Champions vs. coachs : Pourquoi chaque équipe de développement a besoin des deux
Les mots "champion" et "coach" sont de plus en plus pertinents en dehors du domaine sportif, et ils ont une forte présence dans la plupart des contextes. Il existe des coachs de vie, des coachs en bien-être, des coachs en empathie et des "champions" qui sont couronnés dans de nombreuses organisations, des titres tels que "champion de la sécurité" ou "champion des vibrations" deviennent plus courants et s'intègrent à l'esprit et à la culture de l'entreprise. Dans les moments difficiles, qui ne voudrait pas d'un coach ou d'un champion dans son coin ?
Les institutions du secteur de la cybersécurité utilisent depuis longtemps des champions pour diffuser la bonne parole en matière de sécurité au niveau du développement et maintenir des normes plus élevées en matière de sécurité des logiciels. Le BSIMM les appelle le groupe Satellite, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui est un engagement à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui se sont fixé des objectifs en matière de cybersécurité ont mis en place un programme officiel de champions de la sécurité, en confiant des responsabilités clés en matière de sécurité - allant de la liaison entre les équipes à la supervision des meilleures pratiques, en passant par l'encouragement général - à des personnes qui se montrent aptes et passionnées par ce rôle.
Toutefois, il est assez évident que le rôle du "champion de la sécurité" est en train de changer et qu'une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives grâce à une équipe élargie, dont les membres clés soutiennent des fonctions différentes, mais tout aussi importantes.
Nous redéfinissons et dupliquons le champion de la sécurité afin d'avoir un impact réel sur un programme de sécurité à l'épreuve du temps. Êtes-vous prêt à constituer votre prochaine équipe de rêve ?
Toute grande équipe s'appuie sur un coach inspirant.
Lorsque vous pensez à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus acharnés seraient capables de réciter des anecdotes sur leurs entraîneurs. Cependant, c'est ce pilier étroit de soutien qui affine leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les feux de la rampe.
Personne n'attend des développeurs qu'ils gagnent un grand chelem ou qu'ils marquent un but pour l'Argentine, et personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils ont signé pour créer des fonctionnalités intéressantes, pas pour se plonger dans la sécurité), mais un grand "coach" en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur est beaucoup plus aligné sur ce que nous pourrions reconnaître comme les principes fondamentaux d'un coach. Il est passionné par la sécurité, connaît son métier et est un point de contact clé lorsqu'un développeur a un problème de sécurité à résoudre. Il possède le savoir-faire pratique nécessaire pour l'aider à résoudre le problème et à apprendre de ses erreurs, tout en s'assurant que l'équipe respecte les meilleures pratiques et les valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec peut-il se lever ?
Un champion de l'AppSec est une pièce souvent manquante du puzzle du programme de sécurité. Il est absolument vital pour le succès d'une équipe de développement et, en tant que pont entre le niveau C, le personnel exécutif et les développeurs, il peut les défendre activement et leur fournir les outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion AppSec est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation directe des coachs en sécurité, dans le but de forger de meilleurs résultats et de meilleures relations entre les équipes, tout cela dans le but d'atteindre un objectif commun : un code sécurisé et étanche.
Faites appel à votre super-entraîneur.
Les champions et les grands entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de champions de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, le véritable champion devrait être du côté de l'AppSec, laissant les développeurs les plus passionnés et les plus conscients de la sécurité aider à atteindre l'excellence en matière de codage sécurisé sous le capot, en élevant le reste de l'équipe.
Découvrir le coach idéal est un processus similaire à celui du champion traditionnel : le meilleur coach n' est pas simplement la personne qui est "la meilleure" en matière de sécurité. La personne qui se trouve être extraordinaire pour coder en toute sécurité et produire un code fortifié de haute qualité, peut n'avoir aucun intérêt à assumer un rôle extrascolaire, ou peut-être n'est-elle pas particulièrement enthousiasmée par la sécurité en dépit de ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous cherchez quelqu'un qui.. :
- S'intéresse de près à la cybersécurité, depuis le codage pratique jusqu'à l'information sur les derniers incidents, les outils et les développements les plus récents.
- Il a de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et est un joueur d'équipe accessible.
- Il peut être proactif dans la défense des intérêts des développeurs ; il sait ce qui est nécessaire pour aider l'équipe et peut travailler avec son agent de liaison AppSec (son champion) pour que les besoins soient satisfaits afin d'obtenir des résultats mutuels en matière de sécurité.
Encouragez le poste d'entraîneur ; la personne que vous choisirez devra assumer davantage de responsabilités et sa charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière soient des facteurs de motivation pour un coach potentiel, il est bon de voir où il peut être récompensé pour ses coups de pied dans les buts. Peut-on l'envoyer à une conférence exceptionnelle ? Peut-il bénéficier d'un congé supplémentaire ? Peut-on financer courses et des certifications pour eux ? Le temps et l'argent consacrés dès maintenant à la sécurisation du SDLC dès le départ permettent d'économiser bien davantage plus tard dans le cycle - ou pire, si une vulnérabilité est découverte en direct - et un bon coach maintiendra la sensibilisation à un niveau élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire plus pour soutenir les développeurs et les faire passer du côté obscur de la sécurité, en les motivant à voir qu'un code de qualité est un code sécurisé. Il est difficile de s'intéresser à quelque chose quand le temps et les efforts pour éduquer et permettre la réussite n'ont pas eu lieu, et malheureusement, cela tend à être le cas avec l'éducation au codage sécurisé. Un perfectionnement pertinent et pratique, en conjonction avec un coach et un défenseur de l'AppSec, est vraiment le triple coup nécessaire pour soutenir l'équipe de développement afin qu'elle libère sa puissance défensive.
De nombreuses entreprises qui se sont fixé des objectifs en matière de cybersécurité ont mis en place un programme officiel de champions de la sécurité, en confiant des responsabilités clés en matière de sécurité - allant de la liaison entre les équipes à la supervision des meilleures pratiques, en passant par l'encouragement général - à des personnes qui se montrent aptes et passionnées par ce rôle.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Les mots "champion" et "coach" sont de plus en plus pertinents en dehors du domaine sportif, et ils ont une forte présence dans la plupart des contextes. Il existe des coachs de vie, des coachs en bien-être, des coachs en empathie et des "champions" qui sont couronnés dans de nombreuses organisations, des titres tels que "champion de la sécurité" ou "champion des vibrations" deviennent plus courants et s'intègrent à l'esprit et à la culture de l'entreprise. Dans les moments difficiles, qui ne voudrait pas d'un coach ou d'un champion dans son coin ?
Les institutions du secteur de la cybersécurité utilisent depuis longtemps des champions pour diffuser la bonne parole en matière de sécurité au niveau du développement et maintenir des normes plus élevées en matière de sécurité des logiciels. Le BSIMM les appelle le groupe Satellite, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui est un engagement à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui se sont fixé des objectifs en matière de cybersécurité ont mis en place un programme officiel de champions de la sécurité, en confiant des responsabilités clés en matière de sécurité - allant de la liaison entre les équipes à la supervision des meilleures pratiques, en passant par l'encouragement général - à des personnes qui se montrent aptes et passionnées par ce rôle.
Toutefois, il est assez évident que le rôle du "champion de la sécurité" est en train de changer et qu'une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives grâce à une équipe élargie, dont les membres clés soutiennent des fonctions différentes, mais tout aussi importantes.
Nous redéfinissons et dupliquons le champion de la sécurité afin d'avoir un impact réel sur un programme de sécurité à l'épreuve du temps. Êtes-vous prêt à constituer votre prochaine équipe de rêve ?
Toute grande équipe s'appuie sur un coach inspirant.
Lorsque vous pensez à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus acharnés seraient capables de réciter des anecdotes sur leurs entraîneurs. Cependant, c'est ce pilier étroit de soutien qui affine leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les feux de la rampe.
Personne n'attend des développeurs qu'ils gagnent un grand chelem ou qu'ils marquent un but pour l'Argentine, et personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils ont signé pour créer des fonctionnalités intéressantes, pas pour se plonger dans la sécurité), mais un grand "coach" en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur est beaucoup plus aligné sur ce que nous pourrions reconnaître comme les principes fondamentaux d'un coach. Il est passionné par la sécurité, connaît son métier et est un point de contact clé lorsqu'un développeur a un problème de sécurité à résoudre. Il possède le savoir-faire pratique nécessaire pour l'aider à résoudre le problème et à apprendre de ses erreurs, tout en s'assurant que l'équipe respecte les meilleures pratiques et les valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec peut-il se lever ?
Un champion de l'AppSec est une pièce souvent manquante du puzzle du programme de sécurité. Il est absolument vital pour le succès d'une équipe de développement et, en tant que pont entre le niveau C, le personnel exécutif et les développeurs, il peut les défendre activement et leur fournir les outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion AppSec est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation directe des coachs en sécurité, dans le but de forger de meilleurs résultats et de meilleures relations entre les équipes, tout cela dans le but d'atteindre un objectif commun : un code sécurisé et étanche.
Faites appel à votre super-entraîneur.
