La formation approfondie à la sécurité soulève des questions dans l'enseignement
Depuis le début de notre mission en 2015, nous nous sommes toujours concentrés sur la facilitation d'une formation au codage sécurisé amusante, pertinente et engageante pour les développeurs. Nous avons depuis longtemps reconnu l'importance de donner aux développeurs les connaissances et les outils pour comprendre les meilleures pratiques de sécurité, pourquoi c'est important et comment ils peuvent aider à fortifier le logiciel contre les attaques malveillantes au fur et à mesure que le code est écrit.
Cependant, la formation à la sécurité n'est pas un concept nouveau. Nous n'avons certainement pas été les premiers à en prendre l'initiative, et des mesures de sécurité adéquates sont prises en compte depuis longtemps dans le développement de logiciels. Bien sûr, certains types de formation sont plus efficaces que d'autres, mais l'accès à une formation en matière de sécurité est relativement facile à trouver, surtout aujourd'hui.
... alors pourquoi diable avons-nous autant de violations de données ? En septembre, plus de quatre milliards d'enregistrements ont été exposés dans le cadre de multiples cyberattaques au cours de la seule année 2019.
De nombreuses organisations mènent actuellement une bataille perdue d'avance pour assurer la sécurité de nos données de plus en plus précieuses. Il est devenu tout à fait clair pour les RSSI et les DSI du monde entier que "passer à gauche" est encore trop tard ; nous devons commencer à gauche avec la sécurité dans le SDLC, ce qui signifie que les développeurs doivent avoir des connaissances adéquates en matière de sécurité pour corriger les failles bien avant que le code ne soit validé, et encore moins rendu public.
Les spécialistes de l'AppSec ne peuvent pas être les seuls gardiens des connaissances en matière de sécurité.
Dans le passé, la sécurité des logiciels était le domaine d'un groupe très particulier de geeks intelligents, qui n'avaient pratiquement aucune interaction avec les ingénieurs qui écrivaient le code. Leur travail consistait à tester, à casser et à empêcher les codes non sécurisés de voir le jour. S'ils se croisaient, c'était probablement parce que le spécialiste de la sécurité signalait des failles dans le code... ce qui ne manquait pas de susciter un accueil glacial de la part du développeur qui avait travaillé dur à sa création.
Aujourd'hui, la situation est à peu près la même, mais les enjeux sont bien plus importants. Presque tous les aspects de notre vie sont numérisés, des albums photos aux médias sociaux, en passant par les dossiers médicaux, les opérations bancaires et nos documents d'identité les plus précieux. Protéger des logiciels et des systèmes d'exploitation autonomes, essentiellement hors ligne, était une chose. C'en est une autre de devoir se défendre contre des menaces qui pèsent sur des milliards de lignes de code, avec des centaines de millions d'utilisateurs potentiellement en danger. Les enjeux sont tout simplement trop importants pour qu'un seul groupe de spécialistes puisse en assumer l'entière responsabilité, et c'est pourquoi nous devons combler le fossé entre l'AppSec et l'équipe de développement. Ils doivent travailler ensemble, partager leurs connaissances et fonctionner comme une unité cohésive et consciente de la sécurité.
Il n'y a qu'un seul problème : les développeurs ont rarement l'occasion d'acquérir des compétences en matière de codage sécurisé d'une manière significative. La plupart des formations tertiaires abordent à peine les meilleures pratiques en matière de sécurité, et la qualité de la formation sur le terrain varie considérablement.
Faut-il s'étonner qu'il y ait tous les deux jours d'énormes brèches dans les systèmes d'information ? Téléchargez notre liste de contrôle AppSec.
Un "permis de coder".
Malgré la morosité du paysage actuel, je suis optimiste quant à l'avenir de la sécurité. Il y a un changement dans l'air, et je suis très encouragé par l'immense quantité d'organisations qui prennent le codage sécurisé au sérieux en ce moment.
Il devient de plus en plus évident que les développeurs doivent avoir accès aux bons outils et aux bonnes connaissances pour atténuer les risques de sécurité, et qu'une culture florissante de sensibilisation à la sécurité est vitale dans la lutte contre les violations de données. Lorsque les développeurs prennent la responsabilité de la sécurité au moment de l'écriture du code, il devient beaucoup moins facile pour les attaquants d'exploiter de simples failles et de s'emparer des clés du château.
Il a toujours été vrai que certains développeurs sont plus sensibilisés à la sécurité que d'autres, ce qui représente un véritable défi pour les organisations. Si les équipes de développement internes disposent souvent d'un certain niveau de formation et de contrôle des compétences, les choses se compliquent lorsque vous introduisez des contractants, des indépendants et des jeunes diplômés dans le mélange. Agissent-ils dans un esprit de sécurité ? Peuvent-ils réussir à éviter des failles ancestrales telles que les scripts intersites, qui existent depuis des décennies ? C'est difficile à dire, et pourtant ils sont souvent lâchés sur des parties vitales d'un logiciel. A ne pas manquer.
Heureusement, nous constatons une augmentation des normes non négociables pour les développeurs. Par exemple, certaines organisations utilisent Secure Code Warrior comme outil d'évaluation des compétences de développement et de délivrance d'un "permis de coder". S'ils ne réussissent pas les évaluations fondamentales en matière de codage sécurisé, ils ne peuvent pas travailler sur des projets. Cette méthode s'est révélée très utile pour aider les jeunes diplômés et les stagiaires à améliorer leurs compétences en matière de sécurité, tout en leur inculquant le sens de l'importance d'un codage sécurisé. Après tout, la sécurité doit être synonyme de qualité lorsqu'il s'agit de logiciels.
La formation extrascolaire met les universités sous les feux de la rampe.
