Développeur Tournaments: L'arme secrète d'AppSec pour améliorer la culture de sécurité et l'engagement
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Imaginez que vous créez quelque chose à partir de rien, que vous utilisez vos compétences et votre expérience avec maestria pour marquer le monde de votre empreinte, petite mais spéciale. Que vous soyez seul ou que vous fassiez partie d'une équipe, vous mettez tout votre cœur et toute votre âme à construire quelque chose à partir de rien. Vous y consacrez des centaines, voire des milliers d'heures, en veillant à ce que votre bébé soit le meilleur possible. Une fois le projet achevé, cette vague d'accomplissement peut être ressentie comme une récompense à part entière.
Imaginez maintenant qu'un rabat-joie vienne vous dire que ce n'est pas si bien que ça. Peut-être va-t-il plus loin en vous disant que, non, malgré l'énergie, le temps et l'amour que vous avez sacrifiés, il n'est même pas utilisable : il est cassé. Ils vous ont dit, en substance, que votre bébé est laid.
Le scénario ci-dessus est forcément source de tensions ; après tout, qui veut que son travail acharné soit critiqué et condamné comme étant inadéquat ? Malheureusement, pour de nombreux développeurs, cela peut être la réalité de leur relation avec l'équipe AppSec. Un développeur a pour principale responsabilité de créer des logiciels fonctionnels, riches en fonctionnalités et livrés dans des délais stricts. La sécurité est rarement une priorité et peut même être considérée comme un obstacle à la livraison rapide et à l'innovation. L'AppSec a la tâche peu enviable de vérifier méticuleusement le code, de procéder à des tests d'intrusion et de signaler la mauvaise nouvelle : la présence de failles de sécurité dans un code qui est souvent déjà engagé. Il s'agit d'un processus coûteux dans un environnement souvent à court de ressources et de temps, dont la mise en place provoque inévitablement un clivage entre deux équipes qui ont le même objectif, mais qui parlent des langues si différentes qu'elles semblent être à couteaux tirés.
Ne pensez-vous pas qu'il est temps de donner un coup de jeune à la sécurité ? Il suffit de changer la conversation et de rendre les choses un peu plus positives (pour ne pas dire amusantes !) pour les deux parties, en particulier pour l'équipe de développement.
De la salle de classe à l'arène de jeu
Comme de nombreux développeurs terminent leur formation professionnelle sans avoir beaucoup appris sur le codage sécurisé, il arrive souvent que leur premier contact avec l'éducation à la sécurité se fasse au moment de leur entrée sur le marché du travail. La formation en classe est une solution souvent utilisée, mais elle fait perdre un temps précieux à la présentation des fonctionnalités (et, avouons-le, si le professeur et le contenu ne sont pas assez stimulants, il peut s'agir d'une perte de temps facilement oubliable pour tout le monde). Il y a aussi la vidéo courses, les examens sur papier et la formation générique à la politique de sécurité de l'entreprise... qui peuvent être si peu spécifiques qu'ils sont inutiles dans la vie professionnelle quotidienne du développeur moyen.
Trop souvent, elle est traitée comme un exercice de conformité " cochez la case et passez à autre chose ", et trop souvent elle a l'effet inverse : elle ne fait que creuser le fossé entre l'AppSec et l'équipe de développement. Après tout, il ne semble pas que la formation conventionnelle ait l'effet positif sur la culture de la sécurité et la conformité que nous recherchons si désespérément en tant qu'industrie. Nous continuons à faire les mêmes erreurs.
Selon la communauté Common Weakness Enumeration(CWE), il existe plus de 700 faiblesses de sécurité logicielle courantes contre lesquelles il faut lutter. Certaines, comme l'injection SQL, sont comme des cafards qui n'ont pas été écrasés bien qu'ils existent depuis plus de vingt ans. Nous savons comment y remédier ; la formation est là pour donner aux développeurs les moyens d'y mettre fin, ainsi qu'à tant d'autres, et pourtant les tests d'intrusion et les processus d'examen manuel du code identifient continuellement ces violations.
