Formation à la cybersécurité statique ou dynamique Formation dynamique à la cybersécurité : Conformité impulsive, problèmes futurs
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
Les initiatives réglementaires vont sans aucun doute s'améliorer et se développer au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.