Pourquoi la gamification est la clé pour améliorer la sécurité de vos logiciels
Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.
BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.
Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.
La gamification : La voie simple à suivre.
Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser ainsi.
La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
- Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
- Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?
Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.
BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.
Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.
La gamification : La voie simple à suivre.
Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser ainsi.
La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
- Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
- Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?
Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.
BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.
Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.
La gamification : La voie simple à suivre.
Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser ainsi.
La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
- Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
- Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?
Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.
BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.
Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.
La gamification : La voie simple à suivre.
Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser ainsi.
La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
- Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
- Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?
Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.