IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

81 % des équipes de développement admettent avoir sciemment mis en ligne du code vulnérable
20 % des cadres supérieurs reconnaissant même le faire souvent, selon un rapport d'Immersive Labs

Le , par Sandra Coret
9 commentaires

8PARTAGES

16  1 
Le rapport d'Immersive Labs, qui s'appuie sur les travaux d'Osterman Research, révèle un manque de confiance dans la sécurité des applications en général.

En effet, la moitié seulement des responsables de la sécurité des systèmes d'information pensent qu'il est possible de développer des applications sécurisées et 44 % seulement des équipes de sécurité pensent que leur entreprise pourrait résister à une attaque de type SolarWinds sur leur environnement de développement.

Sur les 260 équipes de sécurité et de développement interrogées, seules 39 % des équipes de sécurité déclarent disposer de suffisamment de temps et de ressources pour prendre en charge le "virage à gauche" nécessaire au développement d'un code sécurisé. Et seulement 54 % des équipes de sécurité interrogées pensent que les développeurs comprennent les dernières menaces qui pèsent sur la sécurité des applications.

Seulement 27 % des équipes de développement de première ligne considèrent que la sécurité est leur responsabilité, alors que 80 % de leurs cadres supérieurs pensent que c'est le cas, ce qui montre une déconnexion inquiétante. La moitié seulement des équipes chargées de la sécurité proposent des formations aux équipes chargées de la sécurité des applications tous les trimestres ou plus régulièrement, et 50 % d'entre elles affirment que ces formations sont toujours dispensées en classe. En conséquence, 45 % des équipes de développement estiment que leur compréhension des dernières attaques applicatives est insuffisante.


"La sécurisation des applications est peut-être le plus grand problème de sécurité auquel les organisations sont confrontées aujourd'hui", déclare James Hadley, PDG d'Immersive Labs. "Comme pour tout ce qui concerne la cybersécurité, le faire est autant un défi humain que technique. Les relations que les gens entretiennent, le stress qu'ils subissent, le développement personnel dont ils bénéficient et la culture qui les lie sont aussi importants que n'importe quelle contre-mesure électronique. Pour améliorer cela, le partage des informations et la progression personnelle par le développement des compétences sont cruciaux. Chez Immersive Labs, nous en sommes conscients et nous l'avons placé au centre d'une nouvelle plateforme conçue pour améliorer progressivement les compétences des équipes de développement – ce qui permet d'intégrer la sécurité dès le départ."

Source : Immersive Labs

Et vous ?

Que pensez-vous des résultats de ce rapport ?
D'après votre expérience, le trouvez-vous pertinent ou pas ?

Voir aussi :

Une vulnérabilité du kernel Linux expose la mémoire et provoque des fuites de données, alors que des discussions se poursuivent sur la prise en charge de Rust pour le développement du noyau Linux

La nouvelle plateforme DoControl aide les entreprises à prévenir les violations des applications SaaS

Une erreur dans cette actualité ? Signalez-nous-la !

9 commentaires
Commenter Signaler un problème
walfrat
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 18/05/2021 à 9:10
Ce titre frôle la diffamation en faisant de nous de parfait bouc émissaire et en nous déléguant toute la responsabilité de la sécurité quand il n'y a aucun financement pour actuellement faire des revues de code,...

Un titre plus correct serait : "81% des ingénieurs sont payés pour livrés des features et pas du code secure et en sont parfaitement conscient".
5  0 
Avatar de
https://www.developpez.com
Le 18/05/2021 à 10:44
Le développement est une activité largement sous-traitée et tertiarisée. Côté donneurs d'ordre, l'intérêt des utilisateurs finaux n'est pas pris en compte quand il s'agit de décider des budgets et à quelle société attribuer les appels d'offre, dont on ne s'assure jamais de la compétence. Et les responsables IT ne connaissent tout simplement pas les produits vendus par leur entreprise. Dans ces conditions, la qualité du travail rendu n'est pas la priorité, loin de là.

