Les développeurs utilisent-ils des outils de sécurité ? Quels sont les facteurs qui déterminent l’adoption de ces outils ? C’est à ces différentes questions que cinq chercheurs de l’Université de l’État de la Caroline du Nord et un chercheur de Microsoft Research ont essayé de répondre, à travers une étude dont le rapport a été récemment publié.Les outils de sécurité sont recommandés pour les développeurs dans la mesure où ils leur permettent d’analyser ou d’exécuter leur code pour détecter les vulnérabilités. Il s’agit d’une mesure de précaution nécessaire, voire obligatoire, avant que les logiciels ne soient expédiés sur le marché ou livrés à un client. Par contre, pour des raisons que l’étude a tenté d’identifier, les outils de sécurité sont encore sous-utilisés par les développeurs.
Les chercheurs ont interrogé des développeurs de 14 entreprises et 5 listes de diffusion sur les raisons d'utiliser et de ne pas utiliser des outils de sécurité. C’est au total plus de 250 développeurs qui ont participé à l’enquête ; et si certains résultats étaient évidents, d’autres par contre n’étaient pas du tout attendus par les chercheurs.
« Comme on s'y attendait, les développeurs qui perçoivent que la sécurité est importante sont plus susceptibles d'utiliser des outils de sécurité que ceux qui ne le perçoivent pas », indique le rapport. « Mais ce ne fut pas le plus fort prédicteur de l'utilisation des outils de sécurité, c'était plutôt la capacité des développeurs à observer que leurs pairs utilisent des outils de sécurité ». En effet, les développeurs qui disent avoir vu ce que les autres étaient en mesure de faire avec les outils de sécurité étaient plus susceptibles de les adopter. Les développeurs ont donc tendance à imiter au sein de leur équipe les programmeurs axés sur la sécurité, qui sont considérés plus productifs et comme les plus « prestigieux ».
L’étude montre aussi que de nombreux développeurs n’utilisent pas d’outils de sécurité même quand ils estiment que la sécurité est importante dans le développement de logiciels. Parmi les raisons qui justifient cela, les chercheurs mettent en avant les caractéristiques des outils eux-mêmes. Certains développeurs estiment qu’ils ne sont parfois pas performants. Il peut par exemple arriver que ces outils indiquent des problèmes là où il n’y a en réalité aucun problème. En plus, ces outils ne sont pas toujours conviviaux, et tout cela affecte leur utilisation par les développeurs. Cela devrait donc interpeller les créateurs d’outils de sécurité.
Outre le fait que l’adoption des outils de sécurité par les développeurs est influencée par l’utilisation des pairs, l’étude révèle qu’il s’agit également d’une question de culture d’entreprise. Les développeurs qui travaillent dans les entreprises où l’accent est mis sur la sécurité ou qui ont des patrons qui s’attendent à ce qu’ils utilisent des outils de sécurité sont plus susceptibles de les adopter.
Au vu de ces résultats, Murphy Hill - professeur agrégé de sciences informatiques à l'Université de l’État de la Caroline du Nord - espère que « cette recherche donne aux entreprises de développement de logiciels et aux managers des informations qu'ils peuvent utiliser pour efficacement influencer l'adoption des outils de sécurité par les développeurs ».
Sources : NC State University, Rapport de l’étude (pdf)
Et vous ?
Qu’en pensez-vous ? Quelles sont les raisons pour lesquelles un développeur pourrait utiliser ou non des outils de sécurité ? 
Envoyé par Michael Guilloux
