Pieter Danhieux, PDG et cofondateur, Secure Code Warrior: "Chacun doit comprendre et accepter le rôle qu'il joue dans la cybersécurité.
Cette interview a été publiée à l'origine dans CyberNews.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation et de formation à la sécurité parmi les développeurs, ce qui peut conduire à la publication de code risqué et à son exploitation par des acteurs malveillants. Si les mesures de sécurité telles que les logiciels antivirus ou les solutions d'analyse des vulnérabilités peuvent ajouter une couche de sécurité, notre invité d'aujourd'hui explique que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la façon dont les développeurs peuvent être formés à l'identification et à l'atténuation des menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warriorune société qui propose un site learning platform et une suite d'outils axés sur les développeurs qui aident les équipes de développement à identifier les vulnérabilités en matière de sécurité.
Comment s'est déroulé votre parcours ? Comment est née l'idée de Secure Code Warrior ?
Jeune intello, j'étais fasciné par l'idée de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils communs, j'ai fini par adopter la même approche avec le matériel et les logiciels, en cherchant des moyens de les percer et de les briser. Une passion pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences en matière de "casse" avec des étudiants, des collègues et la communauté de la sécurité, en montrant comment trouver, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis recentré sur le renforcement des compétences des défenseurs, en enseignant aux développeurs des modèles de codage sûrs et efficaces dans un environnement scolaire, et en les aidant à comprendre les vulnérabilités courantes et la manière de les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, en particulier en ce qui concerne l'implication des développeurs. C'est à cette époque que j'ai rencontré l'équipe fondatrice de Secure Code Warrior. Ensemble, nous avons compris les problèmes auxquels les équipes de sécurité et de développement étaient confrontées lorsqu'il s'agissait de vulnérabilités au niveau du code, ainsi que les problèmes que posaient la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'un site learning platform qui pourrait être mis à l'échelle de l'entreprise, tout en restant amusant et engageant pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbants et les aidant à développer un état d'esprit axé sur la sécurité. Et nous nous sommes efforcés de rendre cette suite aussi flexible que possible en termes de langage et de contenu.
Pouvez-vous nous présenter ce que vous faites ? Quels sont les principaux défis que vous aidez à relever ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en éliminant les problèmes de sécurité et les retards souvent dus à l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé un site learning platform et une suite d'outils destinés aux développeurs qui aident les équipes de développement à naviguer dans les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent aujourd'hui d'exposer les entreprises à des risques cybernétiques. La raison pour laquelle elles persistent est que les développeurs n'ont pas la formation et les compétences nécessaires pour remédier à ces problèmes au niveau du code, et qu'ils les introduisent souvent en premier lieu par l'utilisation continue de modèles et de techniques de codage médiocres. On ne leur enseigne pas le codage sécurisé au niveau tertiaire, et la plupart des programmes de formation sur le lieu de travail sont inefficaces pour fournir un contenu pertinent pour leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité du code et la sécurité au fil du temps. Nos solutions visent à fournir un développement des compétences attrayant et pertinent qui modifie les comportements de codage et les aide à mettre la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements les plus familiers des développeurs, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de retenir les résultats clés de l'éducation. Nous nous efforçons également de le faire d'une manière qui aide les développeurs à voir la sécurité sous un jour positif et amusant qui récompense le succès et construit la communauté.
L'apprentissage du codage sécurisé pouvant sembler fastidieux à certains, comment faites-vous pour que votre formation soit à la fois efficace et divertissante ?
Notre produit phare, learning platform , a été conçu en tenant compte de l'engagement des développeurs. L'une des fonctions les plus populaires est le mode Tournament , qui permet aux participants de tester les connaissances acquises au cours de la formation par rapport à leurs pairs. Des points sont attribués pour chaque bonne réponse et un tableau de classement en direct est mis à jour tout au long de la session tournament . Nous avons organisé ces sessions lors d'événements communautaires et de conférences, et certains de nos clients ont mis en place des thèmes incroyablement complexes où tout le monde est venu déguisé. En outre, notre contenu en général est disponible dans plus de soixante cadres de programmation, en utilisant des extraits de code réels qu'ils verront dans leur travail quotidien. Il est tellement plus facile de rester engagé lorsque le contenu est hyper pertinent et aide à résoudre des problèmes réels, plutôt que de regarder des vidéos ou un examen de conformité annuel.
