Blog

Apprentissage contextuel et pratique : La façon la plus efficace d'entraîner votre cerveau à la sécurité

Jaap Karan Singh
Publié le 11 septembre 2019

Je suis désolé, je dois vous annoncer une mauvaise nouvelle.

La formation traditionnelle est morte.

Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.

Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.

En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.

Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).

Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?

Les exemples du monde réel sont ridiculement puissants.

Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.

La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.

En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.

Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.

Fournir des connaissances au moment où elles sont le plus utiles

Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.

Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.

Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.

En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.

Secure Code Warrior infographie sur la formation
Formation contextuelle dans le processus de développement.

Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.

Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.

L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.

Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.

Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.

Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?

Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.

Voir la ressource
Voir la ressource

Il est tout à fait étonnant que de nombreuses entreprises continuent de s'appuyer sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments à de nouvelles initiatives, alors qu'il existe une méthode d'apprentissage bien meilleure, plus attrayante et plus précieuse : la formation contextuelle.

Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Jaap Karan Singh
Publié le 11 septembre 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Je suis désolé, je dois vous annoncer une mauvaise nouvelle.

La formation traditionnelle est morte.

Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.

Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.

En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.

Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).

Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?

Les exemples du monde réel sont ridiculement puissants.

Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.

La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.

En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.

Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.

Fournir des connaissances au moment où elles sont le plus utiles

Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.

Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.

Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.

En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.

Secure Code Warrior infographie sur la formation
Formation contextuelle dans le processus de développement.

Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.

Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.

L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.

Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.

Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.

Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?

Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Je suis désolé, je dois vous annoncer une mauvaise nouvelle.

La formation traditionnelle est morte.

Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.

Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.

En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.

Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).

Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?

Les exemples du monde réel sont ridiculement puissants.

Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.

La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.

En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.

Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.

Fournir des connaissances au moment où elles sont le plus utiles

Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.

Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.

Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.

En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.

Secure Code Warrior infographie sur la formation
Formation contextuelle dans le processus de développement.

Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.

Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.

L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.

Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.

Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.

Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?

Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Jaap Karan Singh
Publié le 11 septembre 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Je suis désolé, je dois vous annoncer une mauvaise nouvelle.

La formation traditionnelle est morte.

Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.

Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.

En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.

Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).

Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?

Les exemples du monde réel sont ridiculement puissants.

Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.

La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.

En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.

Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.

Fournir des connaissances au moment où elles sont le plus utiles

Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.

Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.

Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.

En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.

Secure Code Warrior infographie sur la formation
Formation contextuelle dans le processus de développement.

Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.

Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.

L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.

Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir.

Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.

Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ?

Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles