Frappez d'abord, frappez fort : pourquoi le codage sécurisé curatif courses est sans pitié pour les cybermenaces
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devront faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.