Développeurs sensibilisés à la sécurité : AppSec a besoin de vous !
Bien que cela puisse sembler contre-intuitif pour toute personne travaillant en dehors du développement de logiciels, de nombreux professionnels employés dans la sécurité des applications au fil des ans ont travaillé dans ces rôles critiques avec peu ou pas d'expérience en programmation. Ces professionnels de l'AppSec font partie de l'équipe chargée de veiller à ce qu'aucune vulnérabilité ne se glisse dans les applications qui sont devenues l'élément vital de nombreuses industries et organisations, et pourtant, peu d'entre eux peuvent directement évaluer ou corriger le code eux-mêmes.
Au lieu de venir d'une formation en codage, de nombreux professionnels de la sécurité abordent leur rôle du point de vue des connaissances clés sur les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Si tous les gourous de l'AppSec n'ont pas les mêmes compétences, la journée type de beaucoup d'entre eux consiste à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes de l'organisation ou aux cadres sectoriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs conclusions et renvoient des informations sur le vecteur d'attaque susceptible de casser le code. Il appartient alors aux développeurs d'apporter les corrections nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de la sorte, c'est parce que la logique qui a prévalu au fil des ans était que le travail de protection des réseaux et des applications était si vaste qu'il n'était pas logique d'attendre de chaque personne travaillant dans le domaine de la cybersécurité qu'elle remplisse toutes les fonctions. Les compétences en matière de codage profond étaient laissées aux développeurs, et la capacité à écrire ou à modifier du code plus loin dans le pipeline de développement n'était guère valorisée.
Cet état d'esprit est en train de changer rapidement, et cela représente une opportunité unique pour les développeurs de faire le saut lucratif et de changer de carrière dans l'AppSec. Tous les développeurs ne voudront pas embrasser le soi-disant côté obscur, et beaucoup de développeurs n'ont pas d'opinion particulièrement positive sur les équipes AppSec. Mais pour ceux qui le souhaitent, il n'y a jamais eu de meilleur moment pour saisir cet anneau de laiton de plus en plus tentant.
DevSecOps est au cœur de presque tous les secteurs d'activité
L'un des facteurs les plus importants pour accroître la valeur des programmeurs et des développeurs sensibilisés à la sécurité dans toute organisation est l'adoption quasi universelle de pratiques de développement plus agiles comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée dans le développement d'un nouveau logiciel de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux pour tous, et c'est particulièrement vrai pour les ingénieurs qui comprennent aussi intrinsèquement la sécurité.
Un professionnel de l'AppSec qui comprend non seulement la cybersécurité à un haut niveau, mais aussi le code qui permet à tout de fonctionner, est intrinsèquement plus précieux pour une organisation que quelqu'un dont les connaissances sont concentrées sur la théorie. La capacité à découvrir et à évaluer rapidement les vulnérabilités trouvées dans le code, puis à atténuer ces problèmes, est au cœur de la raison pour laquelle DevSecOps connaît une telle popularité.
Les développeurs travaillant dans l'AppSec apportent également un autre avantage important à toute organisation qui les emploie. Comme ils viennent du côté du développement, il leur est facile de parler de sécurité et de vulnérabilités avec les développeurs. Il leur est également beaucoup plus facile de devenir des coachs pour les équipes de développement, en les aidant à devenir de meilleurs codeurs. Avec le temps, ils pourraient même être en mesure d'éliminer le stigmate du "côté obscur" de l'AppSec et d'aider à unifier les équipes de développement de logiciels au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare a dit que c'est un vent mauvais qui ne fait de bien à personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel se fait sentir de manière aiguë presque partout. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Pour mieux comprendre cette crise, le rapport souligne que rien qu'aux États-Unis, il y aura plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité en 2020, alors qu'il n'y en a que 940 000 qui sont employés.
La pénurie de personnel dans le domaine de la cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais elle constitue une bonne opportunité pour les développeurs qui cherchent à se lancer dans l'AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et comme les postes en cybersécurité prennent en moyenne 21 % plus de temps à pourvoir ces jours-ci, les salaires augmentent dans tous les domaines.
Passer à l'AppSec
Il n'y a peut-être jamais eu de meilleur moment pour que les développeurs fassent le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs sensibilisés à la sécurité ne sont plus considérés comme un simple élément d'une méthode de sécurité palliative, mais remplissent au contraire un rôle à part entière et respecté de défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Ceux qui possèdent les bonnes compétences peuvent choisir où ils veulent travailler.
Le passage à l'AppSec n'est peut-être pas fait pour tout le monde, et bien sûr, la plupart des développeurs resteront concentrés sur la création de fonctionnalités étonnantes. Mais pour ceux qui envisagent de faire le saut, investir dans une formation en sécurité pour compléter leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, parce qu'ils comprennent profondément la technologie et ont de l'empathie pour les difficultés de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité, alors pourquoi ne pas profiter de la pénurie actuelle de compétences critiques pour faire évoluer votre carrière vers la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Les développeurs sont très bien placés pour faire un saut lucratif dans l'AppSec.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Bien que cela puisse sembler contre-intuitif pour toute personne travaillant en dehors du développement de logiciels, de nombreux professionnels employés dans la sécurité des applications au fil des ans ont travaillé dans ces rôles critiques avec peu ou pas d'expérience en programmation. Ces professionnels de l'AppSec font partie de l'équipe chargée de veiller à ce qu'aucune vulnérabilité ne se glisse dans les applications qui sont devenues l'élément vital de nombreuses industries et organisations, et pourtant, peu d'entre eux peuvent directement évaluer ou corriger le code eux-mêmes.
Au lieu de venir d'une formation en codage, de nombreux professionnels de la sécurité abordent leur rôle du point de vue des connaissances clés sur les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Si tous les gourous de l'AppSec n'ont pas les mêmes compétences, la journée type de beaucoup d'entre eux consiste à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes de l'organisation ou aux cadres sectoriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs conclusions et renvoient des informations sur le vecteur d'attaque susceptible de casser le code. Il appartient alors aux développeurs d'apporter les corrections nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de la sorte, c'est parce que la logique qui a prévalu au fil des ans était que le travail de protection des réseaux et des applications était si vaste qu'il n'était pas logique d'attendre de chaque personne travaillant dans le domaine de la cybersécurité qu'elle remplisse toutes les fonctions. Les compétences en matière de codage profond étaient laissées aux développeurs, et la capacité à écrire ou à modifier du code plus loin dans le pipeline de développement n'était guère valorisée.
Cet état d'esprit est en train de changer rapidement, et cela représente une opportunité unique pour les développeurs de faire le saut lucratif et de changer de carrière dans l'AppSec. Tous les développeurs ne voudront pas embrasser le soi-disant côté obscur, et beaucoup de développeurs n'ont pas d'opinion particulièrement positive sur les équipes AppSec. Mais pour ceux qui le souhaitent, il n'y a jamais eu de meilleur moment pour saisir cet anneau de laiton de plus en plus tentant.
DevSecOps est au cœur de presque tous les secteurs d'activité
L'un des facteurs les plus importants pour accroître la valeur des programmeurs et des développeurs sensibilisés à la sécurité dans toute organisation est l'adoption quasi universelle de pratiques de développement plus agiles comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée dans le développement d'un nouveau logiciel de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux pour tous, et c'est particulièrement vrai pour les ingénieurs qui comprennent aussi intrinsèquement la sécurité.
Un professionnel de l'AppSec qui comprend non seulement la cybersécurité à un haut niveau, mais aussi le code qui permet à tout de fonctionner, est intrinsèquement plus précieux pour une organisation que quelqu'un dont les connaissances sont concentrées sur la théorie. La capacité à découvrir et à évaluer rapidement les vulnérabilités trouvées dans le code, puis à atténuer ces problèmes, est au cœur de la raison pour laquelle DevSecOps connaît une telle popularité.
Les développeurs travaillant dans l'AppSec apportent également un autre avantage important à toute organisation qui les emploie. Comme ils viennent du côté du développement, il leur est facile de parler de sécurité et de vulnérabilités avec les développeurs. Il leur est également beaucoup plus facile de devenir des coachs pour les équipes de développement, en les aidant à devenir de meilleurs codeurs. Avec le temps, ils pourraient même être en mesure d'éliminer le stigmate du "côté obscur" de l'AppSec et d'aider à unifier les équipes de développement de logiciels au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare a dit que c'est un vent mauvais qui ne fait de bien à personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel se fait sentir de manière aiguë presque partout. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Pour mieux comprendre cette crise, le rapport souligne que rien qu'aux États-Unis, il y aura plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité en 2020, alors qu'il n'y en a que 940 000 qui sont employés.
La pénurie de personnel dans le domaine de la cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais elle constitue une bonne opportunité pour les développeurs qui cherchent à se lancer dans l'AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et comme les postes en cybersécurité prennent en moyenne 21 % plus de temps à pourvoir ces jours-ci, les salaires augmentent dans tous les domaines.
Passer à l'AppSec
Il n'y a peut-être jamais eu de meilleur moment pour que les développeurs fassent le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs sensibilisés à la sécurité ne sont plus considérés comme un simple élément d'une méthode de sécurité palliative, mais remplissent au contraire un rôle à part entière et respecté de défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Ceux qui possèdent les bonnes compétences peuvent choisir où ils veulent travailler.
Le passage à l'AppSec n'est peut-être pas fait pour tout le monde, et bien sûr, la plupart des développeurs resteront concentrés sur la création de fonctionnalités étonnantes. Mais pour ceux qui envisagent de faire le saut, investir dans une formation en sécurité pour compléter leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, parce qu'ils comprennent profondément la technologie et ont de l'empathie pour les difficultés de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité, alors pourquoi ne pas profiter de la pénurie actuelle de compétences critiques pour faire évoluer votre carrière vers la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Bien que cela puisse sembler contre-intuitif pour toute personne travaillant en dehors du développement de logiciels, de nombreux professionnels employés dans la sécurité des applications au fil des ans ont travaillé dans ces rôles critiques avec peu ou pas d'expérience en programmation. Ces professionnels de l'AppSec font partie de l'équipe chargée de veiller à ce qu'aucune vulnérabilité ne se glisse dans les applications qui sont devenues l'élément vital de nombreuses industries et organisations, et pourtant, peu d'entre eux peuvent directement évaluer ou corriger le code eux-mêmes.
Au lieu de venir d'une formation en codage, de nombreux professionnels de la sécurité abordent leur rôle du point de vue des connaissances clés sur les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Si tous les gourous de l'AppSec n'ont pas les mêmes compétences, la journée type de beaucoup d'entre eux consiste à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes de l'organisation ou aux cadres sectoriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs conclusions et renvoient des informations sur le vecteur d'attaque susceptible de casser le code. Il appartient alors aux développeurs d'apporter les corrections nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de la sorte, c'est parce que la logique qui a prévalu au fil des ans était que le travail de protection des réseaux et des applications était si vaste qu'il n'était pas logique d'attendre de chaque personne travaillant dans le domaine de la cybersécurité qu'elle remplisse toutes les fonctions. Les compétences en matière de codage profond étaient laissées aux développeurs, et la capacité à écrire ou à modifier du code plus loin dans le pipeline de développement n'était guère valorisée.
Cet état d'esprit est en train de changer rapidement, et cela représente une opportunité unique pour les développeurs de faire le saut lucratif et de changer de carrière dans l'AppSec. Tous les développeurs ne voudront pas embrasser le soi-disant côté obscur, et beaucoup de développeurs n'ont pas d'opinion particulièrement positive sur les équipes AppSec. Mais pour ceux qui le souhaitent, il n'y a jamais eu de meilleur moment pour saisir cet anneau de laiton de plus en plus tentant.
