Pour gérer vos consentements :

Quand le télédéveloppement est le nouveau statu quo

Après la déclaration de l’OMS désignant le COVID-19 comme une pandémie, toutes les entreprises internationales ont demandé à leurs employés de se mettre en télétravail.

Si certaines organisations étaient déjà équipées pour prendre en charge des employés virtuels, beaucoup découvrent qu’elles s’aventurent dans des eaux totalement nouvelles. En effet, les télétravailleurs nécessitent des mesures supplémentaires de vérification d’identité, une utilisation plus large des outils de chiffrement et de nombreux autres paramètres qui diffèrent de l’environnement de travail habituel.

La mise en télétravail provoquée par la crise du COVID-19 est loin d’être une opération banale. Les employés sont poussés vers le travail à distance sans préparation, sans avertissement ni processus en place. Pour ceux qui sont habitués à travailler à côté de leurs collègues de bureau, télétravailleur du jour au lendemain peut représenter un énorme défi.
Dans certains cas, les employés peuvent ne pas disposer chez eux d’un poste de travail productif. Les récentes fermetures d’écoles exacerbent la situation, les enfants en âge scolaire étant eux aussi obligés de rester à la maison, ce qui provoque des distractions constantes voire un environnement tendu dans certains cas.

Les cybercriminels ne sont pas en quarantaine

Les cybercriminels ne prennent pas de congés ni ne se mettent en quarantaine.
Au contraire, ils auraient plutôt tendance à intensifier leurs efforts – profitant de la situation en bombardant les télétravailleurs de logiciels malveillants et de campagnes de phishing.

Selon de nouvelles recherches, les domaines ayant pour thème les coronavirus ont 50 % plus de chances de propager des activités malveillantes que les autres domaines. Les personnes qui cliquent sur des liens pour obtenir plus d’informations et des mises à jour s’exposent, sans le savoir, à des risques importants pour eux-mêmes et pour leur entreprise.

Le fait que les personnes travaillent désormais à domicile ne signifie pas qu’elles ne sont pas reliées au réseau de leur entreprise. Au contraire, elles sont toujours connectées – simplement en utilisant le réseau Wi-Fi de leur logement. Ces connexions élargissent la surface d’attaque et sont souvent beaucoup plus faciles à infiltrer qu’un réseau d’entreprise.
En outre, en travaillant sur des ordinateurs portables et des tablettes on peut facilement transférer des données critiques sans se rendre compte du risque.

Les télédéveloppeurs face aux distractions

Les distractions constantes sont toujours une préoccupation pour les développeurs qui écrivent du code. C’est particulièrement vrai pour un développeur qui n’est pas habitué à écrire du code depuis son environnement familial, les distractions sont inévitables.
Un développeur distrait peut, sans le savoir, commettre de simples erreurs qui introduisent des vulnérabilités dans le code. Ou bien son manque de concentration peut l’amener à négliger des vulnérabilités qu’il aurait pu remarquer en travaillant au bureau.

Les alertes de vulnérabilité peuvent également ralentir les engagements du code et les cycles de développement. En effet, la fatigue d’alerte est un problème important, même pour les développeurs travaillant depuis son bureau dans l’entreprise pour faciliter le codage.
Comme chaque alerte prend plus de 10 minutes d’examen et que près de 50 % sont des faux positifs, les alertes – légitimes ou non – peuvent avoir un impact important sur la productivité des développeurs.

Recommandations aux développeurs pour rester concentrés et productifs

Voici quelques recommandations pour les développeurs qui se retrouvent chez eux, en territoire inhabituel, pour rester concentrés et productifs.

– Augmenter les pauses pendant le codage. Les approches traditionnelles de la sécurité des applications (AppSec) peuvent être une énorme source de distraction, même pour les développeurs dans un environnement de bureau. Les tests statiques de sécurité des applications (SAST) arrêtent le code pendant que l’on vérifie la présence de vulnérabilités dans le code et que celles-ci sont corrigées et vérifiées manuellement.
Les développeurs doivent plutôt intégrer l’AppSec dans l’application, ce qui permet d’identifier et de corriger les vulnérabilités au fur et à mesure du codage.

Automatiser dès que possible. Aujourd’hui, les gains de productivité dans pratiquement toutes les fonctions professionnelles sont souvent liées à l’automatisation. Dans le cas des développeurs, ils n’ont pas le temps d’identifier manuellement les vulnérabilités et de vérifier leurs corrections. Ils ont besoin d’une plate-forme AppSec qui les décharge de ces tâches.

– Pointer les alertes de vulnérabilité importantes. Les interruptions constantes associées aux alertes de vulnérabilité, puis le temps nécessaire pour les passer au peigne fin chaque jour, gaspillent une productivité précieuse tout en ralentissant les cycles de lancement des logiciels. Au lieu de repérer chaque vulnérabilité, les développeurs ont besoin d’une plate-forme AppSec qui réduise la liste aux alertes vraiment indispensables et non pas celles qui ne sont pas applicables en raison de leur environnement et des configurations qu’on ne voit jamais.

– Larguez les faux positifs. Les faux positifs peuvent devenir un frein à la productivité tant pour les développeurs que pour les professionnels de la sécurité qui doivent souvent travailler de concert pour y remédier. L’AppSec, basée sur des instruments, peut virtuellement éliminer les faux positifs en suivant les chemins empruntés par les applications plutôt qu’en testant le code par rapport à une liste noire.

– Barre à gauche pour réduire les travaux correctifs. De nombreuses approches traditionnelles de sécurité se concentrent sur l’identification et la correction des vulnérabilités lors de la phase de test du cycle de vie du développement des logiciels. Mais attendre de corriger les vulnérabilités à ce stade du processus de développement prend beaucoup plus de temps pour les identifier et les corriger.
Décaler l’identification des vulnérabilités à la phase de développement, en particulier lorsqu’elle est associée à des tests continus en temps réel, peut permettre de gagner un temps considérable.

Recent Posts

Du ransomware au ransomware as a service : comment aller plus loin dans la lutte à l’heure de l’Intelligence artificielle

Si j'avais un seul souhait à formuler pour 2024, ce serait que l'on cesse d’appeler…

7 heures ago

Le défi de la cybersécurité des infrastructures critiques du secteur de l’énergie

La cybersécurité est un enjeu crucial pour le secteur de l'énergie et de manière générale…

2 jours ago

Les paquets de données : pilier fondamental de la cybersécurité

L'absence d'une analyse poussée des paquets de données peut avoir des conséquences désastreuses pour les…

6 jours ago

Les entreprises en quête de solutions face aux faiblesses du cloud

La convergence d'un cadre de Zero Trust et d'une collaboration renforcée entre les équipes de…

1 semaine ago

Dark Web et groupes de cybercriminels : décryptage

Il est assez compliqué de bloquer l’accès au Dark Web. Cependant, en bloquant l’installation du…

1 semaine ago

Allier le FinOps au GreenOps pour des dépenses Cloud plus écoresponsables

En adoptant la méthode FinOps, une entreprise s’assure une optimisation de ses investissements Cloud. En…

2 semaines ago