Créer une expérience révolutionnaire en matière de certification de sécurité
Comment une institution financière de premier plan a créé une expérience de certification de sécurité révolutionnaire
Un jeu pourrait-il être le chemin vers le cœur d'un développeur lorsqu'il s'agit de conformité en matière de sécurité ?
Avec des millions de clients, une riche histoire en tant qu'institution financière mondiale de confiance, et un engagement à innover et à suivre le rythme de la transformation numérique, ce client bancaire de niveau 1 a utilisé Secure Code Warrior dans le cadre d'une expérience de formation vraiment unique au sein de son organisation.
Ils ont créé une initiative de formation technologique interne, visant à soutenir des milliers d'employés pour qu'ils acquièrent des compétences pratiques et de pointe dans un certain nombre de disciplines, y compris l'apprentissage automatique et la cybersécurité.
Le secteur des services financiers traverse actuellement une période de transformation rapide et radicale, au cours de laquelle de nombreuses entreprises modifient leurs offres de services pour s'aligner sur le développement rapide des technologies émergentes. En fait, elles deviennent des entreprises technologiques à part entière, axées sur la finance. L'approche de notre client lui a permis non seulement de suivre cette tendance, mais aussi d'obtenir des résultats meilleurs (et plus intelligents) que la plupart des autres. Il a énormément investi dans son personnel pour rester au fait de ces domaines vitaux et en plein essor, ce qui lui permet d'être à la pointe de l'innovation et de l'expertise FinTech.
Pour mener à bien ce programme, notre client et l'ensemble de l'équipe ont jugé nécessaire de s'assurer que leurs développeurs maîtrisaient parfaitement le codage sécurisé et qu'ils avaient un niveau élevé de sensibilisation à la cybersécurité. Le responsable de la sensibilisation à la sécurité a cherché à impliquer l'équipe de manière positive, en l'enthousiasmant dès le départ pour la sécurité.
Le défi
Le responsable de la sensibilisation à la sécurité de notre client travaille depuis longtemps dans le secteur de la sécurité, ce qui lui a permis d'être aux premières loges pour assister à la croissance explosive de l'adoption des applications en ligne par les entreprises, grandes et petites, ainsi qu'à l'augmentation rapide du nombre d'équipes axées sur le numérique. Il a été le témoin direct de l'inévitable cloisonnement des compétences qui peut résulter d'une telle hyper-expansion et, en fin de compte, cela a été un problème pour de nombreuses équipes de sécurité et de développement : "Au début de l'adoption des services en ligne, les développeurs pensaient à la sécurité et l'appliquaient à leurs logiciels. Cependant, dans un environnement de plus en plus cloisonné, une équipe travaillera, par exemple, sur un système d'exploitation qui sera ensuite envoyé à une équipe de sécurité pour analyse, et reviendra souvent avec un tas de marques rouges et des notes sur la façon de le corriger. Le système est inévitablement sécurisé, mais les résultats et les connaissances disparaissent dans un trou noir, pour se reproduire encore et encore", a-t-il déclaré.
Il a évoqué le "défi humain" en parlant des problèmes de sécurité qu'il rencontre fréquemment dans le cadre de ses fonctions :
Les ingénieurs logiciels sont payés pour créer des fonctionnalités, et la sécurité peut être considérée comme un obstacle majeur au développement agile. Ils sont occupés par leurs propres priorités et considèrent souvent l'aspect sécurité comme le travail de quelqu'un d'autre. À l'extrémité la plus extrême de l'échelle, certains adoptent le point de vue suivant : "Rien ne s'est encore produit. Pourquoi nous préoccupons-nous tant de la sécurité de ce logiciel et pourquoi cela interrompt-il mon cycle de développement ? Dans un monde de plus en plus numérisé, cette attitude doit changer. Plutôt que d'être considérés comme une nuisance, nous devons insister sur l'importance du partage des responsabilités en matière de sécurité des logiciels.
Compte tenu de la dépendance croissante à l'égard du développement pour alimenter nos vies numériques, il a vu l'écriture sur le mur : en tant que société, nous sommes des cibles faciles pour les pirates informatiques sur un terrain de jeu de plus en plus injuste pour les gentils. Les développeurs devaient prendre la sécurité au sérieux, s'y intéresser de près et devenir la première ligne de défense de son organisation (et, en fait, de toute entreprise technologique sérieuse).
Il a donc entrepris de bouleverser la formation traditionnelle.
La mise en œuvre
Le responsable de la sensibilisation à la sécurité est à l'origine de la philosophie générale de notre client, qui consiste à établir une nouvelle norme en matière de qualité des logiciels. Plus précisément, la notion selon laquelle le niveau de sécurité inhérent à un logiciel est une indication de sa qualité globale et de la viabilité du produit. Aujourd'hui, la sécurité n'est pas étroitement liée aux mesures de qualité dans la plupart des cas, et certainement pas de la même manière que l'interface utilisateur, la vitesse et la facilité d'utilisation sont prises en compte lors de l'évaluation d'un logiciel.
"La sécurité doit devenir une exigence non négociable pour la qualité des logiciels", a-t-il déclaré. "Elle est en corrélation avec la fiabilité, qui est une préoccupation majeure pour la plupart des entreprises, en particulier celles dont le modèle d'entreprise se transforme et se numérise rapidement.
Les coûts de correction des vulnérabilités dans un code validé étant jusqu'à trente fois plus élevés que s'il avait été écrit de manière sécurisée dès le départ, il est devenu essentiel d'intégrer une culture de la sécurité viable au sein des équipes de développement. Après tout, il existe certaines vulnérabilités que les outils d'analyse ne détectent pas, et la solution la plus efficace pour les combattre est une équipe de développement soucieuse de la sécurité.
Le responsable de la sensibilisation à la sécurité a détaillé son expérience des autres formes de formation, dont beaucoup sont encore couramment utilisées pour "convaincre" les développeurs et les préparer à répondre aux préoccupations croissantes en matière de sécurité : "Lorsque les développeurs doivent se familiariser avec la sécurité par le biais d'une tonne de travaux théoriques ou, pire encore, d'une formation peu fréquente à la conformité, il n'y a tout simplement pas assez d'apprentissage pratique ou de temps consacré à la sécurité pour avoir un impact durable. J'étais déterminé à changer cela en appliquant une solution plus efficace", a-t-il déclaré.
Les avantages d'un engagement élevé
Sous les conseils d'un Security Awareness Manager avisé et de son équipe, notre client a mis en place un programme de certification sur mesure, dont la plateforme Secure Code Warrior fait partie intégrante.
Leur recherche d'une solution de formation des développeurs plus efficace et plus attrayante les a conduits à adopter très tôt la gamification, dont ils ont maximisé la puissance et le potentiel grâce à leur propre programme structuré à grande échelle.
"Il était essentiel que nous fassions de la formation à fort engagement une partie intégrante de la culture et que les étudiants reviennent pour poursuivre leur apprentissage. Le système est une approche délibérée visant à développer les connaissances, les compétences et le sens de la valeur de la sécurité, ce qui leur permet de travailler avec du code source réel qu'ils utilisent tous les jours", a-t-il déclaré.
En veillant à ce que la solution soit holistique, couvrant à la fois les meilleures pratiques de sécurité standard de l'industrie et les directives internes, notre client a pu mobiliser rapidement la formation, ce qui a eu un impact positif sur la sécurité des logiciels au sein de l'organisation.
Le résultat
Le programme de certification de notre client est un format de formation réussi, en constante évolution, qui convient parfaitement à des initiatives avant-gardistes telles que leurs installations internes de formation technique. Le cours approfondi, dispensé de manière ludique, interactive et incitative, garantit à tous les étudiants les meilleures chances de rétention des connaissances, ainsi que le soutien nécessaire au développement d'une culture et d'un état d'esprit axés sur la sécurité. Bien que la ludification rende l'apprentissage plus agréable, l'aspect pratique du programme est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans leurs applications.
Il est important de noter que la formation n'était pas obligatoire et qu'elle nécessitait au contraire un élément de motivation de la part du développeur. Bien que cette motivation ait sans aucun doute été soutenue par des incitations et des récompenses, l'adoption du programme par l'ensemble de l'équipe a été le résultat du soutien et de l'approbation du processus par l'équipe de gonflement.
Outre la poursuite du développement de compétences vitales, le programme permet également de combler les lacunes relationnelles entre les équipes de développement et d'AppSec, en les mettant sur la même longueur d'onde, en leur faisant parler le même langage et en suscitant un intérêt mutuel.
Loin d'être une simple case à cocher de conformité, ce programme est devenu fondamental pour le soutien continu d'un personnel apprécié et de sa carrière, en fournissant des compétences mesurables dans l'un des secteurs à plus forte croissance de la planète : la cybersécurité. Ce sont des programmes de formation comme celui-ci qui deviendront la référence en matière d'amélioration de la sécurité des logiciels dès le départ.
En bref
- Il y a eu une réponse sans précédent de la part des étudiants qui ont obtenu la certification et qui ont exprimé le souhait de devenir instructeurs. Cet évangélisme de terrain est un puissant facteur de diffusion du soutien de bouche à oreille, d'adoption et de sensibilisation générale à la sécurité.
- Notre client est en train de déployer le programme auprès de plus de 2500 développeurs au sein de son organisation, dont plus de 90% sont déjà actifs dans le système.
- Ils utilisent cette formation pour aider le personnel à développer sa carrière, en veillant à ce qu'il soit armé des connaissances nécessaires pour utiliser ses compétences dans un espace technologique en constante évolution.
Découvrez comment ils ont créé une initiative de formation technologique interne, visant à aider des milliers d'employés à acquérir des compétences pratiques et de pointe dans un certain nombre de disciplines, notamment l'apprentissage automatique et la cybersécurité.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationComment une institution financière de premier plan a créé une expérience de certification de sécurité révolutionnaire
Un jeu pourrait-il être le chemin vers le cœur d'un développeur lorsqu'il s'agit de conformité en matière de sécurité ?
Avec des millions de clients, une riche histoire en tant qu'institution financière mondiale de confiance, et un engagement à innover et à suivre le rythme de la transformation numérique, ce client bancaire de niveau 1 a utilisé Secure Code Warrior dans le cadre d'une expérience de formation vraiment unique au sein de son organisation.
Ils ont créé une initiative de formation technologique interne, visant à soutenir des milliers d'employés pour qu'ils acquièrent des compétences pratiques et de pointe dans un certain nombre de disciplines, y compris l'apprentissage automatique et la cybersécurité.
Le secteur des services financiers traverse actuellement une période de transformation rapide et radicale, au cours de laquelle de nombreuses entreprises modifient leurs offres de services pour s'aligner sur le développement rapide des technologies émergentes. En fait, elles deviennent des entreprises technologiques à part entière, axées sur la finance. L'approche de notre client lui a permis non seulement de suivre cette tendance, mais aussi d'obtenir des résultats meilleurs (et plus intelligents) que la plupart des autres. Il a énormément investi dans son personnel pour rester au fait de ces domaines vitaux et en plein essor, ce qui lui permet d'être à la pointe de l'innovation et de l'expertise FinTech.
Pour mener à bien ce programme, notre client et l'ensemble de l'équipe ont jugé nécessaire de s'assurer que leurs développeurs maîtrisaient parfaitement le codage sécurisé et qu'ils avaient un niveau élevé de sensibilisation à la cybersécurité. Le responsable de la sensibilisation à la sécurité a cherché à impliquer l'équipe de manière positive, en l'enthousiasmant dès le départ pour la sécurité.
Le défi
Le responsable de la sensibilisation à la sécurité de notre client travaille depuis longtemps dans le secteur de la sécurité, ce qui lui a permis d'être aux premières loges pour assister à la croissance explosive de l'adoption des applications en ligne par les entreprises, grandes et petites, ainsi qu'à l'augmentation rapide du nombre d'équipes axées sur le numérique. Il a été le témoin direct de l'inévitable cloisonnement des compétences qui peut résulter d'une telle hyper-expansion et, en fin de compte, cela a été un problème pour de nombreuses équipes de sécurité et de développement : "Au début de l'adoption des services en ligne, les développeurs pensaient à la sécurité et l'appliquaient à leurs logiciels. Cependant, dans un environnement de plus en plus cloisonné, une équipe travaillera, par exemple, sur un système d'exploitation qui sera ensuite envoyé à une équipe de sécurité pour analyse, et reviendra souvent avec un tas de marques rouges et des notes sur la façon de le corriger. Le système est inévitablement sécurisé, mais les résultats et les connaissances disparaissent dans un trou noir, pour se reproduire encore et encore", a-t-il déclaré.
Il a évoqué le "défi humain" en parlant des problèmes de sécurité qu'il rencontre fréquemment dans le cadre de ses fonctions :
Les ingénieurs logiciels sont payés pour créer des fonctionnalités, et la sécurité peut être considérée comme un obstacle majeur au développement agile. Ils sont occupés par leurs propres priorités et considèrent souvent l'aspect sécurité comme le travail de quelqu'un d'autre. À l'extrémité la plus extrême de l'échelle, certains adoptent le point de vue suivant : "Rien ne s'est encore produit. Pourquoi nous préoccupons-nous tant de la sécurité de ce logiciel et pourquoi cela interrompt-il mon cycle de développement ? Dans un monde de plus en plus numérisé, cette attitude doit changer. Plutôt que d'être considérés comme une nuisance, nous devons insister sur l'importance du partage des responsabilités en matière de sécurité des logiciels.
Compte tenu de la dépendance croissante à l'égard du développement pour alimenter nos vies numériques, il a vu l'écriture sur le mur : en tant que société, nous sommes des cibles faciles pour les pirates informatiques sur un terrain de jeu de plus en plus injuste pour les gentils. Les développeurs devaient prendre la sécurité au sérieux, s'y intéresser de près et devenir la première ligne de défense de son organisation (et, en fait, de toute entreprise technologique sérieuse).
Il a donc entrepris de bouleverser la formation traditionnelle.
La mise en œuvre
Le responsable de la sensibilisation à la sécurité est à l'origine de la philosophie générale de notre client, qui consiste à établir une nouvelle norme en matière de qualité des logiciels. Plus précisément, la notion selon laquelle le niveau de sécurité inhérent à un logiciel est une indication de sa qualité globale et de la viabilité du produit. Aujourd'hui, la sécurité n'est pas étroitement liée aux mesures de qualité dans la plupart des cas, et certainement pas de la même manière que l'interface utilisateur, la vitesse et la facilité d'utilisation sont prises en compte lors de l'évaluation d'un logiciel.
"La sécurité doit devenir une exigence non négociable pour la qualité des logiciels", a-t-il déclaré. "Elle est en corrélation avec la fiabilité, qui est une préoccupation majeure pour la plupart des entreprises, en particulier celles dont le modèle d'entreprise se transforme et se numérise rapidement.
Les coûts de correction des vulnérabilités dans un code validé étant jusqu'à trente fois plus élevés que s'il avait été écrit de manière sécurisée dès le départ, il est devenu essentiel d'intégrer une culture de la sécurité viable au sein des équipes de développement. Après tout, il existe certaines vulnérabilités que les outils d'analyse ne détectent pas, et la solution la plus efficace pour les combattre est une équipe de développement soucieuse de la sécurité.
Le responsable de la sensibilisation à la sécurité a détaillé son expérience des autres formes de formation, dont beaucoup sont encore couramment utilisées pour "convaincre" les développeurs et les préparer à répondre aux préoccupations croissantes en matière de sécurité : "Lorsque les développeurs doivent se familiariser avec la sécurité par le biais d'une tonne de travaux théoriques ou, pire encore, d'une formation peu fréquente à la conformité, il n'y a tout simplement pas assez d'apprentissage pratique ou de temps consacré à la sécurité pour avoir un impact durable. J'étais déterminé à changer cela en appliquant une solution plus efficace", a-t-il déclaré.
Les avantages d'un engagement élevé
Sous les conseils d'un Security Awareness Manager avisé et de son équipe, notre client a mis en place un programme de certification sur mesure, dont la plateforme Secure Code Warrior fait partie intégrante.
Leur recherche d'une solution de formation des développeurs plus efficace et plus attrayante les a conduits à adopter très tôt la gamification, dont ils ont maximisé la puissance et le potentiel grâce à leur propre programme structuré à grande échelle.
"Il était essentiel que nous fassions de la formation à fort engagement une partie intégrante de la culture et que les étudiants reviennent pour poursuivre leur apprentissage. Le système est une approche délibérée visant à développer les connaissances, les compétences et le sens de la valeur de la sécurité, ce qui leur permet de travailler avec du code source réel qu'ils utilisent tous les jours", a-t-il déclaré.
En veillant à ce que la solution soit holistique, couvrant à la fois les meilleures pratiques de sécurité standard de l'industrie et les directives internes, notre client a pu mobiliser rapidement la formation, ce qui a eu un impact positif sur la sécurité des logiciels au sein de l'organisation.
Le résultat
Le programme de certification de notre client est un format de formation réussi, en constante évolution, qui convient parfaitement à des initiatives avant-gardistes telles que leurs installations internes de formation technique. Le cours approfondi, dispensé de manière ludique, interactive et incitative, garantit à tous les étudiants les meilleures chances de rétention des connaissances, ainsi que le soutien nécessaire au développement d'une culture et d'un état d'esprit axés sur la sécurité. Bien que la ludification rende l'apprentissage plus agréable, l'aspect pratique du programme est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans leurs applications.
Il est important de noter que la formation n'était pas obligatoire et qu'elle nécessitait au contraire un élément de motivation de la part du développeur. Bien que cette motivation ait sans aucun doute été soutenue par des incitations et des récompenses, l'adoption du programme par l'ensemble de l'équipe a été le résultat du soutien et de l'approbation du processus par l'équipe de gonflement.
Outre la poursuite du développement de compétences vitales, le programme permet également de combler les lacunes relationnelles entre les équipes de développement et d'AppSec, en les mettant sur la même longueur d'onde, en leur faisant parler le même langage et en suscitant un intérêt mutuel.
Loin d'être une simple case à cocher de conformité, ce programme est devenu fondamental pour le soutien continu d'un personnel apprécié et de sa carrière, en fournissant des compétences mesurables dans l'un des secteurs à plus forte croissance de la planète : la cybersécurité. Ce sont des programmes de formation comme celui-ci qui deviendront la référence en matière d'amélioration de la sécurité des logiciels dès le départ.
En bref
- Il y a eu une réponse sans précédent de la part des étudiants qui ont obtenu la certification et qui ont exprimé le souhait de devenir instructeurs. Cet évangélisme de terrain est un puissant facteur de diffusion du soutien de bouche à oreille, d'adoption et de sensibilisation générale à la sécurité.
- Notre client est en train de déployer le programme auprès de plus de 2500 développeurs au sein de son organisation, dont plus de 90% sont déjà actifs dans le système.