Quels sont, selon vous, les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important d'établir que les développeurs veulent bien faire, mais qu'ils n'ont pas été suffisamment sensibilisés à la sécurité au cours de leur formation ou de leur carrière, ce qui est à l'origine de nombreux problèmes qu'ils rencontrent du point de vue de la sécurité. Ils ont également tendance à considérer que la sécurité n'entre pas dans le champ de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs clés de performance n'incluent rien qui soit lié aux résultats en matière de codage sécurisé. Cependant, les développeurs ont besoin d'un soutien et d'outils adéquats pour être à l'origine du changement que nous voulons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans ce perfectionnement aujourd'hui afin d'atteindre la sécurité à la vitesse grand V plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Alors que toutes les entreprises ont sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs projections et leurs budgets, nous avons eu la chance de résister à la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous nous efforçons de continuer à participer à cette conversation avec nos clients et nos prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lorsqu'elles développent des logiciels ou des applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Elles n'oublient pas le pouvoir des personnes pour faire une différence positive dans les résultats en matière de sécurité. Cependant, face à la pénurie mondiale de compétences en matière de sécurité qui ne sera probablement pas comblée de sitôt, les développeurs qui s'intéressent à la sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création de logiciels. Ils peuvent avoir un impact au stade le plus précoce et le moins coûteux possible du processus.
Outre les outils de codage sécurisés, quelles sont les autres mesures ou pratiques qui, selon vous, peuvent non seulement améliorer mais aussi sécuriser les opérations commerciales ?
Chaque entreprise devrait disposer d'une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces qui existent en dehors des exploits au niveau du code que les acteurs de la menace cherchent à exploiter, de sorte que chaque personne dans l'organisation doit avoir des bases régulières dans les principes de sécurité tels qu'ils s'appliquent à leur travail.En ce sens, tout le monde, du chef de bureau à l'équipe de comptabilité, devrait comprendre et embrasser le rôle qu'il joue dans l'action et la sensibilisation en matière de cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à une forte pression pour assurer la sécurité des entreprises au moindre coût.
Dans ce contexte, les RSSI doivent faire preuve de créativité, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et que, dans certains cas, les RSSI sont tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements et vous obtenez une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en s'attaquant à l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape la moins coûteuse pour remédier aux vulnérabilités de sécurité au niveau du code et aux erreurs de configuration est de loin celle qui précède la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Cependant, ils ont besoin d'un soutien adapté pour y parvenir. La sécurité à grande vitesse est possible si l'on fournit à la cohorte d'ingénieurs des outils axés sur le développement, en tenant compte de leur flux de travail et de leur pile technologique actuels. Ils ont besoin d'être soutenus pour atteindre la précision en matière de sécurité à grande vitesse, et la meilleure façon d'y parvenir est de leur montrer comment utiliser des modèles de codage sécurisés et corriger les problèmes plus rapidement.
Pour le coût d'une formation complète des développeurs, vous pouvez essentiellement travailler à l'élimination des vulnérabilités à la source, ce qui permet d'économiser du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de la responsabilité accrue des RSSI, nous devons cesser d'accuser la pénurie de compétences en cybersécurité d'être à l'origine de notre retard. Donnez la priorité aux pratiques de sécurité défensives et renforcez le personnel qui se trouve déjà devant vous.
Que réserve l'avenir à Secure Code Warrior?
Nous voulons continuer à innover, en mettant l'accent sur les développeurs dans les solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre d'assurer la sécurité sans compromettre la rapidité de livraison des fonctionnalités, ni leur santé mentale lorsqu'ils jonglent avec de multiples priorités.
Notre objectif est d'aider les organisations à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs en charge de la sécurité soient les héros de cette histoire. Surveillez cet espace.
CyberNews Q&A avec Pieter Danhieux, PDG et cofondateur, Secure Code Warrior.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Cette interview a été publiée à l'origine dans CyberNews.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation et de formation à la sécurité parmi les développeurs, ce qui peut conduire à la publication de code risqué et à son exploitation par des acteurs malveillants. Si les mesures de sécurité telles que les logiciels antivirus ou les solutions d'analyse des vulnérabilités peuvent ajouter une couche de sécurité, notre invité d'aujourd'hui explique que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la façon dont les développeurs peuvent être formés à l'identification et à l'atténuation des menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warriorune société qui propose un site learning platform et une suite d'outils axés sur les développeurs qui aident les équipes de développement à identifier les vulnérabilités en matière de sécurité.
Comment s'est déroulé votre parcours ? Comment est née l'idée de Secure Code Warrior ?
Jeune intello, j'étais fasciné par l'idée de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils communs, j'ai fini par adopter la même approche avec le matériel et les logiciels, en cherchant des moyens de les percer et de les briser. Une passion pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences en matière de "casse" avec des étudiants, des collègues et la communauté de la sécurité, en montrant comment trouver, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis recentré sur le renforcement des compétences des défenseurs, en enseignant aux développeurs des modèles de codage sûrs et efficaces dans un environnement scolaire, et en les aidant à comprendre les vulnérabilités courantes et la manière de les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, en particulier en ce qui concerne l'implication des développeurs. C'est à cette époque que j'ai rencontré l'équipe fondatrice de Secure Code Warrior. Ensemble, nous avons compris les problèmes auxquels les équipes de sécurité et de développement étaient confrontées lorsqu'il s'agissait de vulnérabilités au niveau du code, ainsi que les problèmes que posaient la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'un site learning platform qui pourrait être mis à l'échelle de l'entreprise, tout en restant amusant et engageant pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbants et les aidant à développer un état d'esprit axé sur la sécurité. Et nous nous sommes efforcés de rendre cette suite aussi flexible que possible en termes de langage et de contenu.
Pouvez-vous nous présenter ce que vous faites ? Quels sont les principaux défis que vous aidez à relever ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en éliminant les problèmes de sécurité et les retards souvent dus à l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé un site learning platform et une suite d'outils destinés aux développeurs qui aident les équipes de développement à naviguer dans les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent aujourd'hui d'exposer les entreprises à des risques cybernétiques. La raison pour laquelle elles persistent est que les développeurs n'ont pas la formation et les compétences nécessaires pour remédier à ces problèmes au niveau du code, et qu'ils les introduisent souvent en premier lieu par l'utilisation continue de modèles et de techniques de codage médiocres. On ne leur enseigne pas le codage sécurisé au niveau tertiaire, et la plupart des programmes de formation sur le lieu de travail sont inefficaces pour fournir un contenu pertinent pour leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité du code et la sécurité au fil du temps. Nos solutions visent à fournir un développement des compétences attrayant et pertinent qui modifie les comportements de codage et les aide à mettre la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements les plus familiers des développeurs, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de retenir les résultats clés de l'éducation. Nous nous efforçons également de le faire d'une manière qui aide les développeurs à voir la sécurité sous un jour positif et amusant qui récompense le succès et construit la communauté.
L'apprentissage du codage sécurisé pouvant sembler fastidieux à certains, comment faites-vous pour que votre formation soit à la fois efficace et divertissante ?
Notre produit phare, learning platform , a été conçu en tenant compte de l'engagement des développeurs. L'une des fonctions les plus populaires est le mode Tournament , qui permet aux participants de tester les connaissances acquises au cours de la formation par rapport à leurs pairs. Des points sont attribués pour chaque bonne réponse et un tableau de classement en direct est mis à jour tout au long de la session tournament . Nous avons organisé ces sessions lors d'événements communautaires et de conférences, et certains de nos clients ont mis en place des thèmes incroyablement complexes où tout le monde est venu déguisé. En outre, notre contenu en général est disponible dans plus de soixante cadres de programmation, en utilisant des extraits de code réels qu'ils verront dans leur travail quotidien. Il est tellement plus facile de rester engagé lorsque le contenu est hyper pertinent et aide à résoudre des problèmes réels, plutôt que de regarder des vidéos ou un examen de conformité annuel.
