Blog

Frappez d'abord, frappez fort : pourquoi le codage sécurisé curatif courses est sans pitié pour les cybermenaces

Matias Madou, Ph.D.
Publié le 20 juillet 2020

Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :

En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.

Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.

N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.

C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).

Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs

Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.

Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.

Personnaliser un cours pour assurer la conformité

Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.

Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.  

Voici comment General Electric (GE) utilise Courses au sein de ses équipes :

"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.

Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.

Une culture positive de la sécurité fondée sur le respect et la pertinence

L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.

En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.

La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.

Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise

Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.

Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.

Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :

Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".

Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.

Voir la ressource
Voir la ressource

Un cours adapté contenant les modules exacts dans lesquels vos développeurs devront faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien.

Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 20 juillet 2020

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :

En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.

Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.

N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.

C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).

Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs

Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.

Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.

Personnaliser un cours pour assurer la conformité

Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.

Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.  

Voici comment General Electric (GE) utilise Courses au sein de ses équipes :

"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.

Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.

Une culture positive de la sécurité fondée sur le respect et la pertinence

L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.

En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.

La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.

Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise

Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.

Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.

Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :

Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".

Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :

En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.

Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.

N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.

C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).

Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs

Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.

Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.

Personnaliser un cours pour assurer la conformité

Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.

Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.  

Voici comment General Electric (GE) utilise Courses au sein de ses équipes :

"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.

Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.

Une culture positive de la sécurité fondée sur le respect et la pertinence

L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.

En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.

La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.

Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise

Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.

Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.

Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :

Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".

Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 20 juillet 2020

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :

En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.

Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.

N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.

C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).

Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs

Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.

Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.

Personnaliser un cours pour assurer la conformité

Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.

Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.  

Voici comment General Electric (GE) utilise Courses au sein de ses équipes :

"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.

Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.

Une culture positive de la sécurité fondée sur le respect et la pertinence

L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.

En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.

La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.

Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise

Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.

Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.

Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :

Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".

Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles