Comment un "jeu de codes" conduit le groupe IAG vers un avenir plus sûr en matière de codage
Le groupe IAG est à l'origine de nombreuses compagnies d'assurance de premier plan dans la région Asie-Pacifique, souscrivant des polices pour des millions de clients pour un montant d'environ 11,4 milliards de dollars australiens de primes par an. Bianca Wirth est responsable de l'éducation et de la sensibilisation à la sécurité pour le groupe IAG. Très sensible à la nécessité d'une sensibilisation et de pratiques de sécurité rigoureuses au sein de l'équipe de développement, elle a entrepris de créer un environnement véritablement innovant et optimal dans lequel l'équipe pourrait apprendre des techniques de codage sécurisées vitales.
ENTER : Jeu de codes
Le défi
Les développeurs sont souvent pressés par le temps, avec de multiples livrables et projets en cours. Cependant, se tenir au courant des meilleures pratiques en matière de sécurité est de la plus haute importance pour toute organisation, et encore plus pour une organisation qui doit protéger des millions de profils de données sensibles de clients contre les pirates informatiques. Bianca et son équipe se sont fixé des objectifs clairs pour renforcer leurs initiatives en matière de cybersécurité. Ils ont déterminé que la priorité était de minimiser la surface d'attaque des applications développées par l'IAG, et qu'il fallait pour cela former les développeurs à identifier et à corriger les vulnérabilités critiques et à haut risque. Il existe certainement des formations longues sur le codage sécurisé ( courses ), mais elles peuvent être laborieuses, fastidieuses, et éloigner le personnel clé des projets de développement avec des délais de livraison stricts, ce qui crée une pression dans l'ensemble de l'entreprise. La nécessité d'améliorer rapidement les compétences de l'équipe de développement, avec un impact minimal sur la charge de travail et les opérations, est devenue évidente. Et avec des développeurs répartis entre l'Australie et la Nouvelle-Zélande, chacun travaillant sur des systèmes qui n'étaient pas nécessairement les mêmes, ce n'était pas une mince affaire.
"Cette année, j'ai apporté une modification à notre code source qui a supprimé une vulnérabilité d'injection SQL. C'est à Game of Codes que l'on doit cette prise de conscience. Le simple fait de garder à l'esprit la sécurité du codage est utile. La compétition est un bon moyen de pousser les gens à faire de leur mieux... parce que, soyons honnêtes, la sécurité n'est pas le sujet le plus agréable pour tout le monde, c'est donc un bon moyen d'impliquer les gens." R, développeur IAG
La mise en œuvre
Bianca a élaboré une stratégie de déploiement d'une expérience de formation gamifiée, en travaillant en collaboration avec son équipe et Secure Code Warrior à la mise en œuvre de tournaments et d'une formation visant à promouvoir les compétences de leurs développeurs internes. Pour ce faire, il était essentiel de mettre en place une stratégie de communication solide, ainsi que de répondre aux différentes motivations et personnalités du personnel lorsqu'il s'agit d'adopter une toute nouvelle plateforme et de l'utiliser à son plein potentiel :
"Nous avons élaboré un plan de communication qui indique comment nous allons communiquer au personnel et aux principales parties prenantes les points à connaître et les messages clés, ainsi que les incitations que nous leur offrons pour qu'ils réagissent également. La plupart des gens apprécient vraiment l'expérience des jeux. Cela dépend simplement de leur personnalité, de leur motivation et de ce qui les anime. C'est pourquoi nous essayons de répondre à toute une série de motivations différentes. Pour certains, ce sont les prix qui les intéressent, pour d'autres, c'est l'aspect de l'accomplissement qui est en soi un facteur suffisant", a-t-elle déclaré
Bianca et IAG ont présenté de manière experte le site Secure Code Warrior's gamified Plateforme D'apprentissage, transformant leur tournament en une expérience de compétition amusante annoncée comme le "Jeu des codes", avec le personnel placé dans des maisons à thème médiéval (avec des marchandises de marque pour les joueurs) s'affrontant dans une bataille digne de son homonyme produite par HBO.
Le site tournament a même été porté sur la scène internationale, avec le lancement prochain d'un match Australie/Nouvelle-Zélande. Cela donne à l'IAG l'occasion d'identifier les principaux champions de la sécurité dans les deux pays et de s'assurer que les équipes se perfectionnent ensemble.
