Discussion :

[Michael Guilloux]

En matière de sécurité, les développeurs sont influencés par leurs pairs et la culture d’entreprise
Selon une étude

Les développeurs utilisent-ils des outils de sécurité ? Quels sont les facteurs qui déterminent l’adoption de ces outils ? C’est à ces différentes questions que cinq chercheurs de l’Université de l’État de la Caroline du Nord et un chercheur de Microsoft Research ont essayé de répondre, à travers une étude dont le rapport a été récemment publié.

Les outils de sécurité sont recommandés pour les développeurs dans la mesure où ils leur permettent d’analyser ou d’exécuter leur code pour détecter les vulnérabilités. Il s’agit d’une mesure de précaution nécessaire, voire obligatoire, avant que les logiciels ne soient expédiés sur le marché ou livrés à un client. Par contre, pour des raisons que l’étude a tenté d’identifier, les outils de sécurité sont encore sous-utilisés par les développeurs.

Les chercheurs ont interrogé des développeurs de 14 entreprises et 5 listes de diffusion sur les raisons d'utiliser et de ne pas utiliser des outils de sécurité. C’est au total plus de 250 développeurs qui ont participé à l’enquête ; et si certains résultats étaient évidents, d’autres par contre n’étaient pas du tout attendus par les chercheurs.

« Comme on s'y attendait, les développeurs qui perçoivent que la sécurité est importante sont plus susceptibles d'utiliser des outils de sécurité que ceux qui ne le perçoivent pas », indique le rapport. « Mais ce ne fut pas le plus fort prédicteur de l'utilisation des outils de sécurité, c'était plutôt la capacité des développeurs à observer que leurs pairs utilisent des outils de sécurité ». En effet, les développeurs qui disent avoir vu ce que les autres étaient en mesure de faire avec les outils de sécurité étaient plus susceptibles de les adopter. Les développeurs ont donc tendance à imiter au sein de leur équipe les programmeurs axés sur la sécurité, qui sont considérés plus productifs et comme les plus « prestigieux ».

L’étude montre aussi que de nombreux développeurs n’utilisent pas d’outils de sécurité même quand ils estiment que la sécurité est importante dans le développement de logiciels. Parmi les raisons qui justifient cela, les chercheurs mettent en avant les caractéristiques des outils eux-mêmes. Certains développeurs estiment qu’ils ne sont parfois pas performants. Il peut par exemple arriver que ces outils indiquent des problèmes là où il n’y a en réalité aucun problème. En plus, ces outils ne sont pas toujours conviviaux, et tout cela affecte leur utilisation par les développeurs. Cela devrait donc interpeller les créateurs d’outils de sécurité.

Outre le fait que l’adoption des outils de sécurité par les développeurs est influencée par l’utilisation des pairs, l’étude révèle qu’il s’agit également d’une question de culture d’entreprise. Les développeurs qui travaillent dans les entreprises où l’accent est mis sur la sécurité ou qui ont des patrons qui s’attendent à ce qu’ils utilisent des outils de sécurité sont plus susceptibles de les adopter.

Au vu de ces résultats, Murphy Hill - professeur agrégé de sciences informatiques à l'Université de l’État de la Caroline du Nord - espère que « cette recherche donne aux entreprises de développement de logiciels et aux managers des informations qu'ils peuvent utiliser pour efficacement influencer l'adoption des outils de sécurité par les développeurs ».

Sources : NC State University, Rapport de l’étude (pdf)

Et vous ?

Qu’en pensez-vous ? Quelles sont les raisons pour lesquelles un développeur pourrait utiliser ou non des outils de sécurité ?

[MikeRowSoft]

Le semi-conducteur a pourtant la même question, que faire sans analystes programmeurs intermédiaires de tous les autres métiers quand il s'agit d'outils informatisé ou électronique (hors automatisme basique).

J'aurais plutôt demander a ses développeurs si le travail des autres (même métier ou pas) à une grande influence sur le leur?
Et surtout si ils ont compris se qui leur est demandé?

[BufferBob]

les développeurs sont influencés par leurs pairs et la culture d’entreprise

hmmm c'est intéressant, ça sous-entendrait que les développeurs sont des employés qui se conforment à la culture d'entreprise au même titre que n'importe quel autre corps de métier ? alors ça pour une nouvelle...
et du coup s'ils sont influencés par leurs pairs, on est en droit de se demander ce qui les influence quant au choix desdits pairs ? est-ce qu'ils font copains "parceque bon, z'étaient là alors bon..." ? ou est-ce une question d'affinité peut-être ? auquel cas ça voudrait dire que les développeurs qui utilisent les bons outils de sécu sont influencés par des gens qui pensent un peu comme eux, en gros ça revient à dire que si on leur met sous le nez dix tools de sécu y'en a toujours qui choisiront les bons, parcequ'ils ont cette sagacité intellectuelle qui leur permet de comprendre les enjeux de la sécurité informatique, et y'en aura toujours qui ne les utiliseront pas, parceque... voilà, et ils finiront sans doute par s'acoquiner avec des totos de leur trempe qui leur conseilleront eux aussi de mauvais outils, c'est un peu comme ça que tourne le monde non ? et ils s'y sont mis à 5 chercheurs pour trouver ça ?

Qu’en pensez-vous ? Quelles sont les raisons pour lesquelles un développeur pourrait utiliser ou non des outils de sécurité ?

• parceque ça l'intéresse (ou pas)
• parcequ'il est consciencieux et suffisament rapide pour coder vite et avoir le temps de se pencher sur "les détails" comme la sécu (ou pas)
• parceque sa hiérarchie lui demande explicitement de se préoccuper des questions de sécu (ou pas)

oui bon, j'ai beaucoup travaillé avec des développeurs web php, ça a peut-être biaisé mon jugement à ce niveau... :p (ou pas)