Les champions et les grands entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de champions de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, le véritable champion devrait être du côté de l'AppSec, laissant les développeurs les plus passionnés et les plus conscients de la sécurité aider à atteindre l'excellence en matière de codage sécurisé sous le capot, en élevant le reste de l'équipe.
Découvrir le coach idéal est un processus similaire à celui du champion traditionnel : le meilleur coach n' est pas simplement la personne qui est "la meilleure" en matière de sécurité. La personne qui se trouve être extraordinaire pour coder en toute sécurité et produire un code fortifié de haute qualité, peut n'avoir aucun intérêt à assumer un rôle extrascolaire, ou peut-être n'est-elle pas particulièrement enthousiasmée par la sécurité en dépit de ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous cherchez quelqu'un qui.. :
- S'intéresse de près à la cybersécurité, depuis le codage pratique jusqu'à l'information sur les derniers incidents, les outils et les développements les plus récents.
- Il a de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et est un joueur d'équipe accessible.
- Il peut être proactif dans la défense des intérêts des développeurs ; il sait ce qui est nécessaire pour aider l'équipe et peut travailler avec son agent de liaison AppSec (son champion) pour que les besoins soient satisfaits afin d'obtenir des résultats mutuels en matière de sécurité.
Encouragez le poste d'entraîneur ; la personne que vous choisirez devra assumer davantage de responsabilités et sa charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière soient des facteurs de motivation pour un coach potentiel, il est bon de voir où il peut être récompensé pour ses coups de pied dans les buts. Peut-on l'envoyer à une conférence exceptionnelle ? Peut-il bénéficier d'un congé supplémentaire ? Peut-on financer courses et des certifications pour eux ? Le temps et l'argent consacrés dès maintenant à la sécurisation du SDLC dès le départ permettent d'économiser bien davantage plus tard dans le cycle - ou pire, si une vulnérabilité est découverte en direct - et un bon coach maintiendra la sensibilisation à un niveau élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire plus pour soutenir les développeurs et les faire passer du côté obscur de la sécurité, en les motivant à voir qu'un code de qualité est un code sécurisé. Il est difficile de s'intéresser à quelque chose quand le temps et les efforts pour éduquer et permettre la réussite n'ont pas eu lieu, et malheureusement, cela tend à être le cas avec l'éducation au codage sécurisé. Un perfectionnement pertinent et pratique, en conjonction avec un coach et un défenseur de l'AppSec, est vraiment le triple coup nécessaire pour soutenir l'équipe de développement afin qu'elle libère sa puissance défensive.
Les mots "champion" et "coach" sont de plus en plus pertinents en dehors du domaine sportif, et ils ont une forte présence dans la plupart des contextes. Il existe des coachs de vie, des coachs en bien-être, des coachs en empathie et des "champions" qui sont couronnés dans de nombreuses organisations, des titres tels que "champion de la sécurité" ou "champion des vibrations" deviennent plus courants et s'intègrent à l'esprit et à la culture de l'entreprise. Dans les moments difficiles, qui ne voudrait pas d'un coach ou d'un champion dans son coin ?
Les institutions du secteur de la cybersécurité utilisent depuis longtemps des champions pour diffuser la bonne parole en matière de sécurité au niveau du développement et maintenir des normes plus élevées en matière de sécurité des logiciels. Le BSIMM les appelle le groupe Satellite, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui est un engagement à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui se sont fixé des objectifs en matière de cybersécurité ont mis en place un programme officiel de champions de la sécurité, en confiant des responsabilités clés en matière de sécurité - allant de la liaison entre les équipes à la supervision des meilleures pratiques, en passant par l'encouragement général - à des personnes qui se montrent aptes et passionnées par ce rôle.
Toutefois, il est assez évident que le rôle du "champion de la sécurité" est en train de changer et qu'une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives grâce à une équipe élargie, dont les membres clés soutiennent des fonctions différentes, mais tout aussi importantes.
Nous redéfinissons et dupliquons le champion de la sécurité afin d'avoir un impact réel sur un programme de sécurité à l'épreuve du temps. Êtes-vous prêt à constituer votre prochaine équipe de rêve ?
Toute grande équipe s'appuie sur un coach inspirant.
Lorsque vous pensez à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus acharnés seraient capables de réciter des anecdotes sur leurs entraîneurs. Cependant, c'est ce pilier étroit de soutien qui affine leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les feux de la rampe.