- Ils utilisent cette formation pour aider le personnel à développer sa carrière, en veillant à ce qu'il soit armé des connaissances nécessaires pour utiliser ses compétences dans un espace technologique en constante évolution.
Comment une institution financière de premier plan a créé une expérience de certification de sécurité révolutionnaire
Un jeu pourrait-il être le chemin vers le cœur d'un développeur lorsqu'il s'agit de conformité en matière de sécurité ?
Avec des millions de clients, une riche histoire en tant qu'institution financière mondiale de confiance, et un engagement à innover et à suivre le rythme de la transformation numérique, ce client bancaire de niveau 1 a utilisé Secure Code Warrior dans le cadre d'une expérience de formation vraiment unique au sein de son organisation.
Ils ont créé une initiative de formation technologique interne, visant à soutenir des milliers d'employés pour qu'ils acquièrent des compétences pratiques et de pointe dans un certain nombre de disciplines, y compris l'apprentissage automatique et la cybersécurité.
Le secteur des services financiers traverse actuellement une période de transformation rapide et radicale, au cours de laquelle de nombreuses entreprises modifient leurs offres de services pour s'aligner sur le développement rapide des technologies émergentes. En fait, elles deviennent des entreprises technologiques à part entière, axées sur la finance. L'approche de notre client lui a permis non seulement de suivre cette tendance, mais aussi d'obtenir des résultats meilleurs (et plus intelligents) que la plupart des autres. Il a énormément investi dans son personnel pour rester au fait de ces domaines vitaux et en plein essor, ce qui lui permet d'être à la pointe de l'innovation et de l'expertise FinTech.
Pour mener à bien ce programme, notre client et l'ensemble de l'équipe ont jugé nécessaire de s'assurer que leurs développeurs maîtrisaient parfaitement le codage sécurisé et qu'ils avaient un niveau élevé de sensibilisation à la cybersécurité. Le responsable de la sensibilisation à la sécurité a cherché à impliquer l'équipe de manière positive, en l'enthousiasmant dès le départ pour la sécurité.
Le défi
Le responsable de la sensibilisation à la sécurité de notre client travaille depuis longtemps dans le secteur de la sécurité, ce qui lui a permis d'être aux premières loges pour assister à la croissance explosive de l'adoption des applications en ligne par les entreprises, grandes et petites, ainsi qu'à l'augmentation rapide du nombre d'équipes axées sur le numérique. Il a été le témoin direct de l'inévitable cloisonnement des compétences qui peut résulter d'une telle hyper-expansion et, en fin de compte, cela a été un problème pour de nombreuses équipes de sécurité et de développement : "Au début de l'adoption des services en ligne, les développeurs pensaient à la sécurité et l'appliquaient à leurs logiciels. Cependant, dans un environnement de plus en plus cloisonné, une équipe travaillera, par exemple, sur un système d'exploitation qui sera ensuite envoyé à une équipe de sécurité pour analyse, et reviendra souvent avec un tas de marques rouges et des notes sur la façon de le corriger. Le système est inévitablement sécurisé, mais les résultats et les connaissances disparaissent dans un trou noir, pour se reproduire encore et encore", a-t-il déclaré.
Il a évoqué le "défi humain" en parlant des problèmes de sécurité qu'il rencontre fréquemment dans le cadre de ses fonctions :
Les ingénieurs logiciels sont payés pour créer des fonctionnalités, et la sécurité peut être considérée comme un obstacle majeur au développement agile. Ils sont occupés par leurs propres priorités et considèrent souvent l'aspect sécurité comme le travail de quelqu'un d'autre. À l'extrémité la plus extrême de l'échelle, certains adoptent le point de vue suivant : "Rien ne s'est encore produit. Pourquoi nous préoccupons-nous tant de la sécurité de ce logiciel et pourquoi cela interrompt-il mon cycle de développement ? Dans un monde de plus en plus numérisé, cette attitude doit changer. Plutôt que d'être considérés comme une nuisance, nous devons insister sur l'importance du partage des responsabilités en matière de sécurité des logiciels.
Compte tenu de la dépendance croissante à l'égard du développement pour alimenter nos vies numériques, il a vu l'écriture sur le mur : en tant que société, nous sommes des cibles faciles pour les pirates informatiques sur un terrain de jeu de plus en plus injuste pour les gentils. Les développeurs devaient prendre la sécurité au sérieux, s'y intéresser de près et devenir la première ligne de défense de son organisation (et, en fait, de toute entreprise technologique sérieuse).
Il a donc entrepris de bouleverser la formation traditionnelle.
La mise en œuvre
Le responsable de la sensibilisation à la sécurité est à l'origine de la philosophie générale de notre client, qui consiste à établir une nouvelle norme en matière de qualité des logiciels. Plus précisément, la notion selon laquelle le niveau de sécurité inhérent à un logiciel est une indication de sa qualité globale et de la viabilité du produit. Aujourd'hui, la sécurité n'est pas étroitement liée aux mesures de qualité dans la plupart des cas, et certainement pas de la même manière que l'interface utilisateur, la vitesse et la facilité d'utilisation sont prises en compte lors de l'évaluation d'un logiciel.