Le résultat
Game of Codes est en fait un programme de formation spécialisé. Son déploiement sous la forme d'un site interactif et amusant ( tournament ) a permis au personnel de rester engagé de diverses manières, mais l'aspect pratique essentiel de l'exercice est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans les applications développées par l'IAG.
En s'assurant que les développeurs et les équipes de sécurité travaillent avec un état d'esprit axé sur la sécurité, et qu'ils sont équipés pour non seulement identifier, mais aussi corriger les vulnérabilités dès le début, l'IAG prévoit une réduction des exercices coûteux de tests de pénétration et de la pression exercée sur l'équipe qui les exécute.
Outre la poursuite du développement de cette compétence vitale, Game of Codes a également contribué à l'établissement de relations, en insufflant un sentiment de camaraderie et de compétitivité amicale entre les équipes impliquées, tout en aidant les individus à se sentir plus confiants dans leurs capacités de codage sécurisé lorsqu'ils les voient mesurées dans un environnement de notation à l'adresse suivante : tournament .
Bianca a déclaré que le soutien interne au programme était immense, avec un accueil positif de la part de la direction. Cela a également conduit à la mise en place d'un programme d'ambassadeurs, dans le cadre duquel les personnes désireuses de promouvoir le programme et de défendre la sécurité au sein de l'organisation pouvaient s'impliquer :
"Ce fut une formidable exposition pour certains développeurs et une excellente promotion de leurs compétences. Ils en tirent également des avantages dans leur propre travail, ce qui est important".
Loin d'être "un simple jeu" ou un moyen plus agréable pour les chefs de service de brûler les étapes de la formation à la conformité, Game of Codes offre une solution attrayante et à forte rétention qui transforme rapidement les novices en champions de la sécurité, ce qui est essentiel pour minimiser le risque d'une violation à grande échelle.
Et le conseil ultime, de la part de Bianca elle-même :
"Si vous mettez en place un programme et que vous vous attendez à ce que les gens l'utilisent, cela ne fonctionnera pas. Vous devez concevoir un programme autour duquel vous initiez et motivez le changement de comportement. Ce que nous avons construit, c'est essentiellement un programme de gestion du changement pour les développeurs, axé sur la sécurité".
"Après avoir suivi les sessions de formation sur Game of Codes, je constate que je m'intéresse davantage à la sécurité et à la réflexion sur la sécurité lors de la création de tests d'automatisation.Je suis un testeur senior dans une équipe agile et ces sessions de formation m'ont motivé à en apprendre davantage sur les tests de sécurité et à y penser comme une spécialisation possible." A, testeur senior de l'AIG
FAITS RAPIDES
- Outre la ludification de l'apprentissage, l'IAG utilise également Secure Code Warrior comme outil de test des compétences dans le cadre du recrutement de développeurs.
- Ils sont en train de déployer le programme à 100 % de leur équipe de développement, 55 % d'entre eux étant déjà actifs dans le système.
- Ils ont développé un ensemble d'indicateurs internes clés leur permettant de mesurer le succès du programme en minimisant les risques et en réduisant les coûts au fil du temps.
Le groupe IAG est à l'origine de nombreuses compagnies d'assurance de premier plan dans la région Asie-Pacifique. de la région Asie-Pacifique, souscrivant des polices pour des millions de clients millions de clients pour un montant d'environ 11,4 milliards de dollars australiens de primes par an.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationLe groupe IAG est à l'origine de nombreuses compagnies d'assurance de premier plan dans la région Asie-Pacifique, souscrivant des polices pour des millions de clients pour un montant d'environ 11,4 milliards de dollars australiens de primes par an. Bianca Wirth est responsable de l'éducation et de la sensibilisation à la sécurité pour le groupe IAG. Très sensible à la nécessité d'une sensibilisation et de pratiques de sécurité rigoureuses au sein de l'équipe de développement, elle a entrepris de créer un environnement véritablement innovant et optimal dans lequel l'équipe pourrait apprendre des techniques de codage sécurisées vitales.
