La formation à elle seule ne peut pas réparer les lacunes de sécurité des développeurs citoyens

Le développement sans code est la réécriture, sans jeu de mots, comment les applications commerciales sont créées. Avec des interfaces visuelles de glisser-déposer, des modèles prédéfinis et des composants réutilisables, les développeurs de citoyens de tous les coins de l’entreprise sont désormais en mesure de créer des applications sans codage d’expérience et de les déployer en jours ou même en heures, plutôt qu’à des semaines ou des mois.

Des professionnels des ressources humaines automatisant les demandes de cartes de repas des employés aux équipes de vente qui tournent les pipelines et traitent des tableaux de bord, la démocratisation du développement est réelle et irréversible.

Mais alors que les plates-formes de développement sans code sont des projets d’ingénierie ombragée rapidement, la sécurité se maintient-elle?

Barrières de formation des développeurs citoyens

Dans la plupart des organisations, la formation en sécurité est une composante centrale des cadres de cybersécurité et souvent une exigence de conformité. Aider les employés à reconnaître et à répondre aux cybermenaces réduit considérablement l’erreur humaine, la principale cause de violations de sécurité.

Cela dit, la formation traditionnelle en matière de sécurité pour le personnel informatique et les équipes des développeurs techniquement inclinée est déjà un défi formidable. Découvrez la formation pour les développeurs citoyens – les employés avec peu ou pas de formation informatique ou de sécurité officielle – est exponentiellement plus difficile pour plusieurs raisons:

• HOTTERS Divers: Les développeurs de citoyens sont d’abord les utilisateurs professionnels. Ils ont généralement peu ou pas de compréhension de la conformité ou du codage sécurisé. Beaucoup ne connaissent pas les risques inhérents au développement d’applications en ligne ou aux ramifications de sécurité de l’intégration de connecteurs et de sources de données tiers.
• Empreinte mondiale: Les organisations multinationales doivent dispenser une formation dans plusieurs langues et contextes culturels, en adaptant du contenu pour résonner avec les normes locales et les exigences réglementaires.
• Prolifération de la plate-forme: Avec plusieurs plates-formes sans code – chacune avec des fonctionnalités uniques, des vulnérabilités et des cycles de mise à jour – garder la formation à jour est un cauchemar logistique.
• Échelle: Les entreprises peuvent avoir des milliers de développeurs citoyens dispersés dans les unités commerciales, ce qui rend la surveillance centralisée et le déploiement de formation extrêmement difficile.
• Faire demi-tour: De nouvelles applications peuvent être construites et déployées en jours ou même en heures, laissant peu de temps aux cycles d’entraînement traditionnels pour rattraper leur retard, créant des lacunes au risque avant que les étapes d’atténuation puissent être mises en œuvre.

Pourquoi la formation à la sécurité est courte

C’est un fait bien connu: la formation à la sécurité a toujours eu du mal à effectuer un changement de comportement durable. Pendant deux décennies, les employés ont été informés: « Ne cliquez pas sur des liens suspects dans les e-mails. » Pourtant, les tarifs de clic sur les e-mails de phishing restent obstinément élevés. Pourquoi? L’erreur humaine est persistante, donc la formation seule ne suffit pas.

En réponse, les entreprises superposent la technologie – les passerelles de courrier électronique avancées, le bac à sable, la détection et la réponse des points de terminaison (EDR) et la numérisation d’URL en temps réel – autour des utilisateurs pour compenser leurs défaillances inévitables en jugement.

Envisagez une formation en sécurité pour les développeurs professionnels. Selon un rapport de la Open Source Security Foundation de la Fondation Linux (OpenSSF), 28% des développeurs ne sont pas familiers avec des pratiques de codage sécurisées et 53% n’ont jamais suivi de cours sur le sujet.