"La sécurité doit devenir une exigence non négociable pour la qualité des logiciels", a-t-il déclaré. "Elle est en corrélation avec la fiabilité, qui est une préoccupation majeure pour la plupart des entreprises, en particulier celles dont le modèle d'entreprise se transforme et se numérise rapidement.
Les coûts de correction des vulnérabilités dans un code validé étant jusqu'à trente fois plus élevés que s'il avait été écrit de manière sécurisée dès le départ, il est devenu essentiel d'intégrer une culture de la sécurité viable au sein des équipes de développement. Après tout, il existe certaines vulnérabilités que les outils d'analyse ne détectent pas, et la solution la plus efficace pour les combattre est une équipe de développement soucieuse de la sécurité.
Le responsable de la sensibilisation à la sécurité a détaillé son expérience des autres formes de formation, dont beaucoup sont encore couramment utilisées pour "convaincre" les développeurs et les préparer à répondre aux préoccupations croissantes en matière de sécurité : "Lorsque les développeurs doivent se familiariser avec la sécurité par le biais d'une tonne de travaux théoriques ou, pire encore, d'une formation peu fréquente à la conformité, il n'y a tout simplement pas assez d'apprentissage pratique ou de temps consacré à la sécurité pour avoir un impact durable. J'étais déterminé à changer cela en appliquant une solution plus efficace", a-t-il déclaré.
Les avantages d'un engagement élevé
Sous les conseils d'un Security Awareness Manager avisé et de son équipe, notre client a mis en place un programme de certification sur mesure, dont la plateforme Secure Code Warrior fait partie intégrante.
Leur recherche d'une solution de formation des développeurs plus efficace et plus attrayante les a conduits à adopter très tôt la gamification, dont ils ont maximisé la puissance et le potentiel grâce à leur propre programme structuré à grande échelle.
"Il était essentiel que nous fassions de la formation à fort engagement une partie intégrante de la culture et que les étudiants reviennent pour poursuivre leur apprentissage. Le système est une approche délibérée visant à développer les connaissances, les compétences et le sens de la valeur de la sécurité, ce qui leur permet de travailler avec du code source réel qu'ils utilisent tous les jours", a-t-il déclaré.
En veillant à ce que la solution soit holistique, couvrant à la fois les meilleures pratiques de sécurité standard de l'industrie et les directives internes, notre client a pu mobiliser rapidement la formation, ce qui a eu un impact positif sur la sécurité des logiciels au sein de l'organisation.
Le résultat
Le programme de certification de notre client est un format de formation réussi, en constante évolution, qui convient parfaitement à des initiatives avant-gardistes telles que leurs installations internes de formation technique. Le cours approfondi, dispensé de manière ludique, interactive et incitative, garantit à tous les étudiants les meilleures chances de rétention des connaissances, ainsi que le soutien nécessaire au développement d'une culture et d'un état d'esprit axés sur la sécurité. Bien que la ludification rende l'apprentissage plus agréable, l'aspect pratique du programme est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans leurs applications.
Il est important de noter que la formation n'était pas obligatoire et qu'elle nécessitait au contraire un élément de motivation de la part du développeur. Bien que cette motivation ait sans aucun doute été soutenue par des incitations et des récompenses, l'adoption du programme par l'ensemble de l'équipe a été le résultat du soutien et de l'approbation du processus par l'équipe de gonflement.
Outre la poursuite du développement de compétences vitales, le programme permet également de combler les lacunes relationnelles entre les équipes de développement et d'AppSec, en les mettant sur la même longueur d'onde, en leur faisant parler le même langage et en suscitant un intérêt mutuel.
Loin d'être une simple case à cocher de conformité, ce programme est devenu fondamental pour le soutien continu d'un personnel apprécié et de sa carrière, en fournissant des compétences mesurables dans l'un des secteurs à plus forte croissance de la planète : la cybersécurité. Ce sont des programmes de formation comme celui-ci qui deviendront la référence en matière d'amélioration de la sécurité des logiciels dès le départ.
En bref
- Il y a eu une réponse sans précédent de la part des étudiants qui ont obtenu la certification et qui ont exprimé le souhait de devenir instructeurs. Cet évangélisme de terrain est un puissant facteur de diffusion du soutien de bouche à oreille, d'adoption et de sensibilisation générale à la sécurité.
- Notre client est en train de déployer le programme auprès de plus de 2500 développeurs au sein de son organisation, dont plus de 90% sont déjà actifs dans le système.