Personne n'attend des développeurs qu'ils gagnent un grand chelem ou qu'ils marquent un but pour l'Argentine, et personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils ont signé pour créer des fonctionnalités intéressantes, pas pour se plonger dans la sécurité), mais un grand "coach" en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur est beaucoup plus aligné sur ce que nous pourrions reconnaître comme les principes fondamentaux d'un coach. Il est passionné par la sécurité, connaît son métier et est un point de contact clé lorsqu'un développeur a un problème de sécurité à résoudre. Il possède le savoir-faire pratique nécessaire pour l'aider à résoudre le problème et à apprendre de ses erreurs, tout en s'assurant que l'équipe respecte les meilleures pratiques et les valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec peut-il se lever ?
Un champion de l'AppSec est une pièce souvent manquante du puzzle du programme de sécurité. Il est absolument vital pour le succès d'une équipe de développement et, en tant que pont entre le niveau C, le personnel exécutif et les développeurs, il peut les défendre activement et leur fournir les outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion AppSec est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation directe des coachs en sécurité, dans le but de forger de meilleurs résultats et de meilleures relations entre les équipes, tout cela dans le but d'atteindre un objectif commun : un code sécurisé et étanche.
Faites appel à votre super-entraîneur.
Les champions et les grands entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de champions de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, le véritable champion devrait être du côté de l'AppSec, laissant les développeurs les plus passionnés et les plus conscients de la sécurité aider à atteindre l'excellence en matière de codage sécurisé sous le capot, en élevant le reste de l'équipe.
Découvrir le coach idéal est un processus similaire à celui du champion traditionnel : le meilleur coach n' est pas simplement la personne qui est "la meilleure" en matière de sécurité. La personne qui se trouve être extraordinaire pour coder en toute sécurité et produire un code fortifié de haute qualité, peut n'avoir aucun intérêt à assumer un rôle extrascolaire, ou peut-être n'est-elle pas particulièrement enthousiasmée par la sécurité en dépit de ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous cherchez quelqu'un qui.. :
- S'intéresse de près à la cybersécurité, depuis le codage pratique jusqu'à l'information sur les derniers incidents, les outils et les développements les plus récents.
- Il a de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et est un joueur d'équipe accessible.
- Il peut être proactif dans la défense des intérêts des développeurs ; il sait ce qui est nécessaire pour aider l'équipe et peut travailler avec son agent de liaison AppSec (son champion) pour que les besoins soient satisfaits afin d'obtenir des résultats mutuels en matière de sécurité.
Encouragez le poste d'entraîneur ; la personne que vous choisirez devra assumer davantage de responsabilités et sa charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière soient des facteurs de motivation pour un coach potentiel, il est bon de voir où il peut être récompensé pour ses coups de pied dans les buts. Peut-on l'envoyer à une conférence exceptionnelle ? Peut-il bénéficier d'un congé supplémentaire ? Peut-on financer courses et des certifications pour eux ? Le temps et l'argent consacrés dès maintenant à la sécurisation du SDLC dès le départ permettent d'économiser bien davantage plus tard dans le cycle - ou pire, si une vulnérabilité est découverte en direct - et un bon coach maintiendra la sensibilisation à un niveau élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire plus pour soutenir les développeurs et les faire passer du côté obscur de la sécurité, en les motivant à voir qu'un code de qualité est un code sécurisé. Il est difficile de s'intéresser à quelque chose quand le temps et les efforts pour éduquer et permettre la réussite n'ont pas eu lieu, et malheureusement, cela tend à être le cas avec l'éducation au codage sécurisé. Un perfectionnement pertinent et pratique, en conjonction avec un coach et un défenseur de l'AppSec, est vraiment le triple coup nécessaire pour soutenir l'équipe de développement afin qu'elle libère sa puissance défensive.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Les mots "champion" et "coach" sont de plus en plus pertinents en dehors du domaine sportif, et ils ont une forte présence dans la plupart des contextes. Il existe des coachs de vie, des coachs en bien-être, des coachs en empathie et des "champions" qui sont couronnés dans de nombreuses organisations, des titres tels que "champion de la sécurité" ou "champion des vibrations" deviennent plus courants et s'intègrent à l'esprit et à la culture de l'entreprise. Dans les moments difficiles, qui ne voudrait pas d'un coach ou d'un champion dans son coin ?
Les institutions du secteur de la cybersécurité utilisent depuis longtemps des champions pour diffuser la bonne parole en matière de sécurité au niveau du développement et maintenir des normes plus élevées en matière de sécurité des logiciels. Le BSIMM les appelle le groupe Satellite, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui est un engagement à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui se sont fixé des objectifs en matière de cybersécurité ont mis en place un programme officiel de champions de la sécurité, en confiant des responsabilités clés en matière de sécurité - allant de la liaison entre les équipes à la supervision des meilleures pratiques, en passant par l'encouragement général - à des personnes qui se montrent aptes et passionnées par ce rôle.
