Quand le télédéveloppement est le nouveau statu quo
Le mois qui vient de s'écouler est un mois que nous n'oublierons jamais, même si beaucoup d'entre nous aimeraient le faire. Au-delà de son impact économique et social massif, le coronavirus (COVID-19) perturbe massivement notre mode de vie et de travail. Les entreprises s'adaptent rapidement pour faire face aux effets en constante évolution du COVID-19.
Après la déclaration de l'OMS désignant le COVID-19 comme une pandémie, toutes les entreprises internationales ont demandé à leurs employés de se mettre en télétravail.
Si certaines organisations étaient déjà équipées pour prendre en charge des employés virtuels, beaucoup découvrent qu'elles s'aventurent dans des eaux totalement nouvelles. En effet, les télétravailleurs nécessitent des mesures supplémentaires de vérification d'identité, une utilisation plus large des outils de chiffrement et de nombreux autres paramètres qui diffèrent de l'environnement de travail habituel.
La mise en télétravail provoquée par la crise du COVID-19 est loin d'être une opération banale. Les employés sont poussés vers le travail à distance sans préparation, sans avertissement ni processus en place. Pour ceux qui sont habitués à travailler à côté de leurs collègues de bureau, télétravailleur du jour au lendemain peut représenter untélétravail.
Dans certains cas, les employés peuvent ne pas disposer chez eux d'un poste de travail productif. Les récentes fermetures d'écoles exacerbent la situation, les enfants en âge scolaire étant eux aussi obligés de rester à la maison, ce qui provoque des distractions constantes voire un environnement tendu dans certains cas.
Les cybercriminels ne sont pas en quarantaine
Les cybercriminels ne prennent pas de congés ni ne se mettent en quarantaine.
Au contraire, ils auraient plutôt tendance à intensifier leurs efforts - profitant de la situation en bombardant les télétravailleurs de logiciels malveillants et de
Selon de nouvelles recherches, les domaines ayant pour thème les coronavirus ont 50 % plus de chances de propager des activités malveillantes que les autres domaines. Les personnes qui cliquent sur des liens pour obtenir plus d'informations et des mises à jour s'exposent, sans le savoir, à des risques importants pour eux-mêmes et pour leur entreprise.
Le fait que les personnes travaillent désormais à domicile ne signifie pas qu'elles ne sont pas reliées au réseau de leur entreprise. Au contraire, elles sont toujours connectées - simplement en utilisant le réseau Wi-Fi de leur logement. Ces connexions élargissent la surface d'attaque et sont souvent beaucoup plus faciles à infiltrer qu'un réseau d'entreprise.
En outre, en travaillant sur des ordinateurs portables et des tablettes on peut facilement transférer des données critiques sans se rendre compte du risque.
Les télédéveloppeurs face aux distractions
Les distractions constantes sont toujours une préoccupation pour les développeurs qui écrivent du code. C'est particulièrement vrai pour un développeur qui n'est pas habitué à écrire du code depuis son environnement familial, les distractions sont inévitables.
Un développeur distrait peut, sans le savoir, commettre de simples erreurs qui introduisent des vulnérabilités dans le code. Ou bien son manque de concentration peut l'amener à négliger des vulnérabilités qu'il aurait pu remarquer en travaillant au bureau.
Les alertes de vulnérabilité peuvent également ralentir les engagements du code et les cycles de développement. En effet, la fatigue d'alerte est un problème important, même pour les développeurs travaillant depuis son bureau dans l'entreprise pour faciliter le codage.
Comme chaque alerte prend plus de 10 minutes d'examen et que près de 50 % sont des faux positifs, les alertes - légitimes ou non - peuvent avoir un impact important sur la productivité des développeurs.
Recommandations aux développeurs pour rester concentrés et productifs
Voici quelques recommandations pour les développeurs qui se retrouvent chez eux, en territoire inhabituel, pour rester concentrés et productifs.
- Augmenter les pauses pendant le codage. Les approches traditionnelles de la sécurité des applications (AppSec) peuvent être une énorme source de distraction, même pour les développeurs dans un environnement de bureau. Les tests statiques de sécurité des applications (SAST) arrêtent le code pendant que l'on vérifie la présence de vulnérabilités dans le code et que celles-ci sont corrigées et vérifiées manuellement.
Les développeurs doivent plutôt intégrer l'AppSec dans l'application, ce qui permet d'identifier et de corriger les vulnérabilités au fur et à mesure du codage.
-
- Pointer les alertes de vulnérabilité importantes. Les interruptions constantes associées aux alertes de vulnérabilité, puis le temps nécessaire pour les passer au peigne fin chaque jour, gaspillent une productivité précieuse tout en ralentissant les cycles de lancement des logiciels. Au lieu de repérer chaque vulnérabilité, les développeurs ont besoin d'une plate-forme AppSec qui réduise la liste aux alertes vraiment indispensables et non pas celles qui ne sont pas applicables en raison de leur environnement et des configurations qu'on ne voit jamais.
- Larguez les faux positifs. Les faux positifs peuvent devenir un frein à la productivité tant pour les développeurs que pour les professionnels de la sécurité qui doivent souvent travailler de concert pour y remédier. L'AppSec, basée sur des instruments, peut virtuellement éliminer les faux positifs en suivant les chemins empruntés par les applications plutôt qu'en testant le code par rapport à une liste noire.
- Barre à gauche pour réduire les travaux correctifs. De nombreuses approches traditionnelles de sécurité se concentrent sur l'identification et la correction des vulnérabilités lors de la phase de test du cycle de vie du développement des logiciels. Mais attendre de corriger les vulnérabilités à ce stade du processus de développement prend beaucoup plus de temps pour les identifier et les corriger.
Décaler l'identification des vulnérabilités à la phase de développement, en particulier lorsqu'elle est associée à des tests continus en temps réel, peut permettre de gagner un temps considérable.
Sur le même thème
Voir tous les articles Cybersécurité