- Ils utilisent cette formation pour aider le personnel à développer sa carrière, en veillant à ce qu'il soit armé des connaissances nécessaires pour utiliser ses compétences dans un espace technologique en constante évolution.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationComment une institution financière de premier plan a créé une expérience de certification de sécurité révolutionnaire
Un jeu pourrait-il être le chemin vers le cœur d'un développeur lorsqu'il s'agit de conformité en matière de sécurité ?
Avec des millions de clients, une riche histoire en tant qu'institution financière mondiale de confiance, et un engagement à innover et à suivre le rythme de la transformation numérique, ce client bancaire de niveau 1 a utilisé Secure Code Warrior dans le cadre d'une expérience de formation vraiment unique au sein de son organisation.
Ils ont créé une initiative de formation technologique interne, visant à soutenir des milliers d'employés pour qu'ils acquièrent des compétences pratiques et de pointe dans un certain nombre de disciplines, y compris l'apprentissage automatique et la cybersécurité.
Le secteur des services financiers traverse actuellement une période de transformation rapide et radicale, au cours de laquelle de nombreuses entreprises modifient leurs offres de services pour s'aligner sur le développement rapide des technologies émergentes. En fait, elles deviennent des entreprises technologiques à part entière, axées sur la finance. L'approche de notre client lui a permis non seulement de suivre cette tendance, mais aussi d'obtenir des résultats meilleurs (et plus intelligents) que la plupart des autres. Il a énormément investi dans son personnel pour rester au fait de ces domaines vitaux et en plein essor, ce qui lui permet d'être à la pointe de l'innovation et de l'expertise FinTech.
Pour mener à bien ce programme, notre client et l'ensemble de l'équipe ont jugé nécessaire de s'assurer que leurs développeurs maîtrisaient parfaitement le codage sécurisé et qu'ils avaient un niveau élevé de sensibilisation à la cybersécurité. Le responsable de la sensibilisation à la sécurité a cherché à impliquer l'équipe de manière positive, en l'enthousiasmant dès le départ pour la sécurité.
Le défi
Le responsable de la sensibilisation à la sécurité de notre client travaille depuis longtemps dans le secteur de la sécurité, ce qui lui a permis d'être aux premières loges pour assister à la croissance explosive de l'adoption des applications en ligne par les entreprises, grandes et petites, ainsi qu'à l'augmentation rapide du nombre d'équipes axées sur le numérique. Il a été le témoin direct de l'inévitable cloisonnement des compétences qui peut résulter d'une telle hyper-expansion et, en fin de compte, cela a été un problème pour de nombreuses équipes de sécurité et de développement : "Au début de l'adoption des services en ligne, les développeurs pensaient à la sécurité et l'appliquaient à leurs logiciels. Cependant, dans un environnement de plus en plus cloisonné, une équipe travaillera, par exemple, sur un système d'exploitation qui sera ensuite envoyé à une équipe de sécurité pour analyse, et reviendra souvent avec un tas de marques rouges et des notes sur la façon de le corriger. Le système est inévitablement sécurisé, mais les résultats et les connaissances disparaissent dans un trou noir, pour se reproduire encore et encore", a-t-il déclaré.
Il a évoqué le "défi humain" en parlant des problèmes de sécurité qu'il rencontre fréquemment dans le cadre de ses fonctions :
Les ingénieurs logiciels sont payés pour créer des fonctionnalités, et la sécurité peut être considérée comme un obstacle majeur au développement agile. Ils sont occupés par leurs propres priorités et considèrent souvent l'aspect sécurité comme le travail de quelqu'un d'autre. À l'extrémité la plus extrême de l'échelle, certains adoptent le point de vue suivant : "Rien ne s'est encore produit. Pourquoi nous préoccupons-nous tant de la sécurité de ce logiciel et pourquoi cela interrompt-il mon cycle de développement ? Dans un monde de plus en plus numérisé, cette attitude doit changer. Plutôt que d'être considérés comme une nuisance, nous devons insister sur l'importance du partage des responsabilités en matière de sécurité des logiciels.
Compte tenu de la dépendance croissante à l'égard du développement pour alimenter nos vies numériques, il a vu l'écriture sur le mur : en tant que société, nous sommes des cibles faciles pour les pirates informatiques sur un terrain de jeu de plus en plus injuste pour les gentils. Les développeurs devaient prendre la sécurité au sérieux, s'y intéresser de près et devenir la première ligne de défense de son organisation (et, en fait, de toute entreprise technologique sérieuse).
Il a donc entrepris de bouleverser la formation traditionnelle.
La mise en œuvre
Le responsable de la sensibilisation à la sécurité est à l'origine de la philosophie générale de notre client, qui consiste à établir une nouvelle norme en matière de qualité des logiciels. Plus précisément, la notion selon laquelle le niveau de sécurité inhérent à un logiciel est une indication de sa qualité globale et de la viabilité du produit. Aujourd'hui, la sécurité n'est pas étroitement liée aux mesures de qualité dans la plupart des cas, et certainement pas de la même manière que l'interface utilisateur, la vitesse et la facilité d'utilisation sont prises en compte lors de l'évaluation d'un logiciel.
