Comment Thales a mis en œuvre une sécurité pilotée par les développeurs
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Aktion
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Dans cette étude de cas, découvrez comment Thales a développé des approches relatives aux personnes, aux processus et à la technologie pour un programme d'apprentissage du code sécurisé agile afin d'inciter les développeurs à devenir des champions actifs de la sécurité.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Aktion
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Aktion
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Contexte
Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.
Situation
Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :
« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »
Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »
Aktion
Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :
« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »
Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :
Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :
« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »
Résultats
Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :
« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »
Principaux points à retenir
Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.
Inhaltsverzeichnis
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