De plus, il y a une insatisfaction généralisée à l’égard de la formation théorique et impraticable. L’industrie a répondu avec diverses méthodes de test de sécurité, notamment des tests de sécurité des applications statiques (SAST), des tests de sécurité des applications dynamiques (DAST), un cycle de vie de développement logiciel sécurisé (SSDLC), des revues de code par les pairs, etc.

La leçon est claire: la formation est nécessaire mais insuffisante et doit être complétée par des contrôles technologiques.

Développement des citoyens: nouvelle frontière, même ancien problème

La même dynamique se joue maintenant avec le développement sans code. Les entreprises sont confrontées à des risques comme les défauts d’injection, l’accès aux données non autorisé et les contournements de sécurité – qui sont tous introduits par des développeurs citoyens.

Malheureusement, les outils d’applications traditionnels ne sont pas à court d’applications sans code, qui ne sont pas construites ligne par ligne et reposent sur la logique propriétaire inaccessible aux analyses de code standard. Même avec l’accès, l’interprétation de leurs risques exige une expertise spécialisée en cybersécurité, ce qui rend les outils traditionnels de balayage de code inefficaces. De plus, les plates-formes sans code bloquent souvent l’intégration d’exécution, ce qui rend les outils Dast incompatibles avec ces environnements.

Voici trois barrages routiers spécifiques qui empêchent souvent les organisations d’atténuer les risques dans le développement d’applications sans code:

• Manque de gouvernance et de visibilité: Les équipes de sécurité manquent souvent d’outils pour surveiller ou appliquer des politiques sur les plates-formes sans code. Sans visibilité, même les professionnels de l’APPSEC les plus expérimentés volent aveugles et incapables d’évaluer quelles données sensibles peuvent être exposées ou à risque.
• Remédiation et apprentissage: Lorsque des problèmes sont découverts, la correction se produit souvent isolément, avec peu de commentaires aux développeurs de citoyens. La possibilité d’apprendre et d’amélioration est perdue.
• Risques spécifiques à la plate-forme: Chaque plate-forme sans code introduit des vulnérabilités uniques. La formation doit être adaptée, mais le rythme de l’évolution de la plate-forme rend cela presque impossible à grande échelle.

Pourquoi aucun code a besoin d’applications dédiées

La formation sera toujours une goutte dans le seau en matière de sécurité sans code. Le développement des citoyens n’est rien de moins qu’un changement de paradigme qui exige la sécurité des applications évoluée. Nous avons besoin de contrôles de sécurité efficaces construits à l’usage pour les environnements sans code.

Voici quatre façons dont les mesures de sécurité sans code dédiées peuvent atténuer les risques:

• Application des politiques automatisées: Les solutions AppSec sans code peuvent surveiller le développement d’applications en temps réel, en signalant les vulnérabilités, les configurations risquées, les expositions de données et les défauts d’intégration avant leur mise en ligne.
• Éducation et correction en contexte: Au lieu d’une formation de conformité une fois dépassée, ces outils fournissent des conseils juste à temps, alertant les développeurs citoyens des problèmes lorsqu’ils construisent et expliquent comment les réparer.
• Visibilité centralisée: Les équipes de sécurité obtiennent une vue unifiée de toutes les activités sans code dans l’entreprise, ce qui leur permet de hiérarchiser les risques, d’appliquer les normes et de répondre rapidement aux incidents.
• Adaptation continue: Au fur et à mesure que les plateformes et les menaces évoluent, les solutions dédiées mettent à jour les protections automatiquement, combler l’écart laissé par les programmes de formation lente.

Bien que la formation reste essentielle, elle ne suffit pas à elle seule. L’échelle, la vitesse et la diversité de l’adoption sans code exigent une nouvelle approche en couches de la gestion des risques – celle qui prend des contrôles techniques au-delà de l’éducation des utilisateurs et intégre la sécurité directement dans l’expérience de développement. En établissant la sécurité dans le tissu de l’innovation, nous pouvons permettre aux développeurs des citoyens de se déplacer rapidement – sans casser les choses ou exposer les données commerciales critiques.