Quels sont, selon vous, les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important d'établir que les développeurs veulent bien faire, mais qu'ils n'ont pas été suffisamment sensibilisés à la sécurité au cours de leur formation ou de leur carrière, ce qui est à l'origine de nombreux problèmes qu'ils rencontrent du point de vue de la sécurité. Ils ont également tendance à considérer que la sécurité n'entre pas dans le champ de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs clés de performance n'incluent rien qui soit lié aux résultats en matière de codage sécurisé. Cependant, les développeurs ont besoin d'un soutien et d'outils adéquats pour être à l'origine du changement que nous voulons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans ce perfectionnement aujourd'hui afin d'atteindre la sécurité à la vitesse grand V plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Alors que toutes les entreprises ont sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs projections et leurs budgets, nous avons eu la chance de résister à la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous nous efforçons de continuer à participer à cette conversation avec nos clients et nos prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lorsqu'elles développent des logiciels ou des applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Elles n'oublient pas le pouvoir des personnes pour faire une différence positive dans les résultats en matière de sécurité. Cependant, face à la pénurie mondiale de compétences en matière de sécurité qui ne sera probablement pas comblée de sitôt, les développeurs qui s'intéressent à la sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création de logiciels. Ils peuvent avoir un impact au stade le plus précoce et le moins coûteux possible du processus.
Outre les outils de codage sécurisés, quelles sont les autres mesures ou pratiques qui, selon vous, peuvent non seulement améliorer mais aussi sécuriser les opérations commerciales ?
Chaque entreprise devrait disposer d'une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces qui existent en dehors des exploits au niveau du code que les acteurs de la menace cherchent à exploiter, de sorte que chaque personne dans l'organisation doit avoir des bases régulières dans les principes de sécurité tels qu'ils s'appliquent à leur travail.En ce sens, tout le monde, du chef de bureau à l'équipe de comptabilité, devrait comprendre et embrasser le rôle qu'il joue dans l'action et la sensibilisation en matière de cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à une forte pression pour assurer la sécurité des entreprises au moindre coût.
Dans ce contexte, les RSSI doivent faire preuve de créativité, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et que, dans certains cas, les RSSI sont tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements et vous obtenez une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en s'attaquant à l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape la moins coûteuse pour remédier aux vulnérabilités de sécurité au niveau du code et aux erreurs de configuration est de loin celle qui précède la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Cependant, ils ont besoin d'un soutien adapté pour y parvenir. La sécurité à grande vitesse est possible si l'on fournit à la cohorte d'ingénieurs des outils axés sur le développement, en tenant compte de leur flux de travail et de leur pile technologique actuels. Ils ont besoin d'être soutenus pour atteindre la précision en matière de sécurité à grande vitesse, et la meilleure façon d'y parvenir est de leur montrer comment utiliser des modèles de codage sécurisés et corriger les problèmes plus rapidement.
Pour le coût d'une formation complète des développeurs, vous pouvez essentiellement travailler à l'élimination des vulnérabilités à la source, ce qui permet d'économiser du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de la responsabilité accrue des RSSI, nous devons cesser d'accuser la pénurie de compétences en cybersécurité d'être à l'origine de notre retard. Donnez la priorité aux pratiques de sécurité défensives et renforcez le personnel qui se trouve déjà devant vous.
Que réserve l'avenir à Secure Code Warrior?
Nous voulons continuer à innover, en mettant l'accent sur les développeurs dans les solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre d'assurer la sécurité sans compromettre la rapidité de livraison des fonctionnalités, ni leur santé mentale lorsqu'ils jonglent avec de multiples priorités.
Notre objectif est d'aider les organisations à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs en charge de la sécurité soient les héros de cette histoire. Surveillez cet espace.
Cette interview a été publiée à l'origine dans CyberNews.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation et de formation à la sécurité parmi les développeurs, ce qui peut conduire à la publication de code risqué et à son exploitation par des acteurs malveillants. Si les mesures de sécurité telles que les logiciels antivirus ou les solutions d'analyse des vulnérabilités peuvent ajouter une couche de sécurité, notre invité d'aujourd'hui explique que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la façon dont les développeurs peuvent être formés à l'identification et à l'atténuation des menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warriorune société qui propose un site learning platform et une suite d'outils axés sur les développeurs qui aident les équipes de développement à identifier les vulnérabilités en matière de sécurité.
Comment s'est déroulé votre parcours ? Comment est née l'idée de Secure Code Warrior ?
Jeune intello, j'étais fasciné par l'idée de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils communs, j'ai fini par adopter la même approche avec le matériel et les logiciels, en cherchant des moyens de les percer et de les briser. Une passion pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences en matière de "casse" avec des étudiants, des collègues et la communauté de la sécurité, en montrant comment trouver, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis recentré sur le renforcement des compétences des défenseurs, en enseignant aux développeurs des modèles de codage sûrs et efficaces dans un environnement scolaire, et en les aidant à comprendre les vulnérabilités courantes et la manière de les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, en particulier en ce qui concerne l'implication des développeurs. C'est à cette époque que j'ai rencontré l'équipe fondatrice de Secure Code Warrior. Ensemble, nous avons compris les problèmes auxquels les équipes de sécurité et de développement étaient confrontées lorsqu'il s'agissait de vulnérabilités au niveau du code, ainsi que les problèmes que posaient la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'un site learning platform qui pourrait être mis à l'échelle de l'entreprise, tout en restant amusant et engageant pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbants et les aidant à développer un état d'esprit axé sur la sécurité. Et nous nous sommes efforcés de rendre cette suite aussi flexible que possible en termes de langage et de contenu.
Pouvez-vous nous présenter ce que vous faites ? Quels sont les principaux défis que vous aidez à relever ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en éliminant les problèmes de sécurité et les retards souvent dus à l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé un site learning platform et une suite d'outils destinés aux développeurs qui aident les équipes de développement à naviguer dans les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent aujourd'hui d'exposer les entreprises à des risques cybernétiques. La raison pour laquelle elles persistent est que les développeurs n'ont pas la formation et les compétences nécessaires pour remédier à ces problèmes au niveau du code, et qu'ils les introduisent souvent en premier lieu par l'utilisation continue de modèles et de techniques de codage médiocres. On ne leur enseigne pas le codage sécurisé au niveau tertiaire, et la plupart des programmes de formation sur le lieu de travail sont inefficaces pour fournir un contenu pertinent pour leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité du code et la sécurité au fil du temps. Nos solutions visent à fournir un développement des compétences attrayant et pertinent qui modifie les comportements de codage et les aide à mettre la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements les plus familiers des développeurs, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de retenir les résultats clés de l'éducation. Nous nous efforçons également de le faire d'une manière qui aide les développeurs à voir la sécurité sous un jour positif et amusant qui récompense le succès et construit la communauté.
L'apprentissage du codage sécurisé pouvant sembler fastidieux à certains, comment faites-vous pour que votre formation soit à la fois efficace et divertissante ?
Notre produit phare, learning platform , a été conçu en tenant compte de l'engagement des développeurs. L'une des fonctions les plus populaires est le mode Tournament , qui permet aux participants de tester les connaissances acquises au cours de la formation par rapport à leurs pairs. Des points sont attribués pour chaque bonne réponse et un tableau de classement en direct est mis à jour tout au long de la session tournament . Nous avons organisé ces sessions lors d'événements communautaires et de conférences, et certains de nos clients ont mis en place des thèmes incroyablement complexes où tout le monde est venu déguisé. En outre, notre contenu en général est disponible dans plus de soixante cadres de programmation, en utilisant des extraits de code réels qu'ils verront dans leur travail quotidien. Il est tellement plus facile de rester engagé lorsque le contenu est hyper pertinent et aide à résoudre des problèmes réels, plutôt que de regarder des vidéos ou un examen de conformité annuel.
Quels sont, selon vous, les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important d'établir que les développeurs veulent bien faire, mais qu'ils n'ont pas été suffisamment sensibilisés à la sécurité au cours de leur formation ou de leur carrière, ce qui est à l'origine de nombreux problèmes qu'ils rencontrent du point de vue de la sécurité. Ils ont également tendance à considérer que la sécurité n'entre pas dans le champ de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs clés de performance n'incluent rien qui soit lié aux résultats en matière de codage sécurisé. Cependant, les développeurs ont besoin d'un soutien et d'outils adéquats pour être à l'origine du changement que nous voulons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans ce perfectionnement aujourd'hui afin d'atteindre la sécurité à la vitesse grand V plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Alors que toutes les entreprises ont sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs projections et leurs budgets, nous avons eu la chance de résister à la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous nous efforçons de continuer à participer à cette conversation avec nos clients et nos prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lorsqu'elles développent des logiciels ou des applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Elles n'oublient pas le pouvoir des personnes pour faire une différence positive dans les résultats en matière de sécurité. Cependant, face à la pénurie mondiale de compétences en matière de sécurité qui ne sera probablement pas comblée de sitôt, les développeurs qui s'intéressent à la sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création de logiciels. Ils peuvent avoir un impact au stade le plus précoce et le moins coûteux possible du processus.
Outre les outils de codage sécurisés, quelles sont les autres mesures ou pratiques qui, selon vous, peuvent non seulement améliorer mais aussi sécuriser les opérations commerciales ?
Chaque entreprise devrait disposer d'une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces qui existent en dehors des exploits au niveau du code que les acteurs de la menace cherchent à exploiter, de sorte que chaque personne dans l'organisation doit avoir des bases régulières dans les principes de sécurité tels qu'ils s'appliquent à leur travail.En ce sens, tout le monde, du chef de bureau à l'équipe de comptabilité, devrait comprendre et embrasser le rôle qu'il joue dans l'action et la sensibilisation en matière de cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à une forte pression pour assurer la sécurité des entreprises au moindre coût.
Dans ce contexte, les RSSI doivent faire preuve de créativité, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et que, dans certains cas, les RSSI sont tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements et vous obtenez une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en s'attaquant à l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape la moins coûteuse pour remédier aux vulnérabilités de sécurité au niveau du code et aux erreurs de configuration est de loin celle qui précède la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Cependant, ils ont besoin d'un soutien adapté pour y parvenir. La sécurité à grande vitesse est possible si l'on fournit à la cohorte d'ingénieurs des outils axés sur le développement, en tenant compte de leur flux de travail et de leur pile technologique actuels. Ils ont besoin d'être soutenus pour atteindre la précision en matière de sécurité à grande vitesse, et la meilleure façon d'y parvenir est de leur montrer comment utiliser des modèles de codage sécurisés et corriger les problèmes plus rapidement.
Pour le coût d'une formation complète des développeurs, vous pouvez essentiellement travailler à l'élimination des vulnérabilités à la source, ce qui permet d'économiser du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de la responsabilité accrue des RSSI, nous devons cesser d'accuser la pénurie de compétences en cybersécurité d'être à l'origine de notre retard. Donnez la priorité aux pratiques de sécurité défensives et renforcez le personnel qui se trouve déjà devant vous.
Que réserve l'avenir à Secure Code Warrior?
Nous voulons continuer à innover, en mettant l'accent sur les développeurs dans les solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre d'assurer la sécurité sans compromettre la rapidité de livraison des fonctionnalités, ni leur santé mentale lorsqu'ils jonglent avec de multiples priorités.
