Apprentissage contextuel et pratique : La façon la plus efficace d'entraîner votre cerveau à la sécurité
Je suis désolé, je dois vous annoncer une mauvaise nouvelle.
La formation traditionnelle est morte.
Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.
Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.
En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).
Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.
Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.
Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.
L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.
Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.
Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.
Il est tout à fait étonnant que de nombreuses entreprises continuent de s'appuyer sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments à de nouvelles initiatives, alors qu'il existe une méthode d'apprentissage bien meilleure, plus attrayante et plus précieuse : la formation contextuelle.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Je suis désolé, je dois vous annoncer une mauvaise nouvelle.
La formation traditionnelle est morte.
Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.
Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.
En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).
Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.
Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.
Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.
L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.
Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.
Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.
Je suis désolé, je dois vous annoncer une mauvaise nouvelle.
La formation traditionnelle est morte.
Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.
Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.
En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).
Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.
Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.
Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.
L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.
Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.
Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Je suis désolé, je dois vous annoncer une mauvaise nouvelle.
La formation traditionnelle est morte.
Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.
Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.
En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).
Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.
Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.
Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.
L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.
Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.
Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
.png)
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.