Peut-être avons-nous fait fausse route et devons-nous, en tant qu'industrie, aborder l'éducation viable sous un angle différent... un angle qui exploite les compétences étonnantes si appréciées de nos développeurs. Ce sont des personnes créatives, curieuses de résoudre des problèmes et qui aiment relever des défis. Gamifier la formation à la sécurité, c'est parler leur langage, leur permettre de s'exercer par la pratique - et qui sait, ils pourraient bien tomber amoureux de la sécurité en cours de route.
Un peu de concurrence saine
La dépendance à l'égard d'outils (plutôt imprécis), de tests d'intrusion coûteux et de rares spécialistes de la sécurité des applications va nous plonger encore plus profondément dans le trou noir de la sécurité. Une trop grande partie de nos vies et de notre vie privée se déroule en ligne pour que les entreprises continuent à jeter la prudence dans les forteresses virtuelles qui protègent nos données. Alors que la transformation numérique de notre monde accroît notre dépendance à l'égard des logiciels, nous devons nous tourner vers les super-héros que nous avons toujours eus au bureau : l'équipe de développement.
La formation gamifiée, dans les langages et les cadres appropriés, est un outil puissant pour les responsables AppSec afin de commencer à transformer la culture de la sécurité au sein de l'entreprise. À partir de la formation, les développeurs peuvent exercer leurs nouveaux muscles de sécurité dans un cadre amusant tournament , qui peut être aussi excitant que votre imagination peut l'évoquer : il suffit de regarder comment le "jeu des codes" d'IAG a fait parler tout le monde de la sécurité au sein de leur organisation.
Secure Code WarriorLe moduletournament ne se contente pas de couronner un engagement de formation mesuré : il s'agit d'une plateforme à partir de laquelle chaque développeur peut valider ses compétences, voir où il en est depuis le début de la formation et identifier les domaines qui pourraient nécessiter des améliorations. L'aspect compétitif agit réellement comme une motivation pour s'engager positivement dans la sécurité, en utilisant la récompense et la reconnaissance pour soutenir la croissance d'une culture de sécurité robuste au sein de l'équipe et de l'entreprise au sens large.
Injecter un peu de plaisir dans ce qui peut être perçu comme une tâche laborieuse, voire décourageante, peut contribuer grandement à changer les mentalités négatives et à inspirer une participation continue. Après tout, qui n'aime pas la gloire de marquer plus de points que ses pairs dans un environnement compétitif (sain) ?
Les champions marchent parmi vous
La formation par le jeu et le site tournaments qui s'ensuit contribuent énormément à l'instauration d'une culture positive de la sécurité, les équipes AppSec et de développement ayant une meilleure connaissance du travail quotidien des uns et des autres. Un développeur sûr est un atout, qui corrige les vulnérabilités courantes et laisse les problèmes complexes aux rares spécialistes AppSec sur le terrain. De meilleures relations se développent et prospèrent, et le précieux budget de la sécurité n'est pas englouti dans la réparation des mêmes erreurs, comme dans un "jour de la marmotte".
Il existe cependant un autre sous-produit puissant : la révélation des champions de la sécurité dont vous ne soupçonniez pas l'existence. Tournaments peut découvrir ceux qui non seulement ont des aptitudes pour la sécurité, mais qui affichent activement une passion pour celle-ci. Ces champions sont essentiels pour maintenir l'élan et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques de meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout pour l'organisation, ainsi qu'un élément important pour le CV et la carrière future de l'intéressé.
Conclusion ? Nous devons exiger de meilleurs résultats dans les tests de sécurité. Moins d'erreurs courantes, plus de soutien pour ceux qui sont en première ligne. Pourquoi ne pas voir comment un développeur tournament peut vous permettre d'y parvenir plus tôt que vous ne le pensez ?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.