Changer la conversation autour du codage sécurisé ne se résume pas à un article par-ci, un discours par-là. Il doit s'agir d'un mouvement à l'échelle de la communauté, et il est formidable de voir tant d'organisations de premier plan en prendre conscience et mettre en place des programmes de sécurité de haut niveau répondant à des normes enviables. L'une de ces entreprises est HSBC, dont le formidable programme veille à ce que les jeunes diplômés et les nouveaux employés commencent le plus tôt possible leur parcours "start left". Sekhar Babu Tatavarti, responsable de l'Académie technologique de HSBC Inde, a estimé qu'une formation approfondie en matière de sécurité était indispensable :
"Chez HSBC Technology, nous voulions nous assurer que notre communauté de développeurs comprenait l'importance d'un codage sécurisé pour protéger la banque contre les vulnérabilités. Dans le cadre du programme de formation des diplômés que nous avons mis en place cette année, nous avons pensé qu'il s'agissait d'une excellente occasion de les attraper jeunes et de leur permettre d'apprendre par eux-mêmes et de s'imprégner des meilleures pratiques de codage sécurisé avant qu'ils ne commencent à coder dans le cadre de leurs projets respectifs.
Nous avons choisi la plateforme Secure Code Warrior pour sa merveilleuse méthode de gamification de l'apprentissage pour les diplômés, et ils n'ont pas déçu nos attentes. Nous sommes ravis que chacun d'entre eux ait participé avec enthousiasme au site tournament , tout en obtenant la certification White Belt dans différentes technologies", a-t-il déclaré.
De plus en plus d'organisations, comme HSBC, considèrent que les capacités de codage sécurisé sont essentielles au niveau des développeurs. Cette évolution a eu pour effet de mettre en lumière l'ensemble de l'enseignement supérieur. Les RSSI et les DSI commencent à se demander pourquoi les ingénieurs nouvellement diplômés terminent leurs études sans avoir reçu de formation solide en matière de sécurité.
Innovation dans l'enseignement supérieur.
Alors que le codage sécurisé doit devenir une composante obligatoire de l'ingénierie logicielle au niveau tertiaire, certaines universités prennent les devants en offrant une formation de haut niveau et en accordant la priorité à la sécurité dans le cadre du processus de développement dès le début, plutôt que de la réserver aux rares spécialistes AppSec sur le terrain.
À l'université du Queensland, en Australie, le professeur Ryan Ko fait des progrès considérables dans la préparation de la prochaine vague de développeurs qui nous protégeront de l'inévitable assaut des cyberattaques :
"La plupart des vulnérabilités des logiciels sont introduites au stade du codage. Si nous pouvions nous attaquer à ce problème à la source (c'est-à-dire au niveau du programmeur), nous serions en mesure d'éradiquer la plupart des problèmes récurrents figurant aujourd'hui sur la liste CVE. Étant donné que les logiciels affectent la vie et les moyens de subsistance de la plupart des membres de notre société moderne, il est de la responsabilité morale et sociale des universités et des établissements de formation d'enseigner à tous les jeunes programmeurs comment coder de manière sécurisée", a-t-il déclaré.
Il s'agit d'une évolution passionnante par rapport à la norme courses, qui n'offre que très peu de sensibilisation et de compétences en matière de sécurité. Et c'est un "virus" que je n'hésiterais pas à propager. À ma grande joie, l'université Macquarie inculque également à ses étudiants un état d'esprit axé sur la sécurité, grâce aux efforts de personnes comme Christophe Doche :
"Lancé en 2016, le centre de cybersécurité de l'université Optus Macquarie est la première initiative de ce type en Australie, reliant des universitaires spécialisés dans la sécurité de l'information, les affaires, la criminologie, le renseignement, le droit et la psychologie à des experts de la cybersécurité issus de l'industrie et du secteur public.
Notre mission est de faire de l'Australie un leader mondial en matière de cybersécurité grâce à l'éducation, à la recherche et aux partenariats. L'un des aspects importants de cette mission est de combler le déficit de compétences bien documenté dans le domaine de la cybersécurité, les projections montrant que 1,8 million d'emplois ne seront probablement pas pourvus dans le monde en 2022.
Pour remédier à cette pénurie de compétences, il faut adopter une approche à plusieurs volets, qui implique le perfectionnement et le recyclage de la main-d'œuvre existante, ainsi que la formation d'une nouvelle génération de spécialistes de la cybersécurité", a-t-il déclaré.
Leur approche est incroyable, offrant un apprentissage de précision à fort engagement qui aide à combler les lacunes entre les départements et à créer un rythme de sensibilisation à la sécurité florissant. Ils tirent parti du microapprentissage dans leur stratégie, en proposant des modules d'apprentissage gamifiés, de la taille d'une bouchée, avec un taux élevé de rétention, d'engagement et de répétition. Je suis particulièrement fier que nous puissions les aider à impliquer leurs étudiants de manière créative :
"Un excellent exemple de cet engagement est le partenariat avec Secure Code warrior. Après un tournament organisé par Secure Code Warrior et le Cyber Security Hub en août 2019, nous envisageons maintenant d'intégrer la plateforme Secure Code Warrior dans notre programme d'études, en particulier dans notre nouvelle unité sur le développement d'applications sécurisées", a déclaré Christophe.
Des initiatives telles que celles de l'Université Macquarie et de l'Université du Queensland sont véritablement pionnières en matière de codage sécurisé dans le domaine de l'éducation. Notre objectif, en tant que professionnels de l'AppSec, développeurs et communauté de la sécurité au sens large, doit être d'intégrer la sécurité dans tout ce que nous faisons, et de poursuivre notre engagement à partir de la gauche.
Alors que le codage sécurisé doit devenir une composante obligatoire de l'ingénierie logicielle au niveau tertiaire, certaines universités prennent les devants en offrant une formation de haut niveau et en accordant la priorité à la sécurité dans le cadre du processus de développement dès le début.p
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Depuis le début de notre mission en 2015, nous nous sommes toujours concentrés sur la facilitation d'une formation au codage sécurisé amusante, pertinente et engageante pour les développeurs. Nous avons depuis longtemps reconnu l'importance de donner aux développeurs les connaissances et les outils pour comprendre les meilleures pratiques de sécurité, pourquoi c'est important et comment ils peuvent aider à fortifier le logiciel contre les attaques malveillantes au fur et à mesure que le code est écrit.
Cependant, la formation à la sécurité n'est pas un concept nouveau. Nous n'avons certainement pas été les premiers à en prendre l'initiative, et des mesures de sécurité adéquates sont prises en compte depuis longtemps dans le développement de logiciels. Bien sûr, certains types de formation sont plus efficaces que d'autres, mais l'accès à une formation en matière de sécurité est relativement facile à trouver, surtout aujourd'hui.
... alors pourquoi diable avons-nous autant de violations de données ? En septembre, plus de quatre milliards d'enregistrements ont été exposés dans le cadre de multiples cyberattaques au cours de la seule année 2019.
De nombreuses organisations mènent actuellement une bataille perdue d'avance pour assurer la sécurité de nos données de plus en plus précieuses. Il est devenu tout à fait clair pour les RSSI et les DSI du monde entier que "passer à gauche" est encore trop tard ; nous devons commencer à gauche avec la sécurité dans le SDLC, ce qui signifie que les développeurs doivent avoir des connaissances adéquates en matière de sécurité pour corriger les failles bien avant que le code ne soit validé, et encore moins rendu public.
Les spécialistes de l'AppSec ne peuvent pas être les seuls gardiens des connaissances en matière de sécurité.
Dans le passé, la sécurité des logiciels était le domaine d'un groupe très particulier de geeks intelligents, qui n'avaient pratiquement aucune interaction avec les ingénieurs qui écrivaient le code. Leur travail consistait à tester, à casser et à empêcher les codes non sécurisés de voir le jour. S'ils se croisaient, c'était probablement parce que le spécialiste de la sécurité signalait des failles dans le code... ce qui ne manquait pas de susciter un accueil glacial de la part du développeur qui avait travaillé dur à sa création.
Aujourd'hui, la situation est à peu près la même, mais les enjeux sont bien plus importants. Presque tous les aspects de notre vie sont numérisés, des albums photos aux médias sociaux, en passant par les dossiers médicaux, les opérations bancaires et nos documents d'identité les plus précieux. Protéger des logiciels et des systèmes d'exploitation autonomes, essentiellement hors ligne, était une chose. C'en est une autre de devoir se défendre contre des menaces qui pèsent sur des milliards de lignes de code, avec des centaines de millions d'utilisateurs potentiellement en danger. Les enjeux sont tout simplement trop importants pour qu'un seul groupe de spécialistes puisse en assumer l'entière responsabilité, et c'est pourquoi nous devons combler le fossé entre l'AppSec et l'équipe de développement. Ils doivent travailler ensemble, partager leurs connaissances et fonctionner comme une unité cohésive et consciente de la sécurité.
Il n'y a qu'un seul problème : les développeurs ont rarement l'occasion d'acquérir des compétences en matière de codage sécurisé d'une manière significative. La plupart des formations tertiaires abordent à peine les meilleures pratiques en matière de sécurité, et la qualité de la formation sur le terrain varie considérablement.
Faut-il s'étonner qu'il y ait tous les deux jours d'énormes brèches dans les systèmes d'information ? Téléchargez notre liste de contrôle AppSec.
Un "permis de coder".
Malgré la morosité du paysage actuel, je suis optimiste quant à l'avenir de la sécurité. Il y a un changement dans l'air, et je suis très encouragé par l'immense quantité d'organisations qui prennent le codage sécurisé au sérieux en ce moment.
Il devient de plus en plus évident que les développeurs doivent avoir accès aux bons outils et aux bonnes connaissances pour atténuer les risques de sécurité, et qu'une culture florissante de sensibilisation à la sécurité est vitale dans la lutte contre les violations de données. Lorsque les développeurs prennent la responsabilité de la sécurité au moment de l'écriture du code, il devient beaucoup moins facile pour les attaquants d'exploiter de simples failles et de s'emparer des clés du château.
Il a toujours été vrai que certains développeurs sont plus sensibilisés à la sécurité que d'autres, ce qui représente un véritable défi pour les organisations. Si les équipes de développement internes disposent souvent d'un certain niveau de formation et de contrôle des compétences, les choses se compliquent lorsque vous introduisez des contractants, des indépendants et des jeunes diplômés dans le mélange. Agissent-ils dans un esprit de sécurité ? Peuvent-ils réussir à éviter des failles ancestrales telles que les scripts intersites, qui existent depuis des décennies ? C'est difficile à dire, et pourtant ils sont souvent lâchés sur des parties vitales d'un logiciel. A ne pas manquer.
Heureusement, nous constatons une augmentation des normes non négociables pour les développeurs. Par exemple, certaines organisations utilisent Secure Code Warrior comme outil d'évaluation des compétences de développement et de délivrance d'un "permis de coder". S'ils ne réussissent pas les évaluations fondamentales en matière de codage sécurisé, ils ne peuvent pas travailler sur des projets. Cette méthode s'est révélée très utile pour aider les jeunes diplômés et les stagiaires à améliorer leurs compétences en matière de sécurité, tout en leur inculquant le sens de l'importance d'un codage sécurisé. Après tout, la sécurité doit être synonyme de qualité lorsqu'il s'agit de logiciels.
La formation extrascolaire met les universités sous les feux de la rampe.
Changer la conversation autour du codage sécurisé ne se résume pas à un article par-ci, un discours par-là. Il doit s'agir d'un mouvement à l'échelle de la communauté, et il est formidable de voir tant d'organisations de premier plan en prendre conscience et mettre en place des programmes de sécurité de haut niveau répondant à des normes enviables. L'une de ces entreprises est HSBC, dont le formidable programme veille à ce que les jeunes diplômés et les nouveaux employés commencent le plus tôt possible leur parcours "start left". Sekhar Babu Tatavarti, responsable de l'Académie technologique de HSBC Inde, a estimé qu'une formation approfondie en matière de sécurité était indispensable :
"Chez HSBC Technology, nous voulions nous assurer que notre communauté de développeurs comprenait l'importance d'un codage sécurisé pour protéger la banque contre les vulnérabilités. Dans le cadre du programme de formation des diplômés que nous avons mis en place cette année, nous avons pensé qu'il s'agissait d'une excellente occasion de les attraper jeunes et de leur permettre d'apprendre par eux-mêmes et de s'imprégner des meilleures pratiques de codage sécurisé avant qu'ils ne commencent à coder dans le cadre de leurs projets respectifs.
Nous avons choisi la plateforme Secure Code Warrior pour sa merveilleuse méthode de gamification de l'apprentissage pour les diplômés, et ils n'ont pas déçu nos attentes. Nous sommes ravis que chacun d'entre eux ait participé avec enthousiasme au site tournament , tout en obtenant la certification White Belt dans différentes technologies", a-t-il déclaré.
De plus en plus d'organisations, comme HSBC, considèrent que les capacités de codage sécurisé sont essentielles au niveau des développeurs. Cette évolution a eu pour effet de mettre en lumière l'ensemble de l'enseignement supérieur. Les RSSI et les DSI commencent à se demander pourquoi les ingénieurs nouvellement diplômés terminent leurs études sans avoir reçu de formation solide en matière de sécurité.
Innovation dans l'enseignement supérieur.
Alors que le codage sécurisé doit devenir une composante obligatoire de l'ingénierie logicielle au niveau tertiaire, certaines universités prennent les devants en offrant une formation de haut niveau et en accordant la priorité à la sécurité dans le cadre du processus de développement dès le début, plutôt que de la réserver aux rares spécialistes AppSec sur le terrain.
À l'université du Queensland, en Australie, le professeur Ryan Ko fait des progrès considérables dans la préparation de la prochaine vague de développeurs qui nous protégeront de l'inévitable assaut des cyberattaques :
"La plupart des vulnérabilités des logiciels sont introduites au stade du codage. Si nous pouvions nous attaquer à ce problème à la source (c'est-à-dire au niveau du programmeur), nous serions en mesure d'éradiquer la plupart des problèmes récurrents figurant aujourd'hui sur la liste CVE. Étant donné que les logiciels affectent la vie et les moyens de subsistance de la plupart des membres de notre société moderne, il est de la responsabilité morale et sociale des universités et des établissements de formation d'enseigner à tous les jeunes programmeurs comment coder de manière sécurisée", a-t-il déclaré.
Il s'agit d'une évolution passionnante par rapport à la norme courses, qui n'offre que très peu de sensibilisation et de compétences en matière de sécurité. Et c'est un "virus" que je n'hésiterais pas à propager. À ma grande joie, l'université Macquarie inculque également à ses étudiants un état d'esprit axé sur la sécurité, grâce aux efforts de personnes comme Christophe Doche :
"Lancé en 2016, le centre de cybersécurité de l'université Optus Macquarie est la première initiative de ce type en Australie, reliant des universitaires spécialisés dans la sécurité de l'information, les affaires, la criminologie, le renseignement, le droit et la psychologie à des experts de la cybersécurité issus de l'industrie et du secteur public.
Notre mission est de faire de l'Australie un leader mondial en matière de cybersécurité grâce à l'éducation, à la recherche et aux partenariats. L'un des aspects importants de cette mission est de combler le déficit de compétences bien documenté dans le domaine de la cybersécurité, les projections montrant que 1,8 million d'emplois ne seront probablement pas pourvus dans le monde en 2022.
Pour remédier à cette pénurie de compétences, il faut adopter une approche à plusieurs volets, qui implique le perfectionnement et le recyclage de la main-d'œuvre existante, ainsi que la formation d'une nouvelle génération de spécialistes de la cybersécurité", a-t-il déclaré.
Leur approche est incroyable, offrant un apprentissage de précision à fort engagement qui aide à combler les lacunes entre les départements et à créer un rythme de sensibilisation à la sécurité florissant. Ils tirent parti du microapprentissage dans leur stratégie, en proposant des modules d'apprentissage gamifiés, de la taille d'une bouchée, avec un taux élevé de rétention, d'engagement et de répétition. Je suis particulièrement fier que nous puissions les aider à impliquer leurs étudiants de manière créative :
"Un excellent exemple de cet engagement est le partenariat avec Secure Code warrior. Après un tournament organisé par Secure Code Warrior et le Cyber Security Hub en août 2019, nous envisageons maintenant d'intégrer la plateforme Secure Code Warrior dans notre programme d'études, en particulier dans notre nouvelle unité sur le développement d'applications sécurisées", a déclaré Christophe.
Des initiatives telles que celles de l'Université Macquarie et de l'Université du Queensland sont véritablement pionnières en matière de codage sécurisé dans le domaine de l'éducation. Notre objectif, en tant que professionnels de l'AppSec, développeurs et communauté de la sécurité au sens large, doit être d'intégrer la sécurité dans tout ce que nous faisons, et de poursuivre notre engagement à partir de la gauche.
Depuis le début de notre mission en 2015, nous nous sommes toujours concentrés sur la facilitation d'une formation au codage sécurisé amusante, pertinente et engageante pour les développeurs. Nous avons depuis longtemps reconnu l'importance de donner aux développeurs les connaissances et les outils pour comprendre les meilleures pratiques de sécurité, pourquoi c'est important et comment ils peuvent aider à fortifier le logiciel contre les attaques malveillantes au fur et à mesure que le code est écrit.
Cependant, la formation à la sécurité n'est pas un concept nouveau. Nous n'avons certainement pas été les premiers à en prendre l'initiative, et des mesures de sécurité adéquates sont prises en compte depuis longtemps dans le développement de logiciels. Bien sûr, certains types de formation sont plus efficaces que d'autres, mais l'accès à une formation en matière de sécurité est relativement facile à trouver, surtout aujourd'hui.
... alors pourquoi diable avons-nous autant de violations de données ? En septembre, plus de quatre milliards d'enregistrements ont été exposés dans le cadre de multiples cyberattaques au cours de la seule année 2019.
De nombreuses organisations mènent actuellement une bataille perdue d'avance pour assurer la sécurité de nos données de plus en plus précieuses. Il est devenu tout à fait clair pour les RSSI et les DSI du monde entier que "passer à gauche" est encore trop tard ; nous devons commencer à gauche avec la sécurité dans le SDLC, ce qui signifie que les développeurs doivent avoir des connaissances adéquates en matière de sécurité pour corriger les failles bien avant que le code ne soit validé, et encore moins rendu public.
Les spécialistes de l'AppSec ne peuvent pas être les seuls gardiens des connaissances en matière de sécurité.
Dans le passé, la sécurité des logiciels était le domaine d'un groupe très particulier de geeks intelligents, qui n'avaient pratiquement aucune interaction avec les ingénieurs qui écrivaient le code. Leur travail consistait à tester, à casser et à empêcher les codes non sécurisés de voir le jour. S'ils se croisaient, c'était probablement parce que le spécialiste de la sécurité signalait des failles dans le code... ce qui ne manquait pas de susciter un accueil glacial de la part du développeur qui avait travaillé dur à sa création.
Aujourd'hui, la situation est à peu près la même, mais les enjeux sont bien plus importants. Presque tous les aspects de notre vie sont numérisés, des albums photos aux médias sociaux, en passant par les dossiers médicaux, les opérations bancaires et nos documents d'identité les plus précieux. Protéger des logiciels et des systèmes d'exploitation autonomes, essentiellement hors ligne, était une chose. C'en est une autre de devoir se défendre contre des menaces qui pèsent sur des milliards de lignes de code, avec des centaines de millions d'utilisateurs potentiellement en danger. Les enjeux sont tout simplement trop importants pour qu'un seul groupe de spécialistes puisse en assumer l'entière responsabilité, et c'est pourquoi nous devons combler le fossé entre l'AppSec et l'équipe de développement. Ils doivent travailler ensemble, partager leurs connaissances et fonctionner comme une unité cohésive et consciente de la sécurité.
Il n'y a qu'un seul problème : les développeurs ont rarement l'occasion d'acquérir des compétences en matière de codage sécurisé d'une manière significative. La plupart des formations tertiaires abordent à peine les meilleures pratiques en matière de sécurité, et la qualité de la formation sur le terrain varie considérablement.
Faut-il s'étonner qu'il y ait tous les deux jours d'énormes brèches dans les systèmes d'information ? Téléchargez notre liste de contrôle AppSec.
Un "permis de coder".
Malgré la morosité du paysage actuel, je suis optimiste quant à l'avenir de la sécurité. Il y a un changement dans l'air, et je suis très encouragé par l'immense quantité d'organisations qui prennent le codage sécurisé au sérieux en ce moment.
Il devient de plus en plus évident que les développeurs doivent avoir accès aux bons outils et aux bonnes connaissances pour atténuer les risques de sécurité, et qu'une culture florissante de sensibilisation à la sécurité est vitale dans la lutte contre les violations de données. Lorsque les développeurs prennent la responsabilité de la sécurité au moment de l'écriture du code, il devient beaucoup moins facile pour les attaquants d'exploiter de simples failles et de s'emparer des clés du château.
Il a toujours été vrai que certains développeurs sont plus sensibilisés à la sécurité que d'autres, ce qui représente un véritable défi pour les organisations. Si les équipes de développement internes disposent souvent d'un certain niveau de formation et de contrôle des compétences, les choses se compliquent lorsque vous introduisez des contractants, des indépendants et des jeunes diplômés dans le mélange. Agissent-ils dans un esprit de sécurité ? Peuvent-ils réussir à éviter des failles ancestrales telles que les scripts intersites, qui existent depuis des décennies ? C'est difficile à dire, et pourtant ils sont souvent lâchés sur des parties vitales d'un logiciel. A ne pas manquer.
Heureusement, nous constatons une augmentation des normes non négociables pour les développeurs. Par exemple, certaines organisations utilisent Secure Code Warrior comme outil d'évaluation des compétences de développement et de délivrance d'un "permis de coder". S'ils ne réussissent pas les évaluations fondamentales en matière de codage sécurisé, ils ne peuvent pas travailler sur des projets. Cette méthode s'est révélée très utile pour aider les jeunes diplômés et les stagiaires à améliorer leurs compétences en matière de sécurité, tout en leur inculquant le sens de l'importance d'un codage sécurisé. Après tout, la sécurité doit être synonyme de qualité lorsqu'il s'agit de logiciels.