DevSecOps est au cœur de presque tous les secteurs d'activité
L'un des facteurs les plus importants pour accroître la valeur des programmeurs et des développeurs sensibilisés à la sécurité dans toute organisation est l'adoption quasi universelle de pratiques de développement plus agiles comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée dans le développement d'un nouveau logiciel de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux pour tous, et c'est particulièrement vrai pour les ingénieurs qui comprennent aussi intrinsèquement la sécurité.
Un professionnel de l'AppSec qui comprend non seulement la cybersécurité à un haut niveau, mais aussi le code qui permet à tout de fonctionner, est intrinsèquement plus précieux pour une organisation que quelqu'un dont les connaissances sont concentrées sur la théorie. La capacité à découvrir et à évaluer rapidement les vulnérabilités trouvées dans le code, puis à atténuer ces problèmes, est au cœur de la raison pour laquelle DevSecOps connaît une telle popularité.
Les développeurs travaillant dans l'AppSec apportent également un autre avantage important à toute organisation qui les emploie. Comme ils viennent du côté du développement, il leur est facile de parler de sécurité et de vulnérabilités avec les développeurs. Il leur est également beaucoup plus facile de devenir des coachs pour les équipes de développement, en les aidant à devenir de meilleurs codeurs. Avec le temps, ils pourraient même être en mesure d'éliminer le stigmate du "côté obscur" de l'AppSec et d'aider à unifier les équipes de développement de logiciels au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare a dit que c'est un vent mauvais qui ne fait de bien à personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel se fait sentir de manière aiguë presque partout. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Pour mieux comprendre cette crise, le rapport souligne que rien qu'aux États-Unis, il y aura plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité en 2020, alors qu'il n'y en a que 940 000 qui sont employés.
La pénurie de personnel dans le domaine de la cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais elle constitue une bonne opportunité pour les développeurs qui cherchent à se lancer dans l'AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et comme les postes en cybersécurité prennent en moyenne 21 % plus de temps à pourvoir ces jours-ci, les salaires augmentent dans tous les domaines.
Passer à l'AppSec
Il n'y a peut-être jamais eu de meilleur moment pour que les développeurs fassent le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs sensibilisés à la sécurité ne sont plus considérés comme un simple élément d'une méthode de sécurité palliative, mais remplissent au contraire un rôle à part entière et respecté de défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Ceux qui possèdent les bonnes compétences peuvent choisir où ils veulent travailler.
Le passage à l'AppSec n'est peut-être pas fait pour tout le monde, et bien sûr, la plupart des développeurs resteront concentrés sur la création de fonctionnalités étonnantes. Mais pour ceux qui envisagent de faire le saut, investir dans une formation en sécurité pour compléter leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, parce qu'ils comprennent profondément la technologie et ont de l'empathie pour les difficultés de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité, alors pourquoi ne pas profiter de la pénurie actuelle de compétences critiques pour faire évoluer votre carrière vers la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Bien que cela puisse sembler contre-intuitif pour toute personne travaillant en dehors du développement de logiciels, de nombreux professionnels employés dans la sécurité des applications au fil des ans ont travaillé dans ces rôles critiques avec peu ou pas d'expérience en programmation. Ces professionnels de l'AppSec font partie de l'équipe chargée de veiller à ce qu'aucune vulnérabilité ne se glisse dans les applications qui sont devenues l'élément vital de nombreuses industries et organisations, et pourtant, peu d'entre eux peuvent directement évaluer ou corriger le code eux-mêmes.
