Entre prévention et adaptation, il n’y a qu’un pas. Et en ce mois d’octobre dédié à la cybersécurité, il est essentiel de rappeler qu’il vaut mieux prévenir une vulnérabilité informatique qu’y remédier en catastrophe. En ce sens, la formation des développeurs joue un rôle essentiel dans la réduction du risque des vulnérabilités de code.
Or, les développeurs ne disposent pas systématiquement des connaissances et compétences nécessaires pour remédier à ces failles. Environ 68% des développeurs et des professionnels IT affirment que leur entreprise ne leur fournit pas la formation adéquate en matière de sécurité des applications… qui pourtant fait toute la différence. Les données du Rapport sur l’état de la sécurité logicielle de Veracode (SoSS Report) ont ainsi révélé que l’eLearning dédié à la sécurisation du codage améliorait les taux de remédiation par les développeurs de 19 % ; plus encore, le coaching en remédiation augmente ce même taux de 88 %.
Il est donc établi que la formation des développeurs dédiée à la sécurisation du code est à la fois nécessaire et efficace. Mais pour ce faire, il convient de garder à l’esprit trois éléments clés lors de la mise en place de telles formation :
1. Prenez en compte les modalités de chaque développeur et le contenu programmé
Envisager plusieurs types de formation peut s’avérer utile afin de déterminer son propre style et ses propres préférences d’apprentissage, prendre en compte les différents fuseaux horaires et opter pour un enseignement rapide ou en profondeur en fonction de ses besoins. C’est pourquoi une formation d’eLearning suivie à votre rythme, couplée à un cours périodique animé par un coach peut-être une expérience pertinente. En termes de contenu, assurez-vous que la formation est adaptée à votre domaine d’expertise et au langage de programmation que vous êtes amené à solliciter. Par exemple, les idiosyncrasies de sécurité varient selon le langage de programmation utilisé, sachant que chaque langage est susceptible d’être exposé à un type de vulnérabilité différent selon sa nature. Il est donc essentiel que votre formation soit spécifique au langage que vous utilisez pour coder.
2. Apprenez sur le tas
Combinez votre formation classique avec un apprentissage quotidien du codage et de sa sécurisation, des conseils de remédiation permanents, et un feedback régulier sur les meilleures pratiques à adopter. Lorsque les développeurs reçoivent des commentaires instantanés en même temps qu’ils apprennent à coder de manière sécurisée, ils sont plus enclins à créer un code sain dès le départ. Aujourd’hui, nombreuses sont les solutions de test de sécurité des applications qui offrent ces options.
3. Faites confiance aux Security Champions
Enfin, l’un des meilleurs moyens de restituer les bonnes pratiques du codage apprises lors d’une formation consiste à recourir à des « Security Champions » au sein de votre équipe de développeurs. Un Security Champion est un développeur spécialisé dans la fiabilité du code et qui contribue à amplifier le message de sécurité au sein de l’équipe. Ces champions n’ont guère besoin d’être des professionnels ; ils doivent simplement agir en tant que « conscience de sécurité » pour l’équipe, en gardant un œil aguerri sur les vulnérabilités potentielles. Une fois que l’équipe a pris connaissance de ces problèmes, elle peut ensuite les résoudre ou faire appel à des experts en sécurité de son entreprise afin de les traiter.