La formation extrascolaire met les universités sous les feux de la rampe.
Changer la conversation autour du codage sécurisé ne se résume pas à un article par-ci, un discours par-là. Il doit s'agir d'un mouvement à l'échelle de la communauté, et il est formidable de voir tant d'organisations de premier plan en prendre conscience et mettre en place des programmes de sécurité de haut niveau répondant à des normes enviables. L'une de ces entreprises est HSBC, dont le formidable programme veille à ce que les jeunes diplômés et les nouveaux employés commencent le plus tôt possible leur parcours "start left". Sekhar Babu Tatavarti, responsable de l'Académie technologique de HSBC Inde, a estimé qu'une formation approfondie en matière de sécurité était indispensable :
"Chez HSBC Technology, nous voulions nous assurer que notre communauté de développeurs comprenait l'importance d'un codage sécurisé pour protéger la banque contre les vulnérabilités. Dans le cadre du programme de formation des diplômés que nous avons mis en place cette année, nous avons pensé qu'il s'agissait d'une excellente occasion de les attraper jeunes et de leur permettre d'apprendre par eux-mêmes et de s'imprégner des meilleures pratiques de codage sécurisé avant qu'ils ne commencent à coder dans le cadre de leurs projets respectifs.
Nous avons choisi la plateforme Secure Code Warrior pour sa merveilleuse méthode de gamification de l'apprentissage pour les diplômés, et ils n'ont pas déçu nos attentes. Nous sommes ravis que chacun d'entre eux ait participé avec enthousiasme au site tournament , tout en obtenant la certification White Belt dans différentes technologies", a-t-il déclaré.
De plus en plus d'organisations, comme HSBC, considèrent que les capacités de codage sécurisé sont essentielles au niveau des développeurs. Cette évolution a eu pour effet de mettre en lumière l'ensemble de l'enseignement supérieur. Les RSSI et les DSI commencent à se demander pourquoi les ingénieurs nouvellement diplômés terminent leurs études sans avoir reçu de formation solide en matière de sécurité.
Innovation dans l'enseignement supérieur.
Alors que le codage sécurisé doit devenir une composante obligatoire de l'ingénierie logicielle au niveau tertiaire, certaines universités prennent les devants en offrant une formation de haut niveau et en accordant la priorité à la sécurité dans le cadre du processus de développement dès le début, plutôt que de la réserver aux rares spécialistes AppSec sur le terrain.
À l'université du Queensland, en Australie, le professeur Ryan Ko fait des progrès considérables dans la préparation de la prochaine vague de développeurs qui nous protégeront de l'inévitable assaut des cyberattaques :
"La plupart des vulnérabilités des logiciels sont introduites au stade du codage. Si nous pouvions nous attaquer à ce problème à la source (c'est-à-dire au niveau du programmeur), nous serions en mesure d'éradiquer la plupart des problèmes récurrents figurant aujourd'hui sur la liste CVE. Étant donné que les logiciels affectent la vie et les moyens de subsistance de la plupart des membres de notre société moderne, il est de la responsabilité morale et sociale des universités et des établissements de formation d'enseigner à tous les jeunes programmeurs comment coder de manière sécurisée", a-t-il déclaré.
Il s'agit d'une évolution passionnante par rapport à la norme courses, qui n'offre que très peu de sensibilisation et de compétences en matière de sécurité. Et c'est un "virus" que je n'hésiterais pas à propager. À ma grande joie, l'université Macquarie inculque également à ses étudiants un état d'esprit axé sur la sécurité, grâce aux efforts de personnes comme Christophe Doche :
"Lancé en 2016, le centre de cybersécurité de l'université Optus Macquarie est la première initiative de ce type en Australie, reliant des universitaires spécialisés dans la sécurité de l'information, les affaires, la criminologie, le renseignement, le droit et la psychologie à des experts de la cybersécurité issus de l'industrie et du secteur public.
Notre mission est de faire de l'Australie un leader mondial en matière de cybersécurité grâce à l'éducation, à la recherche et aux partenariats. L'un des aspects importants de cette mission est de combler le déficit de compétences bien documenté dans le domaine de la cybersécurité, les projections montrant que 1,8 million d'emplois ne seront probablement pas pourvus dans le monde en 2022.
Pour remédier à cette pénurie de compétences, il faut adopter une approche à plusieurs volets, qui implique le perfectionnement et le recyclage de la main-d'œuvre existante, ainsi que la formation d'une nouvelle génération de spécialistes de la cybersécurité", a-t-il déclaré.
Leur approche est incroyable, offrant un apprentissage de précision à fort engagement qui aide à combler les lacunes entre les départements et à créer un rythme de sensibilisation à la sécurité florissant. Ils tirent parti du microapprentissage dans leur stratégie, en proposant des modules d'apprentissage gamifiés, de la taille d'une bouchée, avec un taux élevé de rétention, d'engagement et de répétition. Je suis particulièrement fier que nous puissions les aider à impliquer leurs étudiants de manière créative :
"Un excellent exemple de cet engagement est le partenariat avec Secure Code warrior. Après un tournament organisé par Secure Code Warrior et le Cyber Security Hub en août 2019, nous envisageons maintenant d'intégrer la plateforme Secure Code Warrior dans notre programme d'études, en particulier dans notre nouvelle unité sur le développement d'applications sécurisées", a déclaré Christophe.