"La sécurité doit devenir une exigence non négociable pour la qualité des logiciels", a-t-il déclaré. "Elle est en corrélation avec la fiabilité, qui est une préoccupation majeure pour la plupart des entreprises, en particulier celles dont le modèle d'entreprise se transforme et se numérise rapidement.
Les coûts de correction des vulnérabilités dans un code validé étant jusqu'à trente fois plus élevés que s'il avait été écrit de manière sécurisée dès le départ, il est devenu essentiel d'intégrer une culture de la sécurité viable au sein des équipes de développement. Après tout, il existe certaines vulnérabilités que les outils d'analyse ne détectent pas, et la solution la plus efficace pour les combattre est une équipe de développement soucieuse de la sécurité.
Le responsable de la sensibilisation à la sécurité a détaillé son expérience des autres formes de formation, dont beaucoup sont encore couramment utilisées pour "convaincre" les développeurs et les préparer à répondre aux préoccupations croissantes en matière de sécurité : "Lorsque les développeurs doivent se familiariser avec la sécurité par le biais d'une tonne de travaux théoriques ou, pire encore, d'une formation peu fréquente à la conformité, il n'y a tout simplement pas assez d'apprentissage pratique ou de temps consacré à la sécurité pour avoir un impact durable. J'étais déterminé à changer cela en appliquant une solution plus efficace", a-t-il déclaré.
Les avantages d'un engagement élevé
Sous les conseils d'un Security Awareness Manager avisé et de son équipe, notre client a mis en place un programme de certification sur mesure, dont la plateforme Secure Code Warrior fait partie intégrante.
Leur recherche d'une solution de formation des développeurs plus efficace et plus attrayante les a conduits à adopter très tôt la gamification, dont ils ont maximisé la puissance et le potentiel grâce à leur propre programme structuré à grande échelle.
"Il était essentiel que nous fassions de la formation à fort engagement une partie intégrante de la culture et que les étudiants reviennent pour poursuivre leur apprentissage. Le système est une approche délibérée visant à développer les connaissances, les compétences et le sens de la valeur de la sécurité, ce qui leur permet de travailler avec du code source réel qu'ils utilisent tous les jours", a-t-il déclaré.
En veillant à ce que la solution soit holistique, couvrant à la fois les meilleures pratiques de sécurité standard de l'industrie et les directives internes, notre client a pu mobiliser rapidement la formation, ce qui a eu un impact positif sur la sécurité des logiciels au sein de l'organisation.
Le résultat
Le programme de certification de notre client est un format de formation réussi, en constante évolution, qui convient parfaitement à des initiatives avant-gardistes telles que leurs installations internes de formation technique. Le cours approfondi, dispensé de manière ludique, interactive et incitative, garantit à tous les étudiants les meilleures chances de rétention des connaissances, ainsi que le soutien nécessaire au développement d'une culture et d'un état d'esprit axés sur la sécurité. Bien que la ludification rende l'apprentissage plus agréable, l'aspect pratique du programme est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans leurs applications.
Il est important de noter que la formation n'était pas obligatoire et qu'elle nécessitait au contraire un élément de motivation de la part du développeur. Bien que cette motivation ait sans aucun doute été soutenue par des incitations et des récompenses, l'adoption du programme par l'ensemble de l'équipe a été le résultat du soutien et de l'approbation du processus par l'équipe de gonflement.
Outre la poursuite du développement de compétences vitales, le programme permet également de combler les lacunes relationnelles entre les équipes de développement et d'AppSec, en les mettant sur la même longueur d'onde, en leur faisant parler le même langage et en suscitant un intérêt mutuel.
Loin d'être une simple case à cocher de conformité, ce programme est devenu fondamental pour le soutien continu d'un personnel apprécié et de sa carrière, en fournissant des compétences mesurables dans l'un des secteurs à plus forte croissance de la planète : la cybersécurité. Ce sont des programmes de formation comme celui-ci qui deviendront la référence en matière d'amélioration de la sécurité des logiciels dès le départ.
En bref
- Il y a eu une réponse sans précédent de la part des étudiants qui ont obtenu la certification et qui ont exprimé le souhait de devenir instructeurs. Cet évangélisme de terrain est un puissant facteur de diffusion du soutien de bouche à oreille, d'adoption et de sensibilisation générale à la sécurité.
- Notre client est en train de déployer le programme auprès de plus de 2500 développeurs au sein de son organisation, dont plus de 90% sont déjà actifs dans le système.
- Ils utilisent cette formation pour aider le personnel à développer sa carrière, en veillant à ce qu'il soit armé des connaissances nécessaires pour utiliser ses compétences dans un espace technologique en constante évolution.
Table des matières
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.