Notre objectif est d'aider les organisations à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs en charge de la sécurité soient les héros de cette histoire. Surveillez cet espace.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Cette interview a été publiée à l'origine dans CyberNews.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation et de formation à la sécurité parmi les développeurs, ce qui peut conduire à la publication de code risqué et à son exploitation par des acteurs malveillants. Si les mesures de sécurité telles que les logiciels antivirus ou les solutions d'analyse des vulnérabilités peuvent ajouter une couche de sécurité, notre invité d'aujourd'hui explique que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la façon dont les développeurs peuvent être formés à l'identification et à l'atténuation des menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warriorune société qui propose un site learning platform et une suite d'outils axés sur les développeurs qui aident les équipes de développement à identifier les vulnérabilités en matière de sécurité.
Comment s'est déroulé votre parcours ? Comment est née l'idée de Secure Code Warrior ?
Jeune intello, j'étais fasciné par l'idée de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils communs, j'ai fini par adopter la même approche avec le matériel et les logiciels, en cherchant des moyens de les percer et de les briser. Une passion pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences en matière de "casse" avec des étudiants, des collègues et la communauté de la sécurité, en montrant comment trouver, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis recentré sur le renforcement des compétences des défenseurs, en enseignant aux développeurs des modèles de codage sûrs et efficaces dans un environnement scolaire, et en les aidant à comprendre les vulnérabilités courantes et la manière de les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, en particulier en ce qui concerne l'implication des développeurs. C'est à cette époque que j'ai rencontré l'équipe fondatrice de Secure Code Warrior. Ensemble, nous avons compris les problèmes auxquels les équipes de sécurité et de développement étaient confrontées lorsqu'il s'agissait de vulnérabilités au niveau du code, ainsi que les problèmes que posaient la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'un site learning platform qui pourrait être mis à l'échelle de l'entreprise, tout en restant amusant et engageant pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbants et les aidant à développer un état d'esprit axé sur la sécurité. Et nous nous sommes efforcés de rendre cette suite aussi flexible que possible en termes de langage et de contenu.
Pouvez-vous nous présenter ce que vous faites ? Quels sont les principaux défis que vous aidez à relever ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en éliminant les problèmes de sécurité et les retards souvent dus à l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé un site learning platform et une suite d'outils destinés aux développeurs qui aident les équipes de développement à naviguer dans les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent aujourd'hui d'exposer les entreprises à des risques cybernétiques. La raison pour laquelle elles persistent est que les développeurs n'ont pas la formation et les compétences nécessaires pour remédier à ces problèmes au niveau du code, et qu'ils les introduisent souvent en premier lieu par l'utilisation continue de modèles et de techniques de codage médiocres. On ne leur enseigne pas le codage sécurisé au niveau tertiaire, et la plupart des programmes de formation sur le lieu de travail sont inefficaces pour fournir un contenu pertinent pour leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité du code et la sécurité au fil du temps. Nos solutions visent à fournir un développement des compétences attrayant et pertinent qui modifie les comportements de codage et les aide à mettre la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements les plus familiers des développeurs, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de retenir les résultats clés de l'éducation. Nous nous efforçons également de le faire d'une manière qui aide les développeurs à voir la sécurité sous un jour positif et amusant qui récompense le succès et construit la communauté.
L'apprentissage du codage sécurisé pouvant sembler fastidieux à certains, comment faites-vous pour que votre formation soit à la fois efficace et divertissante ?
Notre produit phare, learning platform , a été conçu en tenant compte de l'engagement des développeurs. L'une des fonctions les plus populaires est le mode Tournament , qui permet aux participants de tester les connaissances acquises au cours de la formation par rapport à leurs pairs. Des points sont attribués pour chaque bonne réponse et un tableau de classement en direct est mis à jour tout au long de la session tournament . Nous avons organisé ces sessions lors d'événements communautaires et de conférences, et certains de nos clients ont mis en place des thèmes incroyablement complexes où tout le monde est venu déguisé. En outre, notre contenu en général est disponible dans plus de soixante cadres de programmation, en utilisant des extraits de code réels qu'ils verront dans leur travail quotidien. Il est tellement plus facile de rester engagé lorsque le contenu est hyper pertinent et aide à résoudre des problèmes réels, plutôt que de regarder des vidéos ou un examen de conformité annuel.
