L’année 2021 est bien révolue. Mais alors que nous terminons le premier semestre de 2022, nous avons toujours en mémoire les leçons de l’année dernière, surtout en matière de sécurité des applications. Comme au cours des années précédentes, les méga-piratages et les attaques de ransomware hautement médiatisées ont été chose courante. Ce qui a changé, c’est la réaction des gouvernements et du secteur privé. L’année 2021 pourrait être considérée comme un tournant crucial en matière de sécurité ; l’année où, collectivement, nous nous sommes engagés à agir pour améliorer nos pratiques de sécurité. Si 2021 appelait à l’action, 2022 sera-t-elle l’année qui répondra présente ?

Beaucoup d’encre numérique a coulé sur la nécessité d’un « shift left » en matière de sécurité, ce qui, le plus souvent, revient à placer les outils communément utilisés par les professionnels de la sécurité dans les mains des développeurs de logiciels. L’idée est qu’en analysant les applications pour détecter les vulnérabilités tôt dans le processus, les équipes de développement sont en mesure d’identifier et de corriger les vulnérabilités logicielles avant qu’elles n’arrivent en production. Idéalement, cela aura pour effet de soulager des équipes de sécurité surchargées qui n’ont alors plus à traiter ces vulnérabilités de manière réactive juste avant, ou même après, la mise en production, libérant ainsi du temps pour un travail de sécurité plus stratégique et proactif.

Bien que cela tienne la route en théorie, il arrive souvent qu’en pratique, les équipes de développement utilisent les outils de sécurité prescrits, mais manquent des connaissances ou du soutien nécessaires pour tout corriger elles-mêmes, de sorte que les vulnérabilités subsistent jusqu’aux équipes de sécurité. L’analyse et la transmission en aval des vulnérabilités aux équipes de sécurité des applications surchargées ne répondent pas vraiment à la promesse du shift left. Cela ne fait que déplacer le problème en aval.

Un déficit de compétences en matière de sécurité

L’enquête DevSecOps 2021 de GitLab a révélé que plus d’un tiers des développeurs interrogés se sentaient « entièrement responsables de la sécurité au sein de leur organisation (contre 28 % l’année dernière), tandis que 32 % ont déclaré partager la tâche avec d’autres équipes. » Les exigences imposées aux équipes de développement en matière de sécurité ne font qu’augmenter. Néanmoins, ces équipes reçoivent les résultats des analyses de sécurité sans aucune guidance sur la manière de résoudre les problèmes identifiés ou d’expliquer l’impact potentiel. Frustrés, les développeurs sont donc tentés d’ignorer les résultats pour livrer un code plus rapidement, renvoyant l’ascenseur aux équipes de sécurité des applications. Résultat : accroissement des tensions entre les équipes et allongement du cycle de lancement.

Pour que les développeurs puissent tenir la promesse du ’shift left’, ils ont besoin d’une formation à la sécurité en temps réel qui leur permettrait d’identifier et de corriger les failles de sécurité dès qu’elles apparaissent, de prévenir de manière proactive les problèmes de sécurité et de communiquer et d’attribuer les responsabilités en matière de sécurité au sein de leurs équipes. Les entreprises continuent de confier aux développeurs des responsabilités supplémentaires en matière de sécurité sans leur fournir le moindre soutien ou la moindre formation sur la manière de répondre aux alertes de sécurité.

En fait, la plupart des développeurs ne sont pas experts en sécurité. Même les ingénieurs logiciels expérimentés n’ont pas le temps de tout apprendre dans le vaste univers de la sécurité. Ils ont besoin d’informations pertinentes qui leur sont présentées à chaque fois qu’ils doivent comprendre un problème de sécurité spécifique. C’est pourquoi il est essentiel que les plateformes de développement logiciel aillent trouver les ingénieurs là où ils se trouvent et proposent des formations à la sécurité en temps réel, continuellement mises à jour et adaptées au contexte. Une formation intégrée à la sécurité est le meilleur moyen de garantir aux développeurs une information en temps réel, sans renvoyer le travail de sécurité sur des équipes déjà surchargées.

Cependant, ces compétences sont rarement enseignées dans les cours théoriques ou dans les cours intensifs de codage. Bien que la plupart des entreprises exigent des développeurs de logiciels qu’ils suivent une formation annuelle sur la sécurité, ces formations consistent généralement en une simple présentation ou en une vidéo générique sur les vulnérabilités et les problèmes logiciels. Ce type de formation conduit rarement à une compréhension réelle du sujet. En outre, le délai entre l’apprentissage et l’application des connaissances réduit le potentiel d’engagement et de rétention durables.

La sécurité passe par des développeurs autonomes

Contrairement aux anciennes générations de développeurs de logiciels, qui apprenaient principalement dans les livres et les cours universitaires, les jeunes générations de développeurs apprennent à l’aide de ressources en ligne comme les blogs, les vidéos et les cours intensifs. Une étude de Stack Overflow a d’ailleurs révélé que près de 60 % des développeurs interrogés ont appris à coder grâce à des ressources en ligne. Les plateformes que nous utilisons pour développer des logiciels doivent être adaptées à ce nouveau style d’apprentissage.

Les développeurs subissent suffisamment de pression pour fournir du code de manière efficace. Au lieu de formations longues et compliquées, ils doivent recevoir des exercices de codage courts qui contiennent des conseils ciblés et adaptés au contexte pour acquérir des compétences pratiques. Cela aura pour effet de réduire le délai entre l’apprentissage d’une nouvelle compétence et sa mise en pratique et permettra aux développeurs d’identifier presque instinctivement les problèmes de sécurité pendant qu’ils codent et de réduire ainsi le nombre de vulnérabilités courantes qui apparaissent lors de la création d’un logiciel.

Les entreprises étant de plus en plus nombreuses à adopter un flux de travail qui permet aux développeurs de résoudre les vulnérabilités rapidement et tôt dans le processus, elles seront en mesure, à terme, de livrer un code sécurisé plus rapidement tout en améliorant la qualité de leurs livraisons. La formation au codage sécurisé dans le cadre du flux de travail DevOps automatise et adapte le service de remédiation pour les développeurs et permet aux équipes de sécurité des applications de se concentrer sur la réduction proactive des risques de sécurité et le renforcement de la sécurité globale de l’organisation. C’est là le véritable potentiel du shift left de la sécurité.