Au lieu de venir d'une formation en codage, de nombreux professionnels de la sécurité abordent leur rôle du point de vue des connaissances clés sur les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Si tous les gourous de l'AppSec n'ont pas les mêmes compétences, la journée type de beaucoup d'entre eux consiste à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes de l'organisation ou aux cadres sectoriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs conclusions et renvoient des informations sur le vecteur d'attaque susceptible de casser le code. Il appartient alors aux développeurs d'apporter les corrections nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de la sorte, c'est parce que la logique qui a prévalu au fil des ans était que le travail de protection des réseaux et des applications était si vaste qu'il n'était pas logique d'attendre de chaque personne travaillant dans le domaine de la cybersécurité qu'elle remplisse toutes les fonctions. Les compétences en matière de codage profond étaient laissées aux développeurs, et la capacité à écrire ou à modifier du code plus loin dans le pipeline de développement n'était guère valorisée.
Cet état d'esprit est en train de changer rapidement, et cela représente une opportunité unique pour les développeurs de faire le saut lucratif et de changer de carrière dans l'AppSec. Tous les développeurs ne voudront pas embrasser le soi-disant côté obscur, et beaucoup de développeurs n'ont pas d'opinion particulièrement positive sur les équipes AppSec. Mais pour ceux qui le souhaitent, il n'y a jamais eu de meilleur moment pour saisir cet anneau de laiton de plus en plus tentant.
DevSecOps est au cœur de presque tous les secteurs d'activité
L'un des facteurs les plus importants pour accroître la valeur des programmeurs et des développeurs sensibilisés à la sécurité dans toute organisation est l'adoption quasi universelle de pratiques de développement plus agiles comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée dans le développement d'un nouveau logiciel de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux pour tous, et c'est particulièrement vrai pour les ingénieurs qui comprennent aussi intrinsèquement la sécurité.
Un professionnel de l'AppSec qui comprend non seulement la cybersécurité à un haut niveau, mais aussi le code qui permet à tout de fonctionner, est intrinsèquement plus précieux pour une organisation que quelqu'un dont les connaissances sont concentrées sur la théorie. La capacité à découvrir et à évaluer rapidement les vulnérabilités trouvées dans le code, puis à atténuer ces problèmes, est au cœur de la raison pour laquelle DevSecOps connaît une telle popularité.
Les développeurs travaillant dans l'AppSec apportent également un autre avantage important à toute organisation qui les emploie. Comme ils viennent du côté du développement, il leur est facile de parler de sécurité et de vulnérabilités avec les développeurs. Il leur est également beaucoup plus facile de devenir des coachs pour les équipes de développement, en les aidant à devenir de meilleurs codeurs. Avec le temps, ils pourraient même être en mesure d'éliminer le stigmate du "côté obscur" de l'AppSec et d'aider à unifier les équipes de développement de logiciels au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare a dit que c'est un vent mauvais qui ne fait de bien à personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel se fait sentir de manière aiguë presque partout. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Pour mieux comprendre cette crise, le rapport souligne que rien qu'aux États-Unis, il y aura plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité en 2020, alors qu'il n'y en a que 940 000 qui sont employés.
La pénurie de personnel dans le domaine de la cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais elle constitue une bonne opportunité pour les développeurs qui cherchent à se lancer dans l'AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et comme les postes en cybersécurité prennent en moyenne 21 % plus de temps à pourvoir ces jours-ci, les salaires augmentent dans tous les domaines.
Passer à l'AppSec
Il n'y a peut-être jamais eu de meilleur moment pour que les développeurs fassent le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs sensibilisés à la sécurité ne sont plus considérés comme un simple élément d'une méthode de sécurité palliative, mais remplissent au contraire un rôle à part entière et respecté de défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Ceux qui possèdent les bonnes compétences peuvent choisir où ils veulent travailler.
Le passage à l'AppSec n'est peut-être pas fait pour tout le monde, et bien sûr, la plupart des développeurs resteront concentrés sur la création de fonctionnalités étonnantes. Mais pour ceux qui envisagent de faire le saut, investir dans une formation en sécurité pour compléter leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, parce qu'ils comprennent profondément la technologie et ont de l'empathie pour les difficultés de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité, alors pourquoi ne pas profiter de la pénurie actuelle de compétences critiques pour faire évoluer votre carrière vers la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.