ENTER : Jeu de codes
Le défi
Les développeurs sont souvent pressés par le temps, avec de multiples livrables et projets en cours. Cependant, se tenir au courant des meilleures pratiques en matière de sécurité est de la plus haute importance pour toute organisation, et encore plus pour une organisation qui doit protéger des millions de profils de données sensibles de clients contre les pirates informatiques. Bianca et son équipe se sont fixé des objectifs clairs pour renforcer leurs initiatives en matière de cybersécurité. Ils ont déterminé que la priorité était de minimiser la surface d'attaque des applications développées par l'IAG, et qu'il fallait pour cela former les développeurs à identifier et à corriger les vulnérabilités critiques et à haut risque. Il existe certainement des formations longues sur le codage sécurisé ( courses ), mais elles peuvent être laborieuses, fastidieuses, et éloigner le personnel clé des projets de développement avec des délais de livraison stricts, ce qui crée une pression dans l'ensemble de l'entreprise. La nécessité d'améliorer rapidement les compétences de l'équipe de développement, avec un impact minimal sur la charge de travail et les opérations, est devenue évidente. Et avec des développeurs répartis entre l'Australie et la Nouvelle-Zélande, chacun travaillant sur des systèmes qui n'étaient pas nécessairement les mêmes, ce n'était pas une mince affaire.
"Cette année, j'ai apporté une modification à notre code source qui a supprimé une vulnérabilité d'injection SQL. C'est à Game of Codes que l'on doit cette prise de conscience. Le simple fait de garder à l'esprit la sécurité du codage est utile. La compétition est un bon moyen de pousser les gens à faire de leur mieux... parce que, soyons honnêtes, la sécurité n'est pas le sujet le plus agréable pour tout le monde, c'est donc un bon moyen d'impliquer les gens." R, développeur IAG
La mise en œuvre
Bianca a élaboré une stratégie de déploiement d'une expérience de formation gamifiée, en travaillant en collaboration avec son équipe et Secure Code Warrior à la mise en œuvre de tournaments et d'une formation visant à promouvoir les compétences de leurs développeurs internes. Pour ce faire, il était essentiel de mettre en place une stratégie de communication solide, ainsi que de répondre aux différentes motivations et personnalités du personnel lorsqu'il s'agit d'adopter une toute nouvelle plateforme et de l'utiliser à son plein potentiel :
"Nous avons élaboré un plan de communication qui indique comment nous allons communiquer au personnel et aux principales parties prenantes les points à connaître et les messages clés, ainsi que les incitations que nous leur offrons pour qu'ils réagissent également. La plupart des gens apprécient vraiment l'expérience des jeux. Cela dépend simplement de leur personnalité, de leur motivation et de ce qui les anime. C'est pourquoi nous essayons de répondre à toute une série de motivations différentes. Pour certains, ce sont les prix qui les intéressent, pour d'autres, c'est l'aspect de l'accomplissement qui est en soi un facteur suffisant", a-t-elle déclaré
Bianca et IAG ont présenté de manière experte le site Secure Code Warrior's gamified Plateforme D'apprentissage, transformant leur tournament en une expérience de compétition amusante annoncée comme le "Jeu des codes", avec le personnel placé dans des maisons à thème médiéval (avec des marchandises de marque pour les joueurs) s'affrontant dans une bataille digne de son homonyme produite par HBO.
Le site tournament a même été porté sur la scène internationale, avec le lancement prochain d'un match Australie/Nouvelle-Zélande. Cela donne à l'IAG l'occasion d'identifier les principaux champions de la sécurité dans les deux pays et de s'assurer que les équipes se perfectionnent ensemble.
Le résultat
Game of Codes est en fait un programme de formation spécialisé. Son déploiement sous la forme d'un site interactif et amusant ( tournament ) a permis au personnel de rester engagé de diverses manières, mais l'aspect pratique essentiel de l'exercice est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans les applications développées par l'IAG.
En s'assurant que les développeurs et les équipes de sécurité travaillent avec un état d'esprit axé sur la sécurité, et qu'ils sont équipés pour non seulement identifier, mais aussi corriger les vulnérabilités dès le début, l'IAG prévoit une réduction des exercices coûteux de tests de pénétration et de la pression exercée sur l'équipe qui les exécute.
Outre la poursuite du développement de cette compétence vitale, Game of Codes a également contribué à l'établissement de relations, en insufflant un sentiment de camaraderie et de compétitivité amicale entre les équipes impliquées, tout en aidant les individus à se sentir plus confiants dans leurs capacités de codage sécurisé lorsqu'ils les voient mesurées dans un environnement de notation à l'adresse suivante : tournament .
Bianca a déclaré que le soutien interne au programme était immense, avec un accueil positif de la part de la direction. Cela a également conduit à la mise en place d'un programme d'ambassadeurs, dans le cadre duquel les personnes désireuses de promouvoir le programme et de défendre la sécurité au sein de l'organisation pouvaient s'impliquer :
"Ce fut une formidable exposition pour certains développeurs et une excellente promotion de leurs compétences. Ils en tirent également des avantages dans leur propre travail, ce qui est important".
Loin d'être "un simple jeu" ou un moyen plus agréable pour les chefs de service de brûler les étapes de la formation à la conformité, Game of Codes offre une solution attrayante et à forte rétention qui transforme rapidement les novices en champions de la sécurité, ce qui est essentiel pour minimiser le risque d'une violation à grande échelle.
Et le conseil ultime, de la part de Bianca elle-même :
"Si vous mettez en place un programme et que vous vous attendez à ce que les gens l'utilisent, cela ne fonctionnera pas. Vous devez concevoir un programme autour duquel vous initiez et motivez le changement de comportement. Ce que nous avons construit, c'est essentiellement un programme de gestion du changement pour les développeurs, axé sur la sécurité".
"Après avoir suivi les sessions de formation sur Game of Codes, je constate que je m'intéresse davantage à la sécurité et à la réflexion sur la sécurité lors de la création de tests d'automatisation.Je suis un testeur senior dans une équipe agile et ces sessions de formation m'ont motivé à en apprendre davantage sur les tests de sécurité et à y penser comme une spécialisation possible." A, testeur senior de l'AIG
FAITS RAPIDES
- Outre la ludification de l'apprentissage, l'IAG utilise également Secure Code Warrior comme outil de test des compétences dans le cadre du recrutement de développeurs.
- Ils sont en train de déployer le programme à 100 % de leur équipe de développement, 55 % d'entre eux étant déjà actifs dans le système.
- Ils ont développé un ensemble d'indicateurs internes clés leur permettant de mesurer le succès du programme en minimisant les risques et en réduisant les coûts au fil du temps.
Le groupe IAG est à l'origine de nombreuses compagnies d'assurance de premier plan dans la région Asie-Pacifique, souscrivant des polices pour des millions de clients pour un montant d'environ 11,4 milliards de dollars australiens de primes par an. Bianca Wirth est responsable de l'éducation et de la sensibilisation à la sécurité pour le groupe IAG. Très sensible à la nécessité d'une sensibilisation et de pratiques de sécurité rigoureuses au sein de l'équipe de développement, elle a entrepris de créer un environnement véritablement innovant et optimal dans lequel l'équipe pourrait apprendre des techniques de codage sécurisées vitales.
ENTER : Jeu de codes
Le défi
Les développeurs sont souvent pressés par le temps, avec de multiples livrables et projets en cours. Cependant, se tenir au courant des meilleures pratiques en matière de sécurité est de la plus haute importance pour toute organisation, et encore plus pour une organisation qui doit protéger des millions de profils de données sensibles de clients contre les pirates informatiques. Bianca et son équipe se sont fixé des objectifs clairs pour renforcer leurs initiatives en matière de cybersécurité. Ils ont déterminé que la priorité était de minimiser la surface d'attaque des applications développées par l'IAG, et qu'il fallait pour cela former les développeurs à identifier et à corriger les vulnérabilités critiques et à haut risque. Il existe certainement des formations longues sur le codage sécurisé ( courses ), mais elles peuvent être laborieuses, fastidieuses, et éloigner le personnel clé des projets de développement avec des délais de livraison stricts, ce qui crée une pression dans l'ensemble de l'entreprise. La nécessité d'améliorer rapidement les compétences de l'équipe de développement, avec un impact minimal sur la charge de travail et les opérations, est devenue évidente. Et avec des développeurs répartis entre l'Australie et la Nouvelle-Zélande, chacun travaillant sur des systèmes qui n'étaient pas nécessairement les mêmes, ce n'était pas une mince affaire.
"Cette année, j'ai apporté une modification à notre code source qui a supprimé une vulnérabilité d'injection SQL. C'est à Game of Codes que l'on doit cette prise de conscience. Le simple fait de garder à l'esprit la sécurité du codage est utile. La compétition est un bon moyen de pousser les gens à faire de leur mieux... parce que, soyons honnêtes, la sécurité n'est pas le sujet le plus agréable pour tout le monde, c'est donc un bon moyen d'impliquer les gens." R, développeur IAG
La mise en œuvre
Bianca a élaboré une stratégie de déploiement d'une expérience de formation gamifiée, en travaillant en collaboration avec son équipe et Secure Code Warrior à la mise en œuvre de tournaments et d'une formation visant à promouvoir les compétences de leurs développeurs internes. Pour ce faire, il était essentiel de mettre en place une stratégie de communication solide, ainsi que de répondre aux différentes motivations et personnalités du personnel lorsqu'il s'agit d'adopter une toute nouvelle plateforme et de l'utiliser à son plein potentiel :
"Nous avons élaboré un plan de communication qui indique comment nous allons communiquer au personnel et aux principales parties prenantes les points à connaître et les messages clés, ainsi que les incitations que nous leur offrons pour qu'ils réagissent également. La plupart des gens apprécient vraiment l'expérience des jeux. Cela dépend simplement de leur personnalité, de leur motivation et de ce qui les anime. C'est pourquoi nous essayons de répondre à toute une série de motivations différentes. Pour certains, ce sont les prix qui les intéressent, pour d'autres, c'est l'aspect de l'accomplissement qui est en soi un facteur suffisant", a-t-elle déclaré
Bianca et IAG ont présenté de manière experte le site Secure Code Warrior's gamified Plateforme D'apprentissage, transformant leur tournament en une expérience de compétition amusante annoncée comme le "Jeu des codes", avec le personnel placé dans des maisons à thème médiéval (avec des marchandises de marque pour les joueurs) s'affrontant dans une bataille digne de son homonyme produite par HBO.
Le site tournament a même été porté sur la scène internationale, avec le lancement prochain d'un match Australie/Nouvelle-Zélande. Cela donne à l'IAG l'occasion d'identifier les principaux champions de la sécurité dans les deux pays et de s'assurer que les équipes se perfectionnent ensemble.
Le résultat
Game of Codes est en fait un programme de formation spécialisé. Son déploiement sous la forme d'un site interactif et amusant ( tournament ) a permis au personnel de rester engagé de diverses manières, mais l'aspect pratique essentiel de l'exercice est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans les applications développées par l'IAG.
En s'assurant que les développeurs et les équipes de sécurité travaillent avec un état d'esprit axé sur la sécurité, et qu'ils sont équipés pour non seulement identifier, mais aussi corriger les vulnérabilités dès le début, l'IAG prévoit une réduction des exercices coûteux de tests de pénétration et de la pression exercée sur l'équipe qui les exécute.
Outre la poursuite du développement de cette compétence vitale, Game of Codes a également contribué à l'établissement de relations, en insufflant un sentiment de camaraderie et de compétitivité amicale entre les équipes impliquées, tout en aidant les individus à se sentir plus confiants dans leurs capacités de codage sécurisé lorsqu'ils les voient mesurées dans un environnement de notation à l'adresse suivante : tournament .
Bianca a déclaré que le soutien interne au programme était immense, avec un accueil positif de la part de la direction. Cela a également conduit à la mise en place d'un programme d'ambassadeurs, dans le cadre duquel les personnes désireuses de promouvoir le programme et de défendre la sécurité au sein de l'organisation pouvaient s'impliquer :
"Ce fut une formidable exposition pour certains développeurs et une excellente promotion de leurs compétences. Ils en tirent également des avantages dans leur propre travail, ce qui est important".
Loin d'être "un simple jeu" ou un moyen plus agréable pour les chefs de service de brûler les étapes de la formation à la conformité, Game of Codes offre une solution attrayante et à forte rétention qui transforme rapidement les novices en champions de la sécurité, ce qui est essentiel pour minimiser le risque d'une violation à grande échelle.
Et le conseil ultime, de la part de Bianca elle-même :
"Si vous mettez en place un programme et que vous vous attendez à ce que les gens l'utilisent, cela ne fonctionnera pas. Vous devez concevoir un programme autour duquel vous initiez et motivez le changement de comportement. Ce que nous avons construit, c'est essentiellement un programme de gestion du changement pour les développeurs, axé sur la sécurité".
