Développeur Tournaments: L'arme secrète d'AppSec pour améliorer la culture de sécurité et l'engagement
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Il est notoirement difficile de trouver des données significatives sur le succès des initiatives Secure-by-Design. Les RSSI sont souvent confrontés à des difficultés lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise. De plus, il est particulièrement difficile pour les entreprises d'obtenir des informations sur la façon dont leurs organisations sont comparées aux normes actuelles du secteur. La stratégie nationale de cybersécurité du président a mis les parties prenantes au défi d'"adopter la sécurité et la résilience dès la conception". Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour assurer la sécurité du code, mais aussi garantir aux régulateurs que ces compétences sont en place. Dans cette présentation, nous partageons une myriade de données qualitatives et quantitatives, dérivées de sources primaires multiples, y compris des points de données internes collectés auprès de plus de 250 000 développeurs, des informations sur les clients basées sur des données, et des études publiques. En nous appuyant sur cette agrégation de points de données, nous visons à communiquer une vision de l'état actuel des initiatives Secure-by-Design dans de multiples secteurs verticaux. Le rapport explique en détail pourquoi cet espace est actuellement sous-utilisé, l'impact significatif qu'un programme de perfectionnement réussi peut avoir sur l'atténuation des risques de cybersécurité, et le potentiel d'élimination des catégories de vulnérabilités d'une base de code.
Services professionnels - Accélérer grâce à l'expertise
L'équipe des services de stratégie de programme (PSS) de Secure Code Warriorvous aide à construire, améliorer et optimiser votre programme de codage sécurisé. Que vous partiez de zéro ou que vous affiniez votre approche, nos experts vous fournissent des conseils sur mesure.
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu, à la pointe de l'industrie, évolue constamment pour s'adapter au paysage du développement logiciel en constante évolution, tout en gardant votre rôle à l'esprit. Les sujets abordés vont de l'IA à l'injection XQuery, et sont proposés pour une variété de rôles, des architectes et ingénieurs aux gestionnaires de produits et à l'assurance qualité. Découvrez en avant-première ce que notre catalogue de contenu a à offrir par sujet et par rôle.
Quêtes : Apprentissage de pointe pour permettre aux développeurs de garder une longueur d'avance et d'atténuer les risques.
Quests est une learning platform qui aide les développeurs à atténuer les risques liés à la sécurité des logiciels en améliorant leurs compétences en matière de codage sécurisé. Grâce à des parcours d'apprentissage, des défis pratiques et des activités interactives, elle permet aux développeurs d'identifier et de prévenir les vulnérabilités.
Ressources pour vous aider à démarrer
Vibe Coding va-t-il transformer votre base de code en une fête de fraternité ?
Le codage vibratoire est comme une fête de fraternité universitaire, et l'IA est la pièce maîtresse de toutes les festivités, le tonneau. C'est très amusant de se laisser aller, d'être créatif et de voir où votre imagination peut vous mener, mais après quelques barils, boire (ou utiliser l'IA) avec modération est sans aucun doute la solution la plus sûre à long terme.
La décennie des défenseurs : Secure Code Warrior Dixième anniversaire
Secure Code WarriorL'équipe fondatrice de SCW est restée soudée, dirigeant le navire à travers chaque leçon, chaque triomphe et chaque revers pendant une décennie entière. Nous nous développons et sommes prêts à affronter notre prochain chapitre, SCW 2.0, en tant que leaders de la gestion des risques pour les développeurs.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
