Faire travailler ensemble les équipes de développement et de sécurité est aujourd’hui un véritable casse-tête pour les entreprises. Un enjeu d’autant plus fort que la transformation numérique a déplacé le risque applicatif en tête de liste des préoccupations non seulement des RSSI mais aussi des Directions générales. Les RSSI doivent en plus être en capacité de démontrer la sécurité de leurs produits lors de présentations commerciales, dorénavant un impératif pour la conversion des leads clients. En renforçant la culture sécurité de leurs développeurs, les entreprises pourront se concentrer sur des projets plus stratégiques. Voici quatre approches pour mettre en place un cadre de compétences et de méthodologies AppSec au service du business de l’entreprise.
Le code est important et pas seulement pour les développeurs. En effet, toute entreprise est aujourd’hui une entreprise logicielle qui doit transformer rapidement des idées innovantes en livrables performants pour ses clients.
Dans le cadre de pratiques DevOps (alignement et synchronisation de l’initiative des développeurs avec la cadence des opérations), intégrer la sécurité dans ses processus de développement devient donc crucial pour se protéger contre les cybermenaces mais aussi pour assurer la compétitivité et la pérennité de son entreprise. Un environnement DevOps implique de développer, tester et déployer du code de manière continue et rapide. La sécurité doit intervenir dans ce cycle le plus rapidement possible et à chacune de ses étapes, pour garantir une protection adéquate.
Si la démarche DevOps et son corollaire le DevSecOps requièrent des processus de collaboration, ces derniers ont encore du mal à se mettre en place à cause d’une organisation très silotée dans les entreprises entre les différentes parties prenantes : production, développement, sécurité et réseaux.
De plus, les intervenants ne sont pas forcément en relation avec les métiers pourtant donneurs d’ordre réguliers pour des applications visant à améliorer le business de l’entreprise.
Dans ce contexte marché software-dépendant où la sécurité des applications est cruciale pour garantir la pérennité des organisations, les développeurs ont leur rôle à jouer et il faut pour cela leur donner les clés d’une véritable culture de l’Appsec.
Définir les KPI et les aligner aux indicateurs clés de performance globale
Il est important de démontrer aux développeurs leur implication au succès global de l’entreprise. Quelles sont les attentes des clients en matière de sécurité ? Qu’est-ce qu’un nombre raisonnable de vulnérabilités lors du premier scan applicatif ? Que se passerait-il si des vulnérabilités applicatives parvenaient à être mises en production ?
Plus les KPI sont alignés aux objectifs de croissance et de réussite de l’entreprise et à l’impact client, plus les développeurs comprendront l’importance de l’AppSec.
Réduire la fatigue liée aux alertes et offrir un IDE intégré
La prolifération des outils de sécurité et l’augmentation consécutive et drastique des alertes a engendré une perte d’efficacité des processus. Aujourd’hui, l’ensemble des responsables sécurité et développement ont un besoin critique de consolidation d’alertes de sécurité mais aussi des reporting et des tableaux de bord, pour optimiser la gestion des risques et la hiérarchisation des tâches de remédiation des équipes.
Intégrer les fonctionnalités de tests aux flux de travail et proposer un environnement de développement intégré contribueront aussi à améliorer l’expérience AppSec.
Fournir les outils et développer les connaissances
Pour faciliter leur montée en compétence, il est nécessaire de former les développeurs de manière continue et en miroir par rapport au paysage évolutif et complexe des cyber menaces.
Des solutions d’apprentissage intégrées dans la routine de travail quotidienne et le flux de travail vont permettre de renforcer la sécurité des applications de la première ligne de code jusqu’à sa mise en production en proposant une expérience attractive via une interface utilisateur gamifiée.
Le parcours d’apprentissage doit être adaptatif et personnalisé en fonction des spécialisations des développeurs : Back-end, Front-end ou DevOps. Une approche sur mesure qui garantit que chaque développeur soit guidé à travers un apprentissage de codage sécurisé le plus pertinent pour son rôle et ses responsabilités spécifiques.
Automatiser les outils de test
Pour assurer la cohérence de l’ensemble du cadre Appsec, il est indispensable d’automatiser les tests. L’entreprise doit sélectionner des outils de tests qui identifient et corrigent automatiquement les vulnérabilités connues, exploits et autres erreurs de configuration non seulement dans le code statique mais aussi les API, l’infrastructure as code et toute bibliothèque open source inclue dans l’application.
L’intégration et l’automatisation du CI/CD améliorent l’expérience des développeurs et l’adoption des meilleures pratiques AppSec. Autoriser les tests AppSec au plus tôt du cycle de vie du développement logiciel, permettra d’éviter les « surprises » et les coûts de remédiation en production.
L’application de ces bonnes pratiques aux processus de développement et de sécurité des applications contribuera à générer un code plus sécurisé et à réduire les risques. Les développeurs ont un grand rôle à jouer pour le business de l’entreprise. Les engager dans la responsabilité de la satisfaction client, leur donner un environnement de travail approprié et des outils modernes au sein d’une approche d’analyse de code transparente, intégrée, sécurisée et automatisée vont indéniablement accélérer les cycles d’innovation et permettre de réellement concrétiser la notion de DevSecOps.
___________________
Par Fabien Petiau, Regional Director France, Checkmarx
puis