"Après avoir suivi les sessions de formation sur Game of Codes, je constate que je m'intéresse davantage à la sécurité et à la réflexion sur la sécurité lors de la création de tests d'automatisation.Je suis un testeur senior dans une équipe agile et ces sessions de formation m'ont motivé à en apprendre davantage sur les tests de sécurité et à y penser comme une spécialisation possible." A, testeur senior de l'AIG
FAITS RAPIDES
- Outre la ludification de l'apprentissage, l'IAG utilise également Secure Code Warrior comme outil de test des compétences dans le cadre du recrutement de développeurs.
- Ils sont en train de déployer le programme à 100 % de leur équipe de développement, 55 % d'entre eux étant déjà actifs dans le système.
- Ils ont développé un ensemble d'indicateurs internes clés leur permettant de mesurer le succès du programme en minimisant les risques et en réduisant les coûts au fil du temps.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationLe groupe IAG est à l'origine de nombreuses compagnies d'assurance de premier plan dans la région Asie-Pacifique, souscrivant des polices pour des millions de clients pour un montant d'environ 11,4 milliards de dollars australiens de primes par an. Bianca Wirth est responsable de l'éducation et de la sensibilisation à la sécurité pour le groupe IAG. Très sensible à la nécessité d'une sensibilisation et de pratiques de sécurité rigoureuses au sein de l'équipe de développement, elle a entrepris de créer un environnement véritablement innovant et optimal dans lequel l'équipe pourrait apprendre des techniques de codage sécurisées vitales.
ENTER : Jeu de codes
Le défi
Les développeurs sont souvent pressés par le temps, avec de multiples livrables et projets en cours. Cependant, se tenir au courant des meilleures pratiques en matière de sécurité est de la plus haute importance pour toute organisation, et encore plus pour une organisation qui doit protéger des millions de profils de données sensibles de clients contre les pirates informatiques. Bianca et son équipe se sont fixé des objectifs clairs pour renforcer leurs initiatives en matière de cybersécurité. Ils ont déterminé que la priorité était de minimiser la surface d'attaque des applications développées par l'IAG, et qu'il fallait pour cela former les développeurs à identifier et à corriger les vulnérabilités critiques et à haut risque. Il existe certainement des formations longues sur le codage sécurisé ( courses ), mais elles peuvent être laborieuses, fastidieuses, et éloigner le personnel clé des projets de développement avec des délais de livraison stricts, ce qui crée une pression dans l'ensemble de l'entreprise. La nécessité d'améliorer rapidement les compétences de l'équipe de développement, avec un impact minimal sur la charge de travail et les opérations, est devenue évidente. Et avec des développeurs répartis entre l'Australie et la Nouvelle-Zélande, chacun travaillant sur des systèmes qui n'étaient pas nécessairement les mêmes, ce n'était pas une mince affaire.
"Cette année, j'ai apporté une modification à notre code source qui a supprimé une vulnérabilité d'injection SQL. C'est à Game of Codes que l'on doit cette prise de conscience. Le simple fait de garder à l'esprit la sécurité du codage est utile. La compétition est un bon moyen de pousser les gens à faire de leur mieux... parce que, soyons honnêtes, la sécurité n'est pas le sujet le plus agréable pour tout le monde, c'est donc un bon moyen d'impliquer les gens." R, développeur IAG
La mise en œuvre
Bianca a élaboré une stratégie de déploiement d'une expérience de formation gamifiée, en travaillant en collaboration avec son équipe et Secure Code Warrior à la mise en œuvre de tournaments et d'une formation visant à promouvoir les compétences de leurs développeurs internes. Pour ce faire, il était essentiel de mettre en place une stratégie de communication solide, ainsi que de répondre aux différentes motivations et personnalités du personnel lorsqu'il s'agit d'adopter une toute nouvelle plateforme et de l'utiliser à son plein potentiel :
"Nous avons élaboré un plan de communication qui indique comment nous allons communiquer au personnel et aux principales parties prenantes les points à connaître et les messages clés, ainsi que les incitations que nous leur offrons pour qu'ils réagissent également. La plupart des gens apprécient vraiment l'expérience des jeux. Cela dépend simplement de leur personnalité, de leur motivation et de ce qui les anime. C'est pourquoi nous essayons de répondre à toute une série de motivations différentes. Pour certains, ce sont les prix qui les intéressent, pour d'autres, c'est l'aspect de l'accomplissement qui est en soi un facteur suffisant", a-t-elle déclaré
Bianca et IAG ont présenté de manière experte le site Secure Code Warrior's gamified Plateforme D'apprentissage, transformant leur tournament en une expérience de compétition amusante annoncée comme le "Jeu des codes", avec le personnel placé dans des maisons à thème médiéval (avec des marchandises de marque pour les joueurs) s'affrontant dans une bataille digne de son homonyme produite par HBO.
