Blog

Pourquoi la gamification est la clé pour améliorer la sécurité de vos logiciels

Pieter Danhieux
Publié le 01 août 2018

Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.

Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.

Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.

Le paysage actuel

Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.

Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.

BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.

La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.

Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.

Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.

La gamification : La voie simple à suivre.

Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.

Je ne suis pas le seul à penser ainsi.

La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.

Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.

À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.

Nous savons déjà qu'une formation réussie ressemble à ceci :

  • Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
  • Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
  • Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
  • Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
  • Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.

L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?

Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Voir la ressource
Voir la ressource

Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.

Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Pieter Danhieux
Publié le 01 août 2018

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.

Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.

Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.

Le paysage actuel

Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.

Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.

BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.

La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.

Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.

Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.

La gamification : La voie simple à suivre.

Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.

Je ne suis pas le seul à penser ainsi.

La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.

Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.

À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.

Nous savons déjà qu'une formation réussie ressemble à ceci :

  • Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
  • Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
  • Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
  • Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
  • Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.

L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?

Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.

Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.

Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.

Le paysage actuel

Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.

Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.

BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.

La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.

Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.

Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.

La gamification : La voie simple à suivre.

Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.

Je ne suis pas le seul à penser ainsi.

La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.

Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.

À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.

Nous savons déjà qu'une formation réussie ressemble à ceci :

  • Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
  • Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
  • Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
  • Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
  • Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.

L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?

Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.
Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Télécharger le PDF
Voir la ressource
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Pieter Danhieux
Publié le 01 août 2018

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Responsables AppSec, CISO, CIO, experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises à travers le monde - au cours de ma propre carrière dans le développement de logiciels et la sécurité.

Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste toujours le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement dans la sécurité. La sécurité est toujours un gros mot, une source de conflit entre les équipes et une véritable plaie pour l'industrie.

Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer les choses, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la gamification.

Le paysage actuel

Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture d'un code sécurisé, ils occupent des emplois où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, c'est généralement dans le cadre des vidéos de conformité obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne s'intéresserait à la sécurité du codage). Très souvent, leur première expérience de la sécurité est un audit ou un rapport de bogue de test qui interrompt soudainement une version future, devenant ainsi une perturbation instantanée et prioritaire de leur esprit créatif. Ils se retrouvent en conflit avec les responsables des rapports de sécurité, si bien que "sécurité" devient synonyme de "critique" dans leur esprit. La honte.

Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes premiers jours de piratage à assister à des conférences, où j'ai pu non seulement tester mes compétences (et, pour être honnête, me montrer un peu) face à mes pairs, mais aussi prendre énormément de plaisir à rencontrer des personnes partageant les mêmes idées et qui aimaient casser des logiciels autant que moi.

BruCon, DefCon, BlackHat... ces événements ont permis à des gens comme moi d'exercer leurs talents dans le cadre d'une compétition amicale. Je n'admettrais jamais de participer à des activités aussi antisociales, mais certains montraient même leurs prouesses de piratage en s'introduisant dans les téléphones d'autres participants, affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu : trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me trouver devant des centaines d'enfants au Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait à forcer les mots de passe et à coder en base64 tout en jouant à des jeux.

La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage à de très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants de quatre ans seulement participent régulièrement à des initiatives de vacances telles que CodeCamp, et il existe une multitude de programmes en ligne fantastiques qui apprennent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.

Cependant, malgré tout ce plaisir et ces progrès, il y a une lacune. Personne n'a pensé à la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de codes sécurisés.

Enfin... presque personne. Il y a quelques années, je me suis rendu compte qu'il fallait redonner de l'inspiration à la sécurité et motiver les développeurs à s'impliquer et à jouer le jeu.

La gamification : La voie simple à suivre.

Il y a en moi une volonté profonde d'aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est tellement importante, et elle peut vraiment être passionnante.

Je ne suis pas le seul à penser ainsi.

La gamification peut rendre les tâches les plus banales plus amusantes et permet aux gens de rester suffisamment engagés pour vouloir continuer à jouer, à gagner et à progresser - il suffit de voir comment Pok̩mon Go ! a permis aux plus paresseux de quitter leur canapé, de sortir et de chercher des créatures imaginaires, ou comment FitBit fait de l'atteinte du nombre de pas un objectif quotidien pour beaucoup... un sentiment très réel de déception s'installe si ces objectifs ne sont pas atteints, si les séries sont terminées et si les badges ne sont pas gagnés.

Revenons donc à la formation à la sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour transformer la culture de la sécurité au sein de leur organisation, pour établir des ponts entre les équipes AppSec et les équipes de développement, ainsi que pour les aider de manière générale à créer des logiciels d'un niveau plus élevé.

À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément amical, compétitif et engageant à vos méthodes de formation, vous les motivez non seulement à "jouer", mais aussi à revenir pour gagner plus de points, battre des scores élevés, devenir plus précis et défier les autres membres de l'équipe.

Nous savons déjà qu'une formation réussie ressemble à ceci :

  • Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/frameworks.
  • Les défis sont courts et couvrent toutes les vulnérabilités courantes en matière de sécurité.
  • Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
  • Les défis varient en complexité, de sorte qu'ils sont intéressants pour les développeurs chevronnés comme pour les moins expérimentés.
  • Les développeurs et leurs responsables sont en mesure de visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.

L'un de nos plus gros clients a montré la véritable magie d'une plateforme gamifiée lors de son déploiement, en habillant ses développeurs avec des tenues d'équipe à thème, en offrant des prix incroyables aux gagnants des jeux et en faisant de son site tournament une journée inoubliable. Ils ont depuis proposé des compétitions internationales et toute leur équipe continue aujourd'hui encore à accumuler de nombreuses heures de formation.

Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à la pointe de l'adoption de la formation gamifiée dans la lutte contre le mauvais code, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse) - il suffit de regarder ce que notre client a fait avec son prochain niveau tournament. Êtes-vous prêt à faire évoluer votre équipe avec nous ?

Nous devons nous efforcer de changer le discours, de faire en sorte que la sécurité fasse partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer dans la sécurité par le biais, par exemple, de la ludification.

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles