Le nombre croissant d'attaques de cybersécurité, ainsi que leur sophistication accrue, ont entraîné des changements dans tous les secteurs et industries du monde entier. Tout le monde essaie de « basculer vers la gauche », en sécurisant tous ses processus et procédures le plus tôt possible. La situation a même favorisé des mouvements entièrement nouveaux destinés à améliorer les cyberdéfenses. comme DevSecOps, où la sécurité est intégrée au cœur même de la création de nouveaux logiciels et applications.
Bon nombre de ces changements se font sentir au sein de la communauté des développeurs. Comme ce sont eux qui créent, écrivent et codent les nouveaux logiciels et applications, leur demander d'adopter des pratiques de codage plus sécurisées semble être une bonne idée. Après tout, vous ne pouvez pas vous déplacer plus loin vers la gauche que lorsque de nouvelles applications sont créées pour la première fois.
Mais que pense la communauté des développeurs de cette responsabilité ? Autrefois évalués presque exclusivement en fonction de la rapidité avec laquelle ils pouvaient coder, que pensent aujourd'hui les développeurs de leur nouveau rôle en tant que champions de la sécurité ? Et ont-ils le sentiment que la direction de leur entreprise soutient ces efforts en proposant une formation de qualité, de meilleures récompenses et la reconnaissance qu'ils méritent pour avoir assumé cette nouvelle responsabilité essentielle ?
Pour la deuxième année consécutive, nous sommes associés à Evans Data Corp. pour mener une enquête complète auprès de la communauté mondiale des développeurs concernant les compétences, les perceptions et les comportements en matière de pratiques de codage sécurisées, ainsi que leur impact et leur pertinence perçus sur le cycle de vie du développement logiciel (SDLC). Les résultats ont été assez surprenants à bien des égards.
L'état de l'enquête de sécurité menée par les développeurs en 2022
L'enquête Secure Code Warrior sur l'état de la sécurité pilotée par les développeurs a été menée par Evans Data Corp en décembre 2021. Des questions sur le codage des logiciels, la sensibilisation à la sécurité, la formation, l'assistance, les motivations et d'autres sujets ont été posées à 1 200 développeurs de logiciels actifs travaillant dans la région Asie-Pacifique, en Europe et en Amérique du Nord. L'enquête a été réalisée en anglais et traduite si nécessaire pour obtenir une perspective globale précise. Parmi les personnes interrogées figuraient des développeurs qui créent de nouvelles applications ainsi que des responsables issus de la communauté des développeurs.
Quelques découvertes surprenantes
Un livre blanc détaillé (Les défis (et opportunités) liés à l'amélioration de la sécurité logicielle) et un rapport (L'état de la sécurité pilotée par les développeurs, 2022) qui abordent tous les aspects de l'enquête seront publiés le lundi 11 avril. Le livre blanc inclut notre analyse des résultats et des préoccupations soulevées par la communauté concernant les pratiques de codage sécurisées, ainsi que des recommandations aux organisations pour donner aux équipes de développeurs les moyens d'améliorer la sécurité des logiciels.
Certains de ces défis sont susceptibles de soulever des questions pour tous ceux qui travaillent avec des développeurs au sein de leur organisation, ainsi que pour ceux qui font eux-mêmes partie de la communauté du développement. Ils l'ont certainement fait pour nous.
Par exemple, seulement 14 % des personnes interrogées ont indiqué que la sécurité des applications était une priorité absolue aujourd'hui. Au lieu de cela, les indicateurs plus traditionnels tels que les performances des applications et la hiérarchisation des caractéristiques et fonctionnalités sont restés au centre de leurs préoccupations.
La sécurité était si peu prioritaire que 67 % des développeurs interrogés ont admis qu'ils laissaient régulièrement des vulnérabilités et des exploits connus dans leur code. Ils l'ont fait soit en raison de délais serrés, en donnant la priorité à la fonctionnalité par rapport à la sécurité, soit parce qu'ils n'avaient tout simplement pas la formation ou les connaissances requises sur la manière de résoudre les problèmes de sécurité.
Dans de nombreux cas, les développeurs ont déclaré que leur organisation ne définissait pas ce qui constituait un code sécurisé et ne fournissait pas de formation ou de soutien adéquats pour changer cette situation.
Cependant, malgré certains résultats négatifs, il était également clair que les attitudes étaient en train de changer. La grande majorité des développeurs (66 %) s'attendaient à ce que la sécurité devienne une priorité accumulée au cours des 12 à 18 prochains mois, tandis que 82 % des responsables du recrutement qui ont répondu à l'enquête ont exprimé leur intérêt à recruter des développeurs qui s'y connaissent en sécurité plutôt que ceux qui ne le savent pas.
S'il ressort clairement des résultats de l'enquête que la communauté des développeurs et les organisations avec lesquelles ils travaillent sont confrontées à d'énormes changements, les plans pour un avenir à court et à long terme se dessinent également rapidement.
Restez à l'affût du livre blanc et du rapport détaillant les résultats complets de l'enquête, ainsi que des commentaires d'experts sur les défis liés aux pratiques actuelles de codage sécurisé et les opportunités que les entreprises peuvent saisir pour améliorer les compétences des développeurs en matière de sécurité et, en fin de compte, la sécurité logicielle.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