Des initiatives telles que celles de l'Université Macquarie et de l'Université du Queensland sont véritablement pionnières en matière de codage sécurisé dans le domaine de l'éducation. Notre objectif, en tant que professionnels de l'AppSec, développeurs et communauté de la sécurité au sens large, doit être d'intégrer la sécurité dans tout ce que nous faisons, et de poursuivre notre engagement à partir de la gauche.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Depuis le début de notre mission en 2015, nous nous sommes toujours concentrés sur la facilitation d'une formation au codage sécurisé amusante, pertinente et engageante pour les développeurs. Nous avons depuis longtemps reconnu l'importance de donner aux développeurs les connaissances et les outils pour comprendre les meilleures pratiques de sécurité, pourquoi c'est important et comment ils peuvent aider à fortifier le logiciel contre les attaques malveillantes au fur et à mesure que le code est écrit.
Cependant, la formation à la sécurité n'est pas un concept nouveau. Nous n'avons certainement pas été les premiers à en prendre l'initiative, et des mesures de sécurité adéquates sont prises en compte depuis longtemps dans le développement de logiciels. Bien sûr, certains types de formation sont plus efficaces que d'autres, mais l'accès à une formation en matière de sécurité est relativement facile à trouver, surtout aujourd'hui.
... alors pourquoi diable avons-nous autant de violations de données ? En septembre, plus de quatre milliards d'enregistrements ont été exposés dans le cadre de multiples cyberattaques au cours de la seule année 2019.
De nombreuses organisations mènent actuellement une bataille perdue d'avance pour assurer la sécurité de nos données de plus en plus précieuses. Il est devenu tout à fait clair pour les RSSI et les DSI du monde entier que "passer à gauche" est encore trop tard ; nous devons commencer à gauche avec la sécurité dans le SDLC, ce qui signifie que les développeurs doivent avoir des connaissances adéquates en matière de sécurité pour corriger les failles bien avant que le code ne soit validé, et encore moins rendu public.
Les spécialistes de l'AppSec ne peuvent pas être les seuls gardiens des connaissances en matière de sécurité.
Dans le passé, la sécurité des logiciels était le domaine d'un groupe très particulier de geeks intelligents, qui n'avaient pratiquement aucune interaction avec les ingénieurs qui écrivaient le code. Leur travail consistait à tester, à casser et à empêcher les codes non sécurisés de voir le jour. S'ils se croisaient, c'était probablement parce que le spécialiste de la sécurité signalait des failles dans le code... ce qui ne manquait pas de susciter un accueil glacial de la part du développeur qui avait travaillé dur à sa création.
Aujourd'hui, la situation est à peu près la même, mais les enjeux sont bien plus importants. Presque tous les aspects de notre vie sont numérisés, des albums photos aux médias sociaux, en passant par les dossiers médicaux, les opérations bancaires et nos documents d'identité les plus précieux. Protéger des logiciels et des systèmes d'exploitation autonomes, essentiellement hors ligne, était une chose. C'en est une autre de devoir se défendre contre des menaces qui pèsent sur des milliards de lignes de code, avec des centaines de millions d'utilisateurs potentiellement en danger. Les enjeux sont tout simplement trop importants pour qu'un seul groupe de spécialistes puisse en assumer l'entière responsabilité, et c'est pourquoi nous devons combler le fossé entre l'AppSec et l'équipe de développement. Ils doivent travailler ensemble, partager leurs connaissances et fonctionner comme une unité cohésive et consciente de la sécurité.
Il n'y a qu'un seul problème : les développeurs ont rarement l'occasion d'acquérir des compétences en matière de codage sécurisé d'une manière significative. La plupart des formations tertiaires abordent à peine les meilleures pratiques en matière de sécurité, et la qualité de la formation sur le terrain varie considérablement.
Faut-il s'étonner qu'il y ait tous les deux jours d'énormes brèches dans les systèmes d'information ? Téléchargez notre liste de contrôle AppSec.
Un "permis de coder".
Malgré la morosité du paysage actuel, je suis optimiste quant à l'avenir de la sécurité. Il y a un changement dans l'air, et je suis très encouragé par l'immense quantité d'organisations qui prennent le codage sécurisé au sérieux en ce moment.
Il devient de plus en plus évident que les développeurs doivent avoir accès aux bons outils et aux bonnes connaissances pour atténuer les risques de sécurité, et qu'une culture florissante de sensibilisation à la sécurité est vitale dans la lutte contre les violations de données. Lorsque les développeurs prennent la responsabilité de la sécurité au moment de l'écriture du code, il devient beaucoup moins facile pour les attaquants d'exploiter de simples failles et de s'emparer des clés du château.
Il a toujours été vrai que certains développeurs sont plus sensibilisés à la sécurité que d'autres, ce qui représente un véritable défi pour les organisations. Si les équipes de développement internes disposent souvent d'un certain niveau de formation et de contrôle des compétences, les choses se compliquent lorsque vous introduisez des contractants, des indépendants et des jeunes diplômés dans le mélange. Agissent-ils dans un esprit de sécurité ? Peuvent-ils réussir à éviter des failles ancestrales telles que les scripts intersites, qui existent depuis des décennies ? C'est difficile à dire, et pourtant ils sont souvent lâchés sur des parties vitales d'un logiciel. A ne pas manquer.
Heureusement, nous constatons une augmentation des normes non négociables pour les développeurs. Par exemple, certaines organisations utilisent Secure Code Warrior comme outil d'évaluation des compétences de développement et de délivrance d'un "permis de coder". S'ils ne réussissent pas les évaluations fondamentales en matière de codage sécurisé, ils ne peuvent pas travailler sur des projets. Cette méthode s'est révélée très utile pour aider les jeunes diplômés et les stagiaires à améliorer leurs compétences en matière de sécurité, tout en leur inculquant le sens de l'importance d'un codage sécurisé. Après tout, la sécurité doit être synonyme de qualité lorsqu'il s'agit de logiciels.
La formation extrascolaire met les universités sous les feux de la rampe.
Changer la conversation autour du codage sécurisé ne se résume pas à un article par-ci, un discours par-là. Il doit s'agir d'un mouvement à l'échelle de la communauté, et il est formidable de voir tant d'organisations de premier plan en prendre conscience et mettre en place des programmes de sécurité de haut niveau répondant à des normes enviables. L'une de ces entreprises est HSBC, dont le formidable programme veille à ce que les jeunes diplômés et les nouveaux employés commencent le plus tôt possible leur parcours "start left". Sekhar Babu Tatavarti, responsable de l'Académie technologique de HSBC Inde, a estimé qu'une formation approfondie en matière de sécurité était indispensable :
"Chez HSBC Technology, nous voulions nous assurer que notre communauté de développeurs comprenait l'importance d'un codage sécurisé pour protéger la banque contre les vulnérabilités. Dans le cadre du programme de formation des diplômés que nous avons mis en place cette année, nous avons pensé qu'il s'agissait d'une excellente occasion de les attraper jeunes et de leur permettre d'apprendre par eux-mêmes et de s'imprégner des meilleures pratiques de codage sécurisé avant qu'ils ne commencent à coder dans le cadre de leurs projets respectifs.
Nous avons choisi la plateforme Secure Code Warrior pour sa merveilleuse méthode de gamification de l'apprentissage pour les diplômés, et ils n'ont pas déçu nos attentes. Nous sommes ravis que chacun d'entre eux ait participé avec enthousiasme au site tournament , tout en obtenant la certification White Belt dans différentes technologies", a-t-il déclaré.
De plus en plus d'organisations, comme HSBC, considèrent que les capacités de codage sécurisé sont essentielles au niveau des développeurs. Cette évolution a eu pour effet de mettre en lumière l'ensemble de l'enseignement supérieur. Les RSSI et les DSI commencent à se demander pourquoi les ingénieurs nouvellement diplômés terminent leurs études sans avoir reçu de formation solide en matière de sécurité.
Innovation dans l'enseignement supérieur.
Alors que le codage sécurisé doit devenir une composante obligatoire de l'ingénierie logicielle au niveau tertiaire, certaines universités prennent les devants en offrant une formation de haut niveau et en accordant la priorité à la sécurité dans le cadre du processus de développement dès le début, plutôt que de la réserver aux rares spécialistes AppSec sur le terrain.
À l'université du Queensland, en Australie, le professeur Ryan Ko fait des progrès considérables dans la préparation de la prochaine vague de développeurs qui nous protégeront de l'inévitable assaut des cyberattaques :
"La plupart des vulnérabilités des logiciels sont introduites au stade du codage. Si nous pouvions nous attaquer à ce problème à la source (c'est-à-dire au niveau du programmeur), nous serions en mesure d'éradiquer la plupart des problèmes récurrents figurant aujourd'hui sur la liste CVE. Étant donné que les logiciels affectent la vie et les moyens de subsistance de la plupart des membres de notre société moderne, il est de la responsabilité morale et sociale des universités et des établissements de formation d'enseigner à tous les jeunes programmeurs comment coder de manière sécurisée", a-t-il déclaré.
Il s'agit d'une évolution passionnante par rapport à la norme courses, qui n'offre que très peu de sensibilisation et de compétences en matière de sécurité. Et c'est un "virus" que je n'hésiterais pas à propager. À ma grande joie, l'université Macquarie inculque également à ses étudiants un état d'esprit axé sur la sécurité, grâce aux efforts de personnes comme Christophe Doche :
"Lancé en 2016, le centre de cybersécurité de l'université Optus Macquarie est la première initiative de ce type en Australie, reliant des universitaires spécialisés dans la sécurité de l'information, les affaires, la criminologie, le renseignement, le droit et la psychologie à des experts de la cybersécurité issus de l'industrie et du secteur public.
Notre mission est de faire de l'Australie un leader mondial en matière de cybersécurité grâce à l'éducation, à la recherche et aux partenariats. L'un des aspects importants de cette mission est de combler le déficit de compétences bien documenté dans le domaine de la cybersécurité, les projections montrant que 1,8 million d'emplois ne seront probablement pas pourvus dans le monde en 2022.
Pour remédier à cette pénurie de compétences, il faut adopter une approche à plusieurs volets, qui implique le perfectionnement et le recyclage de la main-d'œuvre existante, ainsi que la formation d'une nouvelle génération de spécialistes de la cybersécurité", a-t-il déclaré.
Leur approche est incroyable, offrant un apprentissage de précision à fort engagement qui aide à combler les lacunes entre les départements et à créer un rythme de sensibilisation à la sécurité florissant. Ils tirent parti du microapprentissage dans leur stratégie, en proposant des modules d'apprentissage gamifiés, de la taille d'une bouchée, avec un taux élevé de rétention, d'engagement et de répétition. Je suis particulièrement fier que nous puissions les aider à impliquer leurs étudiants de manière créative :
"Un excellent exemple de cet engagement est le partenariat avec Secure Code warrior. Après un tournament organisé par Secure Code Warrior et le Cyber Security Hub en août 2019, nous envisageons maintenant d'intégrer la plateforme Secure Code Warrior dans notre programme d'études, en particulier dans notre nouvelle unité sur le développement d'applications sécurisées", a déclaré Christophe.
Des initiatives telles que celles de l'Université Macquarie et de l'Université du Queensland sont véritablement pionnières en matière de codage sécurisé dans le domaine de l'éducation. Notre objectif, en tant que professionnels de l'AppSec, développeurs et communauté de la sécurité au sens large, doit être d'intégrer la sécurité dans tout ce que nous faisons, et de poursuivre notre engagement à partir de la gauche.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.