La décennie des défenseurs : Secure Code Warrior fête ses dix ans

Dans ma jeunesse, je jouais beaucoup à CONDAMNER, et bien sûr, au début, j'ai dû alterner entre les différents niveaux de difficulté pour terminer mes deux premières parties du jeu. Ils allaient de « Je suis trop jeune pour mourir » (facile) à « Nightmare » (très difficile). Il y a des jours où j'aimerais pouvoir simplement réinitialiser et modifier le niveau de difficulté de la gestion d'une entreprise technologique, en particulier au début, lorsque de nombreux éléments sont délicats, précaires et sujets à l'échec.

Les statistiques sont bien connu et qui donne à réfléchir: Les startups s'effondrent à un taux d'environ 90 %, ce qui est le cas depuis de nombreuses années, mais si l'on y regarde de plus près, la répartition générale est que 21 % des startups échouent au cours de la première année, 30 % en deux ans, 50 % au bout de cinq ans et 70 % au cours de leur première décennie.

Je suis fier que mes cofondateurs Matias Madou, Fatemah Beydoun, Colin Wong, Nathan Desmet et Jaap Karan Singh aient atteint le « niveau 10 », grâce au soutien de nos investisseurs, Goldman Sachs, Cisco Investment, Paladin Capital, Forgepoint, Airtree et Tidal, ainsi que des membres indépendants de mon conseil d'administration Jim Pflaging et Nanhi Singh.

L'équipe fondatrice est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à aborder notre prochain chapitre, SCW 2.0, en tant que leader de la gestion des risques pour les développeurs.

2024 : L'année où nous avons mis sur le marché des outils d'analyse des données, les premiers du secteur.

Il est extrêmement difficile de démontrer le retour sur investissement de l'amélioration des compétences des personnes, mais en 2024, SCW a réalisé ce que l'ensemble du secteur demandait : « Pouvez-vous prouver que notre logiciel est plus sécurisé en améliorant les compétences de nos développeurs ? ». Nous avons collecté des données sur les vulnérabilités et la résolution des problèmes auprès de certains de nos principaux clients qui exécutent des programmes bien établis, et nous sommes fiers de prouver, avec la validation de nos clients, que la réduction médiane des vulnérabilités était de 53 % pour le code créé par des développeurs sécurisés par rapport au code créé par d'autres. Nous avons également prouvé que les développeurs sécurisés peuvent résoudre les problèmes de sécurité 2 à 3 fois plus rapidement, ce qui permet de gagner du temps et de réduire l'exposition aux risques.

Le premier à sortir de la porte était Score de confiance SCW, le seulement une capacité d'analyse comparative qui quantifie l'impact des programmes de codage sécurisé des entreprises. Pour la première fois, les responsables de la sécurité peuvent obtenir des informations détaillées, étayées par des données, sur les compétences de codage sécurisé de l'équipe de développement, et les comparer aux normes du secteur. Il s'agit de la visibilité impeccable que beaucoup attendaient pour apporter des ajustements critiques à leurs programmes, ainsi que pour fournir aux développeurs individuels des parcours d'apprentissage leur permettant de renforcer leurs compétences en matière de sécurité tout au long de la vie. Nous avons même publié un document de recherche avec l'ancien directeur national américain de la cybersécurité, Chris Inglis, et Kemba Walden, présidente du Paladin Global Institute, et ancienne directrice nationale américaine par intérim de la cybersécurité.

Plus tard, nous avons publié Agent de confiance SCW, une offre complémentaire qui offre une visibilité sur l'ensemble du référentiel de code d'une entreprise, en analysant chaque commit par rapport aux compétences de codage sécurisé des développeurs. SCW Trust Agent s'appuie sur le SCW Trust Score et travaille ensemble pour démontrer l'efficacité avec laquelle le programme de sécurité de l'entreprise est appliqué à chaque commit.

Ces outils sont essentiels pour aider les responsables de la sécurité des entreprises à atteindre des objectifs tels que Directives de la CISA relatives à la sécurité dès la conception, avec la vérification des compétences des développeurs en matière de sécurité, des validations sécurisées et, en fin de compte, l'éradication des catégories de vulnérabilités, éléments nécessaires des principes de conception sécurisée éprouvés.

Bonjour, partenaire ! Notre réseau de partenaires continue de croître, tout comme notre clientèle.

L'un des aspects les plus réconfortants de travailler dans le secteur de la cybersécurité est de comprendre que nous ne formons qu'une grande communauté de geeks passionnés et que, pour la plupart, nous sommes tous prêts à unir nos forces dans la poursuite non seulement d'un succès mutuel, mais aussi d'un monde numérique plus sûr pour tous.

Nous avons le privilège de faire appel à diverses autres entreprises de sécurité et de technologie nos partenaires commerciaux, notre programme de partenariat étant essentiel pour nous aider à stimuler notre croissance. Vers la fin de 2024, nous avons annoncé notre deuxième partenariat OEM avec les leaders mondiaux de la gestion de l'information, Texte ouvert. Ce développement, associé à nos partenaires OEM phares, Canard noir, nous offre une opportunité incroyable de fournir des solutions complètes et complètes qui répondent aux besoins contemporains des entreprises et à leurs programmes de sécurité.

En outre, nous comptons aujourd'hui plus de 650 entreprises clientes. Depuis nos modestes débuts il y a dix ans, alors que je me souviens avoir invité notre équipe de 4 personnes à déjeuner bon marché pour célébrer la naissance de notre premier gros client, nous nous sommes certainement taillés une bonne réputation de clients qui n'ont pas peur d'aborder la sécurité préventive en faisant des développeurs des agents du changement.

L'IA, le perturbateur ultime et l'avenir de la sécurité pilotée par les développeurs.

L'intelligence artificielle, les LLMs et les outils de codage de l'IA sont des mots à la mode sur les lèvres de tous les professionnels de l'informatique depuis plus de deux ans, et nous nous trouvons, en tant que société, à un moment décisif de notre histoire technologique. La multitude d'outils d'IA dans presque toutes les catégories promet d'énormes gains de productivité, et dans le domaine du développement de logiciels, enquête récente sur GitHub a révélé que la plupart des ingénieurs ont commencé à adopter des assistants de codage alimentés par l'IA.

Ces outils font désormais partie du paysage du développement logiciel, bien que 38 % seulement des organisations approuvent leur utilisation. Leur utilisation est inévitable, et plutôt que de créer une situation d' « IA fantôme », les responsables de la sécurité devraient s'attacher à inciter les développeurs à s'engager dans la voie d'un codage sûr et responsable. Les développeurs soucieux de la sécurité peuvent utiliser ces outils en faisant preuve de l'esprit critique et de l'expertise en matière de sécurité nécessaires pour réellement bénéficier de la productivité accrue, sans augmenter le risque permanent perpétué par les développeurs peu compétents en matière de sécurité.

2025 est l'année où vous continuerez de constater des progrès dans le codage de l'IA. Pourtant, nous avons peut-être quelque chose à faire pour aider les entreprises à appliquer efficacement la gestion des risques liés aux développeurs dans ce domaine et dans bien d'autres. Vous devrez rester à l'affût et voir où notre voyage nous mènera.