Quels sont, selon vous, les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important d'établir que les développeurs veulent bien faire, mais qu'ils n'ont pas été suffisamment sensibilisés à la sécurité au cours de leur formation ou de leur carrière, ce qui est à l'origine de nombreux problèmes qu'ils rencontrent du point de vue de la sécurité. Ils ont également tendance à considérer que la sécurité n'entre pas dans le champ de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs clés de performance n'incluent rien qui soit lié aux résultats en matière de codage sécurisé. Cependant, les développeurs ont besoin d'un soutien et d'outils adéquats pour être à l'origine du changement que nous voulons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans ce perfectionnement aujourd'hui afin d'atteindre la sécurité à la vitesse grand V plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Alors que toutes les entreprises ont sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs projections et leurs budgets, nous avons eu la chance de résister à la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous nous efforçons de continuer à participer à cette conversation avec nos clients et nos prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lorsqu'elles développent des logiciels ou des applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Elles n'oublient pas le pouvoir des personnes pour faire une différence positive dans les résultats en matière de sécurité. Cependant, face à la pénurie mondiale de compétences en matière de sécurité qui ne sera probablement pas comblée de sitôt, les développeurs qui s'intéressent à la sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création de logiciels. Ils peuvent avoir un impact au stade le plus précoce et le moins coûteux possible du processus.
Outre les outils de codage sécurisés, quelles sont les autres mesures ou pratiques qui, selon vous, peuvent non seulement améliorer mais aussi sécuriser les opérations commerciales ?
Chaque entreprise devrait disposer d'une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces qui existent en dehors des exploits au niveau du code que les acteurs de la menace cherchent à exploiter, de sorte que chaque personne dans l'organisation doit avoir des bases régulières dans les principes de sécurité tels qu'ils s'appliquent à leur travail.En ce sens, tout le monde, du chef de bureau à l'équipe de comptabilité, devrait comprendre et embrasser le rôle qu'il joue dans l'action et la sensibilisation en matière de cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à une forte pression pour assurer la sécurité des entreprises au moindre coût.
Dans ce contexte, les RSSI doivent faire preuve de créativité, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et que, dans certains cas, les RSSI sont tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements et vous obtenez une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en s'attaquant à l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape la moins coûteuse pour remédier aux vulnérabilités de sécurité au niveau du code et aux erreurs de configuration est de loin celle qui précède la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Cependant, ils ont besoin d'un soutien adapté pour y parvenir. La sécurité à grande vitesse est possible si l'on fournit à la cohorte d'ingénieurs des outils axés sur le développement, en tenant compte de leur flux de travail et de leur pile technologique actuels. Ils ont besoin d'être soutenus pour atteindre la précision en matière de sécurité à grande vitesse, et la meilleure façon d'y parvenir est de leur montrer comment utiliser des modèles de codage sécurisés et corriger les problèmes plus rapidement.
Pour le coût d'une formation complète des développeurs, vous pouvez essentiellement travailler à l'élimination des vulnérabilités à la source, ce qui permet d'économiser du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de la responsabilité accrue des RSSI, nous devons cesser d'accuser la pénurie de compétences en cybersécurité d'être à l'origine de notre retard. Donnez la priorité aux pratiques de sécurité défensives et renforcez le personnel qui se trouve déjà devant vous.
Que réserve l'avenir à Secure Code Warrior?
Nous voulons continuer à innover, en mettant l'accent sur les développeurs dans les solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre d'assurer la sécurité sans compromettre la rapidité de livraison des fonctionnalités, ni leur santé mentale lorsqu'ils jonglent avec de multiples priorités.
Notre objectif est d'aider les organisations à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs en charge de la sécurité soient les héros de cette histoire. Surveillez cet espace.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.