Toutefois, il est assez évident que le rôle du "champion de la sécurité" est en train de changer et qu'une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives grâce à une équipe élargie, dont les membres clés soutiennent des fonctions différentes, mais tout aussi importantes.
Nous redéfinissons et dupliquons le champion de la sécurité afin d'avoir un impact réel sur un programme de sécurité à l'épreuve du temps. Êtes-vous prêt à constituer votre prochaine équipe de rêve ?
Toute grande équipe s'appuie sur un coach inspirant.
Lorsque vous pensez à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus acharnés seraient capables de réciter des anecdotes sur leurs entraîneurs. Cependant, c'est ce pilier étroit de soutien qui affine leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les feux de la rampe.
Personne n'attend des développeurs qu'ils gagnent un grand chelem ou qu'ils marquent un but pour l'Argentine, et personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils ont signé pour créer des fonctionnalités intéressantes, pas pour se plonger dans la sécurité), mais un grand "coach" en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur est beaucoup plus aligné sur ce que nous pourrions reconnaître comme les principes fondamentaux d'un coach. Il est passionné par la sécurité, connaît son métier et est un point de contact clé lorsqu'un développeur a un problème de sécurité à résoudre. Il possède le savoir-faire pratique nécessaire pour l'aider à résoudre le problème et à apprendre de ses erreurs, tout en s'assurant que l'équipe respecte les meilleures pratiques et les valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec peut-il se lever ?
Un champion de l'AppSec est une pièce souvent manquante du puzzle du programme de sécurité. Il est absolument vital pour le succès d'une équipe de développement et, en tant que pont entre le niveau C, le personnel exécutif et les développeurs, il peut les défendre activement et leur fournir les outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion AppSec est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation directe des coachs en sécurité, dans le but de forger de meilleurs résultats et de meilleures relations entre les équipes, tout cela dans le but d'atteindre un objectif commun : un code sécurisé et étanche.
Faites appel à votre super-entraîneur.
Les champions et les grands entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de champions de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, le véritable champion devrait être du côté de l'AppSec, laissant les développeurs les plus passionnés et les plus conscients de la sécurité aider à atteindre l'excellence en matière de codage sécurisé sous le capot, en élevant le reste de l'équipe.
Découvrir le coach idéal est un processus similaire à celui du champion traditionnel : le meilleur coach n' est pas simplement la personne qui est "la meilleure" en matière de sécurité. La personne qui se trouve être extraordinaire pour coder en toute sécurité et produire un code fortifié de haute qualité, peut n'avoir aucun intérêt à assumer un rôle extrascolaire, ou peut-être n'est-elle pas particulièrement enthousiasmée par la sécurité en dépit de ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous cherchez quelqu'un qui.. :
- S'intéresse de près à la cybersécurité, depuis le codage pratique jusqu'à l'information sur les derniers incidents, les outils et les développements les plus récents.
- Il a de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et est un joueur d'équipe accessible.
- Il peut être proactif dans la défense des intérêts des développeurs ; il sait ce qui est nécessaire pour aider l'équipe et peut travailler avec son agent de liaison AppSec (son champion) pour que les besoins soient satisfaits afin d'obtenir des résultats mutuels en matière de sécurité.
Encouragez le poste d'entraîneur ; la personne que vous choisirez devra assumer davantage de responsabilités et sa charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière soient des facteurs de motivation pour un coach potentiel, il est bon de voir où il peut être récompensé pour ses coups de pied dans les buts. Peut-on l'envoyer à une conférence exceptionnelle ? Peut-il bénéficier d'un congé supplémentaire ? Peut-on financer courses et des certifications pour eux ? Le temps et l'argent consacrés dès maintenant à la sécurisation du SDLC dès le départ permettent d'économiser bien davantage plus tard dans le cycle - ou pire, si une vulnérabilité est découverte en direct - et un bon coach maintiendra la sensibilisation à un niveau élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire plus pour soutenir les développeurs et les faire passer du côté obscur de la sécurité, en les motivant à voir qu'un code de qualité est un code sécurisé. Il est difficile de s'intéresser à quelque chose quand le temps et les efforts pour éduquer et permettre la réussite n'ont pas eu lieu, et malheureusement, cela tend à être le cas avec l'éducation au codage sécurisé. Un perfectionnement pertinent et pratique, en conjonction avec un coach et un défenseur de l'AppSec, est vraiment le triple coup nécessaire pour soutenir l'équipe de développement afin qu'elle libère sa puissance défensive.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.