Dernier exemple en date dans ma société, le top management a décidé qu'il fallait remettre au goût du jour une application interne développée en Delphi travaillant de concert avec des progiciels Windows, via leurs serveurs COM. La base choisie pour la nouvelle application est NodeJS dans un Cloud Azure. Avant même d'avoir pu présenter quoique ce soit, tous le budget à été consommé pour coder ce que faisaient les dits serveurs COM. Mon entreprise a dû acheter des nouvelles licences réseau pour les dits progiciels (plus de 100000€) afin de faire fonctionner le bouzin. A ce jour, rien de fonctionnel n'a été présenté. La société sous-traitante a finalement été virée du projet, mais notre responsable IT groupe n'a pas été inquiété pour autant malgré cette débâcle.
2  0 
Astraya
Avatar de Astraya
Membre chevronné https://www.developpez.com
Le 18/05/2021 à 8:45
Et c'est pas prêt de changer. La priorité des chef de projet et autres directeurs est de livrer au plus vite pour soit appâter le chaland soit pour faire plaisir aux clients.
Quand je vois que l'on prend à peine le coche de l'intégration continue dans certaines boîtes... Alors du code sans faille...
1  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 18/05/2021 à 9:23
La cybersécurité est un métier à part entière. Si les gouvernement prônent le zero trust, les moyens mis en face sont insuffisants pour mettre en place une équipe dédiée à chaque projet pour gérer la sécurité. Il ne s'agit pas de clouer au pilori les développeurs mais les décideurs en haut lieu ne gérant pas les budgets adéquats pour palier au résultat de cette étude. De plus, les ressources humaines manquent à l'appel. De ces faits, je ne comprends pas le pouce rouge pour cette news.

D'après votre expérience, le trouvez-vous pertinent ou pas ?
D'après ma maigre expérience en tant que chef de projet d'une solution de sécurité, la patience était inversement proportionnelle aux ressources humaines allouées. Et encore, j'estime avoir été bien loti comparativement à d'autres qui n'ont même pas ce genre de travail à réaliser. Au moins, la conscience de la nécessité de sécuriser était présente alors qu'à l'époque, l'innovation à la mode était au cloud et à l'intelligence artificielle.
1  0 
walfrat
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 29/06/2021 à 14:48
Je ne vois pas où est le problème.

Que les développeurs sachent que ce qu'ils ont fait peut résister à des bots éventuellement mais pas a une attaque ciblé d'un spécialiste n'est pas un problème, c'est de la lucidité pur et simple.

Tout les conseils de sécurité qu'on peut généralement trouvé sur le net à partir du quel un développeur lambda peut faire des efforts sur la sécurité de son application c'est avant tout pour lutter contre les tentatives automatisées tel que le déni de service, les attaques par dictionnaires, certainement pas contre une équipe de hackeur financé par un état.

Je voudrais bien savoir pourquoi on a des équipes de sécurité qui publient des rapports aussi débiles ? Ils vendent des formations pour faire de ton équipe des roxxors de la sécurité en 3 mois ?

XKCD References :

https://xkcd.com/538/ (ou https://en.wikipedia.org/wiki/Rubber..._cryptanalysis)
https://xkcd.com/2176/
https://xkcd.com/932/
0  0 
walfrat
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 03/11/2021 à 9:26
70 % des développeurs achèvent "fréquemment" ou "toujours" des projets sans effectuer toutes les étapes de sécurité
Bien que j'ai une culture générale de la sécurité, je ne saurais dire quel sont toutes les étapes de sécurité a effectuer dans un projet.

Et même avec une liste des étapes complètes, je suis pas certain de vouloir en prendre la responsabilité.

Que ce soit claire, je ne doute pas que des étapes de sécurité sont mâchés parce que .. ça fait chier et ça prend du temps, mais on a aussi un manque de personnel spécialisé pour gérer ça. Je ne pense pas qu'il soit de la responsabilité d'un développeur lambda que gérer la sécurité d'un projet.
0  0 
Mingolito
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 18/05/2021 à 18:38
Cette étude est parfaitement pertinente, explication : Un tiers des travailleurs du secteur des technologies admettent ne travailler que 3 à 4 heures par jour à part une poignée de vrai bosseurs, le plus gros des développeurs en France sont des gros feignants qui préfèrent largement passer 70% de leurs heures de travail à jouer à des jeux vidéos à ou surfer sur des sites pornos plutôt que de se former à sécuriser leur code.
Au lieu de ça certains font du code obfusqué, donc illisible sauf par eux pour être bien sur de ne pas se faire virer même en ne foutant rien.
C'est tout à fait normal que les développeurs en France soient sous payés vu qu'ils bossent que 30% du temps, et que les manager soit largement sur payés car manager cette bande de tire-au-flanc juste bon à faire l'apéro tous les jours c'est un cauchemar. Ca arriverais pas au Japon ou il y a de vrais développeurs travailleurs et honnêtes.

1  5 
Commenter Signaler un problème