Le rapport de Secure Code Warrior indique que l’accent passe de la réactivité à la prévention en ce qui concerne la sécurité des applications, les développeurs étant maintenant tenus de rendre des comptes
BOSTON, SYDNEY, LONDRES, BRUGES (Belgique) & PORTLAND (Oregon)–(BUSINESS WIRE)–Une nouvelle étude de Secure Code Warrior®, entreprise mondiale de codage sécurisé, a révélé un changement d’attitude dans le monde du développement de logiciels, les organisations abandonnant les pratiques traditionnelles en faveur de stratégies DevOps et Secure DevOps.
Cette enquête mondiale, menée auprès de développeurs professionnels et de leurs responsables, a révélé que sept organisations sur dix (70 %) reconnaissent l’importance des pratiques de codage sécurisé, les résultats indiquant que c’est toute l’industrie qui effectue un virage, mettant l’accent sur la prévention plutôt que sur la réaction.
Matias Madou, directeur de la technologie et cofondateur de Secure Code Warrior, a déclaré : « Nous assistons à un véritable changement de mentalité dans le monde entier, le secteur passant lentement d’une approche réactive basée sur des solutions de fortune mises en place après une faille de sécurité, à une pratique proactive et humaine consistant à développer des logiciels de qualité qui soient, par nature, exempts de toute vulnérabilité dès la première ligne de code. »
« Cette étude montre que le “codage sécurisé” devient synonyme de “codage de qualité” dans le secteur du développement de logiciels, et que la sécurité passe dorénavant sous la responsabilité des équipes et des responsables du développement, et non seulement des professionnels de l’AppSec », a-t-il déclaré.
Le codage sécurisé est considéré comme « réactif »
Les deux premières pratiques associées au codage sécurisé par les personnes interrogées étaient des pratiques réactives, à savoir l’utilisation d’outils sur les applications déployées et l’examen manuel du code à la recherche de vulnérabilités. Un changement de mentalité, plus axé sur la proactivité, a toutefois été observé dans le monde entier, plus de la moitié (55 %) des développeurs interrogés reconnaissant également que le codage sécurisé est une pratique active et permanente visant à coder des logiciels protégés contre les failles de sécurité.
Les responsables et les développeurs ne sont pas d’accord
Plus de la moitié (55 %) des responsables interrogés ont déclaré que le codage sécurisé était pratiqué et intégré tout au long du processus de développement, contre seulement 43 % des développeurs. À l’inverse, 36 % des développeurs prennent en compte le codage sécurisé pendant la phase de développement mais pas de conception, contre moins d’un tiers (32 %) des responsables.
Le codage sécurisé, un indicateur croissant de succès
Les personnes interrogées ont mentionné les « performances de l’application » et les « fonctionnalités et caractéristiques » comme mesures de réussite les plus couramment utilisées pour le développement de logiciels (67 % et 62 % respectivement), mais près de quatre personnes sur cinq (79 %) ont également déclaré que l’importance du « codage sécurisé » ne cessait de croître.
La sécurité des applications est en évolution
Près de la moitié des personnes interrogées (46 %) ont déclaré que la sécurité des applications devrait être sous la responsabilité des responsables et des équipes de développement plutôt que des équipes AppSec (24 %). Plus de huit développeurs interrogés sur dix (81 %) ont déclaré qu’ils étaient responsables si un code produit venait à être vulnérable.
Les développeurs sont motivés à l’idée d’acquérir de nouvelles compétences
Les principales motivations pour apprendre le codage sécurisé étaient les suivantes : « augmentation de la productivité et de l’efficacité » (20 %), « curiosité » (14 %) et « éviter les problèmes causés par un code non sécurisé » (11 %). Même si seuls 10 % des personnes interrogées ont mentionné l’avancement professionnel comme motivation personnelle, quatre responsables sur cinq (81 %) se sont déclarés plus susceptibles d’embaucher ceux qui disposaient de compétences en codage sécurisé.
Une formation plus poussée est nécessaire
91 % des responsables interrogés ont déclaré que les difficultés rencontrées pour mettre en œuvre les pratiques de codage sécurisé au sein de leur organisation étaient supérieures à la moyenne, alors que l’écrasante majorité des personnes interrogées (97 %) estiment être suffisamment formées. Cela s’explique peut-être par le fait que près de neuf développeurs interrogés sur dix (88 %) ont déclaré que le codage sécurisé était complexe.
M. Madou a ajouté : « Le Top 10 de l’OWASP, qui recense les vulnérabilités logicielles, est à l’origine du plus grand nombre de failles de sécurité au cours des deux dernières décennies. Il est temps pour les entreprises de former leurs développeurs afin qu’ils acquièrent les connaissances et les compétences nécessaires pour éliminer les codes vulnérables et prévenir les problèmes. »
« Les codes sont au cœur de nos interactions quotidiennes, et Secure Code Warrior s’attache à promouvoir les développeurs compétents qui s’intéressent à la sécurité pour créer des logiciels sécurisés et remarquables, au profit de notre monde connecté. »
Pour accéder en avant-première au rapport « Shifting from reaction to prevention: The changing face of application security 2021 » (Passer de la réactivité à la prévention : le visage changeant de la sécurité des applications en 2021), faites-nous part de votre intérêt à l’adresse suivante : scw.buzz/earlyaccess
Méthodologie
Secure Code Warrior® a mandaté Evans Data Corporation, leader de l’information commerciale dans le secteur des technologies de l’information, pour mener une enquête internationale auprès des développeurs et des preneurs de décision impliqués dans le développement de logiciels. En août 2020, 400 personnes ont été interrogées en Amérique du Nord, en Inde, au Royaume-Uni, en Europe, en Australie, en Nouvelle-Zélande et en Asie du Sud-Est.
À propos de Secure Code Warrior
Secure Code Warrior est la solution choisie par les développeurs pour acquérir de solides compétences en matière de codage sécurisé. En faisant du codage sécurisé une expérience positive et intéressante pour les développeurs au fur et à mesure que ces derniers améliorent leurs compétences en matière de sécurité logicielle, notre approche humaine révèle le développeur axé sur la sécurité qui sommeille en chaque codeur, ce qui aide les équipes de développement à livrer des codes de qualité plus rapidement.
Nous invitons une communauté mondiale de développeurs s’intéressant à la sécurité à adopter une approche préventive grâce au codage sécurisé afin de concrétiser notre mission : inventer une solution axée sur les personnes pour améliorer les compétences en matière de sécurité et éradiquer les mauvaises pratiques de codage. Apprenez-en plus sur securecodewarrior.com.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
Pour les demandes des médias, pour accéder au rapport complet ou pour organiser une interview :
Carly Ryan, Hotwire
E-mail : securecodewarrior@hotwireglobal.com