Les banques australiennes sont à la pointe de l'approche « Les développeurs comme première ligne de défense » en matière de sécurité des applications

Selon Pieter Danhieux, éminent défenseur des logiciels sécurisés et cofondateur de la start-up australienne Secure Code Warrior, les banques australiennes jouent un rôle de premier plan à l'échelle mondiale en matière de développement d'une approche axée sur la sécurité chez leurs développeurs de logiciels.

Danhieux a indiqué que cinq des six plus grandes banques australiennes impliquaient désormais activement leurs développeurs pour développer des compétences de codage sécurisées grâce à l'environnement d'apprentissage en ligne, ludique et à votre rythme de Secure Code Warrior, ainsi qu'à l'examen des indicateurs en temps réel et des rapports pour vérifier les forces et les faiblesses de leurs développeurs et de leurs équipes. Le premier contrat était l'AUDM avec une grande banque en août 2016, suivi de contrats avec quatre autres depuis lors.

« Les banques traditionnelles ont été soumises à de fortes pressions de la part de concurrents non traditionnels pour accélérer leur mise sur le marché, améliorer la qualité et accroître la flexibilité. Cela les a amenés à adopter des cadres de développement plus agiles qui mettent l'accent sur le développement rapide de fonctionnalités et de fonctions au détriment de la sécurité », a déclaré Danhieux.

« Le coût moyen d'une violation de données s'élève désormais à 6 millions de dollars américains et la probabilité qu'une entreprise soit touchée est d'une sur quatre. La plupart des principales failles de sécurité au monde sont liées à des erreurs de codage, ce qui permet aux pirates informatiques d'obtenir plus de privilèges sur les réseaux informatiques, leur donnant ainsi accès à des données critiques », a-t-il ajouté.

M. Danhieux a cité des violations commises ces dernières années, notamment celles de la Banque nationale du Qatar, de VTech, de Mossack-Fonseca (Panama Papers) et de TalkTalk, où des pirates informatiques ont profité de mauvaises pratiques de sécurité logicielle.

Danhieux, hacker éthique de longue date, instructeur principal du SANS Institute et professionnel de la cybersécurité de l'année 2016 décerné par l'AISA, soutient fermement les méthodologies de développement agile qui intègrent la sécurité dès le départ, les pratiques utilisées par de nombreuses entreprises technologiques et un nombre croissant d'institutions de services financiers.

« Le passage au développement agile présente de grands avantages en termes de rapidité pour les entreprises et les clients, mais il a créé de nouveaux défis importants en matière de prévention des failles de sécurité. Chaque développeur doit désormais intégrer la sécurité dans son ADN, afin de maintenir la vitesse tout en réduisant les bogues de sécurité qui sont généralement coûteux à corriger. »

Secure Code Warrior a été fondé à Sydney et à Londres en 2015 lorsque Danhieux, son partenaire commercial John Fitzgerald et trois autres professionnels australiens de la cybersécurité ont décidé d'aider les développeurs de logiciels à faire de la sécurité une responsabilité essentielle de leur travail.

« Les outils de sécurité des applications actuels se concentrent sur le déplacement de la droite vers la gauche dans le cycle de vie du développement logiciel (SDLC), une approche qui favorise la détection et la réaction : détectez les vulnérabilités dans le code écrit et réagissez pour les corriger. Nous nous concentrons sur l'extrême gauche du SDLC, en faisant du développeur la première ligne de défense de son organisation et en aidant à prévenir l'apparition de vulnérabilités », a déclaré M. Danhieux.

La start-up en pleine croissance possède désormais des bureaux à Sydney, Londres, en Belgique et à Boston et compte des clients de premier plan dans les domaines des services financiers, des télécommunications et de la technologie dans neuf pays. L'entreprise compte aujourd'hui 10 000 utilisateurs actifs et a doublé le nombre de ses clients et triplé son chiffre d'affaires au cours des six derniers mois.

Craig Davies, PDG de l'Australian Cyber Security Growth Network (AustCyber), prédit que ce type de formation pratique basée sur des preuves deviendra une activité fondamentale pour les organisations développant des applications.

« Les entreprises qui codent en toute sécurité dès le départ réduiront non seulement considérablement leurs risques, mais elles réduiront également les coûts et les retards considérables liés à l'innovation de leurs produits », déclare M. Davies.

Danhieux a été impressionné par les banques australiennes qui, selon lui, ont reconnu que le risque était réel et ont rapidement réduit leur exposition. « Le rythme auquel de nouveaux clients intègrent Secure Code Warrior dans le monde entier montre clairement que les institutions de services financiers du monde entier reconnaissent l'importance d'intégrer l'excellence en matière de sécurité à chaque ligne de code, et que Secure Code Warrior est une solution simple pour relever ce défi rapidement et durablement. »

‍