Les mêmes 10 vulnérabilités logicielles ont causé plus de failles de sécurité au cours des 20 dernières années que toutes les autres. Et pourtant, de nombreuses entreprises optent toujours pour la remédiation post-violation et post-événement, se débrouillant à travers les ramifications humaines et commerciales de tout cela. Mais maintenant, une nouvelle étude de recherche indique une nouvelle direction dirigée par l’homme.
Ce qui suit traite des informations tirées d’une étude menée par Secure Code Warrior avec Evans Data Corp intitulée « Passer de la réaction à la prévention : l’évolution de la sécurité des applications » (2021) explorant les attitudes des développeurs envers le codage sécurisé, les pratiques de code sécurisé et les opérations de sécurité. Lire le rapport.
Dans l’étude, les développeurs et les responsables du développement ont été interrogés sur leurs pratiques courantes de codage sécurisé. Les trois principales méthodes mises en évidence étaient les suivantes :
- Analyser les applications à la recherche d’irrégularités ou de vulnérabilités après leur déploiement
- Examiner le code d’écriture pour inspecter les irrégularités ou les vulnérabilités
- La réutilisation du code pré-approuvé qui est connu pour être sécurisé
Les développeurs considèrent toujours les pratiques de code sécurisé comme une pratique réactive, mais le reconnaissent lentement comme un problème humain en mettant l’accent sur le départ à gauche.
Alors qu’est-ce que cela nous dit? Deux des trois premières réponses sont toujours axées sur des approches réactives, la première dépendant de l’outillage (scanners) et la seconde du développeur (c’est-à-dire humain) effectuant des vérifications manuelles – dans les deux cas après l’écriture du code. Les vulnérabilités détectées à l’aide de ces méthodes doivent être renvoyées à l’équipe de développement pour être retravaillées avec des effets d’entraînement sur les délais et les coûts du projet.
Considérant que #3 reconnaît les avantages d’écrire de manière proactive un logiciel qui est protégé contre les vulnérabilités en premier lieu. Cela met en évidence un passage au départ à gauche – une approche proactive et préventive qui intègre la sécurité dans le logiciel dès le début du cycle de vie du développement logiciel.
Réactif équivaut à CHER
Selon une étude d’IBM*, il est trente fois plus coûteux de corriger les vulnérabilités dans le code post-release que si elles avaient été trouvées et corrigées au début. C’est une incitation puissante pour une nouvelle approche proactive et plus humaine de la défense de la sécurité logicielle qui permet aux développeurs de coder de manière plus sécurisée, dès le départ.
C’est ce qu’on pourrait appeler une défense dirigée par l’homme. Mais pour que les développeurs commencent à se soucier de la sécurité, elle doit faire partie de leur façon de penser et de coder chaque jour. Il s’agit d’un appel à de nouvelles approches de la formation qui sont hyper pertinentes pour le travail quotidien des développeurs et les incitent à vouloir apprendre – ce qui ne peut être dit des modèles de formation actuels.
Pour créer une culture de sécurité proactive, une nouvelle formation est nécessaire qui :
- fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu’ils augmentent leurs compétences en sécurité logicielle
- encourage les développeurs à visualiser leurs tâches de codage quotidiennes dans un esprit de sécurité
- rend le codage sécurisé intrinsèque à leur flux de travail quotidien
Lorsque ces threads se réunissent, les vulnérabilités sont empêchées en premier lieu, ce qui permet aux équipes d’expédier un code de qualité plus rapidement, en toute confiance. Lire le rapport complet pour explorer le visage changeant de la sécurité logicielle avec des analyses et des recommandations sur la façon dont les organisations peuvent empêcher les vulnérabilités répétées de se produire et expérimenter un changement positif dans la culture de la sécurité à travers le SDLC Apprendre à:
- Veiller à ce que la sécurité soit prise en compte dès le début du SDLC
- Adoptez une approche humaine pour sécuriser le codage
- Éliminez les mauvaises pratiques de codage pour de bon