Étude Secure Code Warrior : les industries d’infrastructures critiques progressent dans la préparation des développeurs de Secure-By-Design

Par Business Wire

Une nouvelle analyse réalisée en collaboration avec le Paladin Global Institute met en évidence le besoin critique d’amélioration des compétences des développeurs afin de bien évaluer les progrès réalisés avec Secure-By-Design.

BOSTON–(BUSINESS WIRE)–Aujourd’hui, Secure Code Warrior, leader mondial de la sécurité orientée développeurs, a publié de nouvelles conclusions sur l’amélioration des compétences des développeurs et sur son impact sur les initiatives Secure-by-Design (SBD) des organisations. Depuis le mois d’avril 2024, plus de 200 entreprises, notamment Secure Code Warrior, ont signé l’engagement Secure-by-Design. La nouvelle analyse montre que les organisations appartenant aux secteurs des infrastructures critiques, tels que les services financiers, la défense, les soins de santé et l’informatique, font des progrès dans la préparation de leurs développeurs pour améliorer leurs initiatives SBD. Secure Code Warrior a constaté que les équipes de développeurs de ces secteurs possèdent une posture de sécurité moyenne – vérifiée par SCW Trust Score, une référence mondiale qui quantifie les compétences des équipes de développeurs en matière de sécurité – qui se trouve plus élevée que celle d’autres secteurs d’activité.


Les responsables de la sécurité de l’information (CISO) ont de plus en plus de mal à prouver le véritable RSI dans les premières phases de leurs initiatives de SMD. Ces dernières années, l’absence d’un point de référence permettant d’évaluer comment les organisations se situent par rapport aux normes de l’industrie a représenté un énorme défi. Pour que les initiatives Secure-By-Design fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour assurer la sécurité du code, mais aussi garantir à l’industrie et aux organismes de réglementation gouvernementaux que ces compétences sont bien mises œuvre.

« Aujourd’hui plus que jamais, il est de notre responsabilité nationale de veiller à ce que des programmes de perfectionnement des SMD soient mis en œuvre », a déclaré Chris Inglis, Senior Strategic Advisor chez Paladin Capital Group et ancien National Cyber Director. « La réduction des risques est au cœur de cette dernière analyse, et Secure Code Warrior est à l’avant-garde de l’amélioration de l’apprentissage de la sécurité des développeurs, de la prévention des cyberattaques et du renforcement de l’infrastructure critique de notre pays.

Principales conclusions : l’analyse de Secure Code Warrior portant sur l’amélioration des compétences des développeurs dans les secteurs des infrastructures critiques se base sur plus de 20 millions de points de données, provenant de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. Les conclusions de l’analyse sont les suivantes :

  • Le nombre total de développeurs actuellement impliqués dans des initiatives d’amélioration des compétences dans le cadre des SMD n’atteint pas 4 % de l’ensemble des développeurs dans le monde.
  • Certains secteurs d’infrastructures critiques, comme le secteur des services financiers, avaient la posture de sécurité la plus élevée, évaluée par SCW TrustScore, par rapport à la moyenne des infrastructures non critiques. Par exemple, la note de confiance moyenne des services financiers était de 336.
  • Toutefois, il est surprenant de constater que, malgré les exigences en matière de conformité et de réglementation, le secteur des services financiers présente un niveau de sécurité similaire à celui de plusieurs autres secteurs critiques.
  • Les initiatives d’amélioration des compétences Secure-by-Design à grande et petite échelle peuvent se révéler efficaces, et l’étude montre que les initiatives à petite échelle peuvent être mises en œuvre rapidement et fonctionner plus vite. Mais pour que ces initiatives réussissent et produisent plus rapidement un retour sur investissement (RSI) mesurable, les études indiquent qu’il faut mettre en œuvre un mandat.
  • Lorsque des initiatives d’amélioration des compétences sont clairement mises en œuvre, les risques introduits par les développeurs dans les applications se trouvent considérablement réduits. L’analyse a révélé que les développeurs participant à de vastes initiatives de perfectionnement (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités, de manière prévisible, de 47 à 53 %.

Secure-By-Design s’intensifie dans le monde entier, à mesure que les pays intègrent des lignes directrices similaires dans leurs stratégies de cybersécurité. Toutefois, il sera difficile de sécuriser les valeurs par défaut auprès des développeurs et de promouvoir des effectifs de développeurs de logiciels qui comprennent qu’il sera difficile de parvenir à la sécurité sans les bons points de données pour informer un référentiel de compétences des développeurs. Un programme d’amélioration des compétences agile peut sensibiliser les développeurs, lorsque celui-ci repose sur des bases établies, avec des sessions pratiques qui traitent des problèmes concrets auxquels les développeurs doivent faire face.

« À l’heure où les cybermenaces mondiales ont atteint un niveau sans précédent, ces nouvelles conclusions montrent qu’il faut renforcer les initiatives de développement durable dans l’ensemble de notre infrastructure numérique afin de réduire les vulnérabilités critiques », a déclaré Kemba Walden, présidente du Paladin Global Institute et ancienne National Cyber Director par intérim. « Cette étude appelle clairement à ce que des mesures soient mises en œuvre pour améliorer les compétences du personnel et créer des critères de référence permettant d’atteindre les objectifs essentiels en matière de cybersécurité.

« Les bases et les repères peuvent énormément optimiser la posture de sécurité d’une organisation en faisant du codage sécurisé un maillon essentiel de son ADN », a déclaré Matias Madou, cofondateur et CTO de Secure Code Warrior. « Pour savoir si une initiative SBD progresse véritablement, vous avez besoin de prouver quantitativement que les efforts d’amélioration des compétences des développeurs sont efficaces et qu’ils intègrent les meilleures pratiques de sécurité dans leurs habitudes de travail. Vous devez être certain que les développeurs méritent vraiment leur licence de codage.

De nombreux responsables de la sécurité soulignent constamment la difficulté qui réside dans l’adaptation de la plupart des éléments d’un programme de sécurité d’entreprise, en particulier ceux qui impliquent une amélioration des compétences et une évaluation continues du personnel. Il s’agit d’une inquiétude légitime, mais suite à plusieurs réformes législatives et lignes directrices internationales exigeant que les développeurs aient des compétences vérifiées en matière de sécurité, il faut arriver à la surmonter. De nombreuses organisations dans le monde entier prennent des mesures et ont mis en œuvre des initiatives d’amélioration des compétences à grande échelle qui ont un impact considérable.

Pour en savoir plus sur la dernière analyse de Secure Code Warrior et sur SCW Trust Score, veuillez cliquer ici.

À propos de Secure Code Warrior :

Secure Code Warrior est une plateforme de codage sécurisé qui établit les normes assurant la sécurité de notre monde numérique. Nous le faisons en fournissant la principale plateforme d’apprentissage agile au monde qui offre aux développeurs la solution de codage sécurisé la plus efficace leur permettant d’apprendre, d’appliquer et de conserver les principes de sécurité des logiciels. Plus de 600 entreprises font confiance à Secure Code Warrior pour mettre en œuvre des programmes de sécurité par apprentissage agile et s’assurer que les applications qu’elles publient sont dépourvues de toute vulnérabilité.

Pour de plus amples informations sur Secure Code Warrior, rendez-vous sur le site www.securecodewarrior.com.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

Steve Bosk

steve.bosk@w2comm.com