation en apprenant \u00e0 reconna\u00eetre les types de vuln\u00e9rabilit\u00e9s courantes qui se glissent souvent dans le code, avec de nombreux apprentissages pratiques et des exemples.  Pendant ce temps, les d\u00e9veloppeurs plus avanc\u00e9s qui d\u00e9montrent leurs comp\u00e9tences en mati\u00e8re de s\u00e9curit\u00e9 peuvent \u00e0 la place \u00eatre charg\u00e9s de bogues plus complexes et peut-\u00eatre m\u00eame de concepts avanc\u00e9s de mod\u00e9lisation des menaces.<\/p>\n<p>En plus de financer et de soutenir les programmes de formation, notamment en accordant aux d\u00e9veloppeurs suffisamment de temps loin du codage pour participer correctement \u00e0 ces programmes, les organisations doivent \u00e9galement changer la fa\u00e7on dont leur cohorte est \u00e9valu\u00e9e.  La principale mesure pour r\u00e9compenser les d\u00e9veloppeurs doit s&#8217;\u00e9loigner de la vitesse brute.  Au lieu de cela, les \u00e9valuations pourraient r\u00e9compenser ceux qui peuvent cr\u00e9er un code s\u00e9curis\u00e9 exempt de vuln\u00e9rabilit\u00e9s ou d&#8217;exploits.  Oui, la vitesse peut \u00e9galement \u00eatre un facteur \u00e9valu\u00e9, mais avant tout, le code doit \u00eatre s\u00e9curis\u00e9, et le d\u00e9veloppement moderne doit tracer une voie o\u00f9 la s\u00e9curit\u00e9 \u00e0 la vitesse n&#8217;est plus un mythe.<\/p>\n<p>L&#8217;envoi de code non s\u00e9curis\u00e9 ou vuln\u00e9rable ne devrait pas \u00eatre un risque commercial acceptable, et renforcer la s\u00e9curit\u00e9 apr\u00e8s coup devient de plus en plus inefficace.  Heureusement, la meilleure arme pour lutter contre cette tendance inqui\u00e9tante est de faire en sorte que la communaut\u00e9 des d\u00e9veloppeurs produise un code s\u00e9curis\u00e9 que les attaquants ne peuvent pas exploiter.  La plupart des d\u00e9veloppeurs sont pr\u00eats \u00e0 relever ce d\u00e9fi ;  donnez-leur le soutien n\u00e9cessaire pour y arriver. <\/p>\n<p><em>Secure Code Warrior est l&#8217;une des quatre soci\u00e9t\u00e9s cit\u00e9es dans le rapport Gartner\u00ae Cool Vendors\u2122 in Software Engineering: Enhancing Developer Productivity.  Nous sommes pr\u00eats \u00e0 aider les \u00e9quipes de d\u00e9veloppement \u00e0 naviguer dans les complexit\u00e9s du d\u00e9veloppement de logiciels s\u00e9curis\u00e9s avec des outils qui ont du sens dans leur monde. <\/em><a rel=\"nofollow noopener\" href=\"https:\/\/www.securecodewarrior.com\/blog\/gartner-cool-companies?utm_source=hackernews&amp;utm_medium=syndication&amp;utm_campaign=2022-10-q4-developer-security-maturity&amp;utm_content=gartner-report\" target=\"_blank\"><em>Apprendre encore plus<\/em><\/a><em>.<\/em><\/p>\n<p><em><b>Noter &#8211; <\/b>Cet article est r\u00e9dig\u00e9 et contribu\u00e9 par Matias Madou, CTO et co-fondateur, Secure Code Warrior.<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/what-developers-need-to-fight-battle.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le paysage des menaces d&#8217;aujourd&#8217;hui est en constante \u00e9volution, et maintenant plus que jamais, les organisations et les entreprises de tous les secteurs ont un besoin critique de produire et de maintenir constamment des logiciels s\u00e9curis\u00e9s. Alors que certains secteurs verticaux &#8211; comme le secteur financier, par exemple &#8211; sont soumis \u00e0 des exigences r\u00e9glementaires [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":490873,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1949,4168,841,25887,4158,4165,4161,11530,1947,4157,4159,4171,4170,65,4167,6940,4160,4163,4162,249,185,4172,4169,4166,4164,12365],"class_list":["post-490872","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-besoin","tag-comment-pirater","tag-contre","tag-courantes","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-developpeurs","tag-dont","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-lutter","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-pour","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/490872","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=490872"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/490872\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/490873"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=490872"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=490872"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=490872"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}