Le site tournament a même été porté sur la scène internationale, avec le lancement prochain d'un match Australie/Nouvelle-Zélande. Cela donne à l'IAG l'occasion d'identifier les principaux champions de la sécurité dans les deux pays et de s'assurer que les équipes se perfectionnent ensemble.
Le résultat
Game of Codes est en fait un programme de formation spécialisé. Son déploiement sous la forme d'un site interactif et amusant ( tournament ) a permis au personnel de rester engagé de diverses manières, mais l'aspect pratique essentiel de l'exercice est resté le même : donner aux développeurs les compétences nécessaires pour identifier et contrecarrer les vulnérabilités à haut risque dans les applications développées par l'IAG.
En s'assurant que les développeurs et les équipes de sécurité travaillent avec un état d'esprit axé sur la sécurité, et qu'ils sont équipés pour non seulement identifier, mais aussi corriger les vulnérabilités dès le début, l'IAG prévoit une réduction des exercices coûteux de tests de pénétration et de la pression exercée sur l'équipe qui les exécute.
Outre la poursuite du développement de cette compétence vitale, Game of Codes a également contribué à l'établissement de relations, en insufflant un sentiment de camaraderie et de compétitivité amicale entre les équipes impliquées, tout en aidant les individus à se sentir plus confiants dans leurs capacités de codage sécurisé lorsqu'ils les voient mesurées dans un environnement de notation à l'adresse suivante : tournament .
Bianca a déclaré que le soutien interne au programme était immense, avec un accueil positif de la part de la direction. Cela a également conduit à la mise en place d'un programme d'ambassadeurs, dans le cadre duquel les personnes désireuses de promouvoir le programme et de défendre la sécurité au sein de l'organisation pouvaient s'impliquer :
"Ce fut une formidable exposition pour certains développeurs et une excellente promotion de leurs compétences. Ils en tirent également des avantages dans leur propre travail, ce qui est important".
Loin d'être "un simple jeu" ou un moyen plus agréable pour les chefs de service de brûler les étapes de la formation à la conformité, Game of Codes offre une solution attrayante et à forte rétention qui transforme rapidement les novices en champions de la sécurité, ce qui est essentiel pour minimiser le risque d'une violation à grande échelle.
Et le conseil ultime, de la part de Bianca elle-même :
"Si vous mettez en place un programme et que vous vous attendez à ce que les gens l'utilisent, cela ne fonctionnera pas. Vous devez concevoir un programme autour duquel vous initiez et motivez le changement de comportement. Ce que nous avons construit, c'est essentiellement un programme de gestion du changement pour les développeurs, axé sur la sécurité".
"Après avoir suivi les sessions de formation sur Game of Codes, je constate que je m'intéresse davantage à la sécurité et à la réflexion sur la sécurité lors de la création de tests d'automatisation.Je suis un testeur senior dans une équipe agile et ces sessions de formation m'ont motivé à en apprendre davantage sur les tests de sécurité et à y penser comme une spécialisation possible." A, testeur senior de l'AIG
FAITS RAPIDES
- Outre la ludification de l'apprentissage, l'IAG utilise également Secure Code Warrior comme outil de test des compétences dans le cadre du recrutement de développeurs.
- Ils sont en train de déployer le programme à 100 % de leur équipe de développement, 55 % d'entre eux étant déjà actifs dans le système.
- Ils ont développé un ensemble d'indicateurs internes clés leur permettant de mesurer le succès du programme en minimisant les risques et en réduisant les coûts au fil du temps.
Table des matières
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.