Chaque développeur doit se poser une question, que vous soyez diplômé ou vétéran. Et la réponse est importante. Cela est devenu encore plus important dans un monde agile, car cela aura un impact direct sur votre réussite en génie logiciel et sur votre valeur pour votre prochain employeur.
C'est la question d'un million de dollars. En fait, c'est une question de plusieurs millions de dollars !
Êtes-vous déterminé à m'aider à coder en toute sécurité ?
Le coût moyen d'une violation de données s'élève désormais à 3,6 millions de dollars américains. La probabilité que votre entreprise soit piratée cette année est d'une sur quatre. Compte tenu de ces faits, je partage la frustration de nombreuses personnes face au fait que les développeurs ne terminent pas leurs études universitaires avec des compétences en matière de codage sécurisé et de sécurité intégrées à leur ADN.
Pourquoi ? Le génie logiciel est encore une profession relativement jeune. L'accent a été mis sur l'enseignement aux utilisateurs de la manière de créer du code rapidement, de le rendre élégant et fonctionnel, mais en mettant très peu l'accent sur la sécurisation du code. Le rythme de l'évolution des méthodologies, des technologies, des langages et des opportunités ne fait qu'exacerber ces principales lacunes en matière de compétences.
Nous n'allons pas modifier le système universitaire rapidement. Les développeurs comme les entreprises doivent donc s'attendre à ce que les développeurs acquièrent des compétences de codage sécurisé sur le tas. Dans certaines professions, vous pouvez apprendre en faisant des erreurs, mais pour d'autres, ce n'est pas une option. Il en va de même pour la cybersécurité.
Les faits montrent que nous n'avons pas non plus obtenu de très bons résultats en matière de formation en cours d'emploi à la sécurité des développeurs. La plupart des principales failles de sécurité dans le monde sont dues à des erreurs de codage qui permettent aux pirates informatiques d'obtenir des privilèges sur les réseaux informatiques, ce qui leur permet d'accéder à des données précieuses et de les récolter. Rapport d'enquête sur les violations de données de Verizon (DBIR) 2017, montre que 30 % de toutes les violations sont directement causées par des faiblesses dans la sécurité des applications Web et cette conclusion est constante dans le rapport DBIR depuis 2013.
Le Enquête mondiale 2017 sur les compétences DevSecOps publié en août 2017, a confirmé ce que nous savions déjà : alors que 65 % des professionnels DevOps pensent qu'il est très important de connaître DevSecOps lorsqu'ils entrent dans l'informatique, 70 % estiment ne pas recevoir la formation nécessaire dans le cadre d'une formation officielle pour réussir dans le monde DevSecOps d'aujourd'hui.
Près de 40 % des responsables du recrutement interrogés ont indiqué que les employés les plus difficiles à trouver étaient les développeurs haut de gamme polyvalents possédant des connaissances suffisantes en matière de tests de sécurité. 70 % des personnes interrogées ont déclaré que la formation en matière de sécurité qu'elles avaient reçue n'était pas adaptée à leurs postes actuels. En fait, moins de 4 % ont déclaré en avoir eu la moindre opportunité.
Je l'ai constaté de mes propres yeux lorsque j'ai passé près de dix ans à travailler avec plusieurs équipes de hackers professionnels. Avec une régularité tragique, nous avons fait irruption dans de grandes entreprises, des start-up et des ministères, en trouvant toujours les mêmes faiblesses.
C'est pourquoi les développeurs doivent s'exprimer lorsque vous êtes embauché. Si votre employeur potentiel ne prend pas au sérieux votre formation à la sécurité des développeurs, vous devriez réfléchir au type d'entreprise que vous envisagez de rejoindre.
La deuxième question que vous devriez vous poser est de savoir comment ils prévoient de le mettre en œuvre. Sera-t-il pratique et interactif ? Il est peu probable que la formation à la sécurité des développeurs sur les vulnérabilités à l'aide de slidewares, de vidéos, d'animations cliquables ou de discussions abstraites vous aide directement dans votre codage. Est-ce qu'ils veilleront à ce que vous soyez constamment tenu au courant des dernières vulnérabilités ? Existe-t-il une guilde ou une communauté de sécurité auprès de laquelle vous pouvez apprendre ? Existe-t-il des spécialistes de la sécurité auxquels vous pouvez vous adresser si vous avez besoin d'aide ?
Un engagement en faveur de vos compétences en matière de codage sécurisé nécessite un apprentissage continu grâce à des défis pratiques dans des cadres de codage spécifiques et en vous confrontant à différentes vulnérabilités dans de multiples scénarios. Vous ne pouvez tout simplement pas en apprendre davantage sur les injections SQL par le biais d'un seul exemple. Vous devez être exposé à de nombreux exemples de types différents pour apprendre à reconnaître ces modèles de codage dangereux.
L'un de nos clients a demandé à ses développeurs de relever un seul défi (5 minutes) par jour pendant deux mois. Il a testé leurs compétences avant et après la période de formation et a observé une augmentation de 60 % de la capacité de codage sécurisé par rapport à un groupe de centaines de développeurs. Cela signifie moins de ressources consacrées à la détection et à la correction des bogues de sécurité plus tard dans le cycle de vie et d'importantes économies à long terme. Cela signifie que les pirates informatiques n'utiliseront pas votre code pour compromettre les données de votre entreprise.
Selon une étude d'IDC, il y avait 11 millions de développeurs professionnels dans le monde en 2014. En 2015, Burning Glass a découvert que pas moins de 7 millions de professions exigeaient des compétences en programmation et que les emplois en programmation augmentaient en moyenne 12 % plus rapidement que le marché.
Il existe de nombreux emplois dans le domaine des logiciels. Prenez donc position et choisissez des employeurs qui s'engagent à prendre soin de leur sécurité, de la vôtre et de celle de leurs clients. Par extension, choisissez des entreprises qui investissent en vous.
Chaque développeur doit se poser une question, que vous soyez diplômé ou vétéran. Et la réponse est importante. Cela est devenu encore plus important dans un monde agile, car cela aura un impact direct sur votre réussite en génie logiciel et sur votre valeur pour votre prochain employeur.
C'est la question d'un million de dollars. En fait, c'est une question de plusieurs millions de dollars !
Êtes-vous déterminé à m'aider à coder en toute sécurité ?
