Blog

Développeur Tournaments: L'arme secrète d'AppSec pour améliorer la culture de sécurité et l'engagement

Pieter Danhieux
Publié le 30 janvier 2019

Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.

Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.

Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.

Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.

De la salle de classe à l'arène de jeu

Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.

Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.

Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.

Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.

La pyramide de l'apprentissage

Un peu de concurrence saine

La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.

La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.

Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.

Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?

Les champions marchent parmi vous

La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".

Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.

Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?

Voir la ressource
Voir la ressource

Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.

Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Pieter Danhieux
Publié le 30 janvier 2019

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.

Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.

Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.

Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.

De la salle de classe à l'arène de jeu

Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.

Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.

Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.

Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.

La pyramide de l'apprentissage

Un peu de concurrence saine

La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.

La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.

Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.

Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?

Les champions marchent parmi vous

La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".

Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.

Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.

Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.

Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.

Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.

De la salle de classe à l'arène de jeu

Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.

Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.

Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.

Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.

La pyramide de l'apprentissage

Un peu de concurrence saine

La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.

La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.

Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.

Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?

Les champions marchent parmi vous

La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".

Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.

Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Pieter Danhieux
Publié le 30 janvier 2019

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.

Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.

Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.

Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.

De la salle de classe à l'arène de jeu

Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.

Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.

Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.

Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.

La pyramide de l'apprentissage

Un peu de concurrence saine

La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.

La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.

Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.

Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?

Les champions marchent parmi vous

La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".

Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.

Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles