Pourquoi l'apprentissage encadré permet de former des développeurs solides sur le plan de la sécurité
Après seulement quelques minutes de navigation dans les actualités technologiques, vous constaterez rapidement à quel point le paysage des menaces devient dangereux. Chaque jour semble apporter avec lui un rapport sur une violation majeure, une nouvelle vulnérabilité, ou une menace terrible d'exploitation active par les cyber-attaquants et les criminels. Presque tous les indicateurs et rapports industriels font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Face à ces nouvelles menaces, la ligne de front des travailleurs de la sécurité informatique est épuisée et manque de personnel. Bien qu'ils perçoivent des salaires élevés et qu'ils soient presque indispensables à toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tout le monde. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Rien qu'aux États-Unis, le rapport indique qu'il y a plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité, alors qu'il n'y en a qu'environ 940 000.
À l'échelle mondiale, environ 3,5 millions d'emplois dans le domaine de la cybersécurité ne sont pas pourvus, ce qui signifie que même les organisations qui sont prêtes à débourser des sommes considérables pour embaucher et retenir des professionnels de haut niveau ont du mal à trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps en plus pour pourvoir un poste dans le domaine de la cybersécurité que pour n'importe quel autre poste, si tant est qu'il puisse être pourvu.
L'habilitation des développeurs a été ignorée pendant trop longtemps
Nous avons noté dans de nombreux blogs précédents que les développeurs peuvent être mis à contribution pour combler certaines de ces lacunes critiques dans les défenses de cybersécurité. Mais traditionnellement, les développeurs n'ont jamais été formés à la cybersécurité. Leur performance professionnelle était presque entièrement basée sur la vitesse et le temps de déploiement. La sécurité était le travail des équipes AppSec en aval.
Malheureusement, il ne s'agit pas simplement de passer à la vitesse supérieure et de demander aux développeurs de commencer soudainement à ajouter la sécurité dans leurs applications et leurs programmes. Même s'ils sont prêts à effectuer ces changements, et les enquêtes ont montré que beaucoup d'entre eux le sont, ils ont toujours besoin d'une formation pour y parvenir. Ils ont également besoin d'être encouragés et soutenus par la direction, mais la première et souvent la plus importante des pierres d'achoppement est de leur permettre de bénéficier d'un apprentissage utile.
Ce n'est pas pour rien que des millions de postes hautement rémunérés et hautement sécurisés dans le domaine de la sécurité informatique restent vacants dans le monde entier. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à lutter contre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement avertis sur le plan technologique, ne peut se faire efficacement en utilisant une formation statique qui date rapidement et n'est pas mémorable, et qui aura un impact positif minime, surtout si ces exigences sont ajoutées à leur emploi du temps déjà surchargé.
Construire un échafaudage pour atteindre un terrain plus élevé
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à essayer de construire un gratte-ciel sans jamais lever le pied. C'est impossible parce que les étudiants n'ont pas les bases nécessaires pour maîtriser les nombreux concepts de haut niveau d'un domaine aussi complexe que la cybersécurité. Pour compenser, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsque l'on utilise une approche par échafaudage ou par "couches" pour améliorer les compétences, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Cela permet de s'assurer que les étudiants sont en mesure de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, en apportant tout le soutien nécessaire à chaque composante. Les concepts plus récents et plus avancés sont superposés à ceux déjà maîtrisés, de la même manière qu'un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. De cette manière, les élèves sont en mesure d'atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme l'échafaudage physique, ce soutien est progressivement retiré lorsqu'il n'est plus nécessaire, avec une responsabilité accrue pour les étudiants au fur et à mesure qu'ils deviennent de plus en plus compétents.
L'apprentissage encadré est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les élèves peuvent ressentir lorsqu'ils sont frustrés, intimidés ou découragés lorsqu'ils tentent d'accomplir une tâche difficile sans aide. Mais il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement difficile tel que la cybersécurité moderne. Loin d'être un moyen de traiter les développeurs comme des enfants, il est extrêmement utile que leur expérience avec l'équipe de sécurité puisse avoir le même effet de frustration et de découragement, en particulier lorsque leur travail acharné est renvoyé avec des corrections de bogues et une nouvelle portion de critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (en commençant généralement par le Top 10 de l'OWASP), ils peuvent voir par eux-mêmes comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment y remédier avant qu'ils n'aboutissent en production. À partir de là, ils peuvent élargir leurs connaissances en s'attaquant à des vulnérabilités plus complexes et en acquérant une expérience pratique de l'application des bons correctifs. Les couches se développent, petit à petit, et lorsqu'il s'agit de problèmes de sécurité avancés tels que l'architecture logicielle non sécurisée ou la modélisation des menaces, ces sauts ne semblent plus aussi intimidants et peuvent être abordés avec précision.
En tant qu'industrie, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour l'habilitation des développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En outre, pour les organisations dont les ingénieurs sont en train de se perfectionner, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une meilleure cybersécurité au fur et à mesure qu'ils apprennent. Il n'est pas nécessaire d'attendre la fin d'un cours pour obtenir des résultats.
L'apprentissage de la cybersécurité est difficile, et sa maîtrise est presque impossible sans l'aide et l'instruction appropriées. L'adoption d'un programme de sécurité avec apprentissage par échafaudage peut vous aider à en tirer le meilleur parti, les avantages devenant évidents presque immédiatement. Les améliorations seront presque immédiates et se poursuivront au fil du temps.
Commencez à construire des développeurs forts en matière de sécurité avec nous ; consultez notre site :
Courses
Missions
Formation des développeurs
... et plus encore !
En tant qu'industrie, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes d'habilitation des développeurs afin qu'ils puissent produire des logiciels de meilleure qualité.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Après seulement quelques minutes de navigation dans les actualités technologiques, vous constaterez rapidement à quel point le paysage des menaces devient dangereux. Chaque jour semble apporter avec lui un rapport sur une violation majeure, une nouvelle vulnérabilité, ou une menace terrible d'exploitation active par les cyber-attaquants et les criminels. Presque tous les indicateurs et rapports industriels font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Face à ces nouvelles menaces, la ligne de front des travailleurs de la sécurité informatique est épuisée et manque de personnel. Bien qu'ils perçoivent des salaires élevés et qu'ils soient presque indispensables à toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tout le monde. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Rien qu'aux États-Unis, le rapport indique qu'il y a plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité, alors qu'il n'y en a qu'environ 940 000.
À l'échelle mondiale, environ 3,5 millions d'emplois dans le domaine de la cybersécurité ne sont pas pourvus, ce qui signifie que même les organisations qui sont prêtes à débourser des sommes considérables pour embaucher et retenir des professionnels de haut niveau ont du mal à trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps en plus pour pourvoir un poste dans le domaine de la cybersécurité que pour n'importe quel autre poste, si tant est qu'il puisse être pourvu.
L'habilitation des développeurs a été ignorée pendant trop longtemps
Nous avons noté dans de nombreux blogs précédents que les développeurs peuvent être mis à contribution pour combler certaines de ces lacunes critiques dans les défenses de cybersécurité. Mais traditionnellement, les développeurs n'ont jamais été formés à la cybersécurité. Leur performance professionnelle était presque entièrement basée sur la vitesse et le temps de déploiement. La sécurité était le travail des équipes AppSec en aval.
Malheureusement, il ne s'agit pas simplement de passer à la vitesse supérieure et de demander aux développeurs de commencer soudainement à ajouter la sécurité dans leurs applications et leurs programmes. Même s'ils sont prêts à effectuer ces changements, et les enquêtes ont montré que beaucoup d'entre eux le sont, ils ont toujours besoin d'une formation pour y parvenir. Ils ont également besoin d'être encouragés et soutenus par la direction, mais la première et souvent la plus importante des pierres d'achoppement est de leur permettre de bénéficier d'un apprentissage utile.
Ce n'est pas pour rien que des millions de postes hautement rémunérés et hautement sécurisés dans le domaine de la sécurité informatique restent vacants dans le monde entier. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à lutter contre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement avertis sur le plan technologique, ne peut se faire efficacement en utilisant une formation statique qui date rapidement et n'est pas mémorable, et qui aura un impact positif minime, surtout si ces exigences sont ajoutées à leur emploi du temps déjà surchargé.
Construire un échafaudage pour atteindre un terrain plus élevé
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à essayer de construire un gratte-ciel sans jamais lever le pied. C'est impossible parce que les étudiants n'ont pas les bases nécessaires pour maîtriser les nombreux concepts de haut niveau d'un domaine aussi complexe que la cybersécurité. Pour compenser, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsque l'on utilise une approche par échafaudage ou par "couches" pour améliorer les compétences, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Cela permet de s'assurer que les étudiants sont en mesure de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, en apportant tout le soutien nécessaire à chaque composante. Les concepts plus récents et plus avancés sont superposés à ceux déjà maîtrisés, de la même manière qu'un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. De cette manière, les élèves sont en mesure d'atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme l'échafaudage physique, ce soutien est progressivement retiré lorsqu'il n'est plus nécessaire, avec une responsabilité accrue pour les étudiants au fur et à mesure qu'ils deviennent de plus en plus compétents.
L'apprentissage encadré est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les élèves peuvent ressentir lorsqu'ils sont frustrés, intimidés ou découragés lorsqu'ils tentent d'accomplir une tâche difficile sans aide. Mais il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement difficile tel que la cybersécurité moderne. Loin d'être un moyen de traiter les développeurs comme des enfants, il est extrêmement utile que leur expérience avec l'équipe de sécurité puisse avoir le même effet de frustration et de découragement, en particulier lorsque leur travail acharné est renvoyé avec des corrections de bogues et une nouvelle portion de critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (en commençant généralement par le Top 10 de l'OWASP), ils peuvent voir par eux-mêmes comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment y remédier avant qu'ils n'aboutissent en production. À partir de là, ils peuvent élargir leurs connaissances en s'attaquant à des vulnérabilités plus complexes et en acquérant une expérience pratique de l'application des bons correctifs. Les couches se développent, petit à petit, et lorsqu'il s'agit de problèmes de sécurité avancés tels que l'architecture logicielle non sécurisée ou la modélisation des menaces, ces sauts ne semblent plus aussi intimidants et peuvent être abordés avec précision.
En tant qu'industrie, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour l'habilitation des développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En outre, pour les organisations dont les ingénieurs sont en train de se perfectionner, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une meilleure cybersécurité au fur et à mesure qu'ils apprennent. Il n'est pas nécessaire d'attendre la fin d'un cours pour obtenir des résultats.
L'apprentissage de la cybersécurité est difficile, et sa maîtrise est presque impossible sans l'aide et l'instruction appropriées. L'adoption d'un programme de sécurité avec apprentissage par échafaudage peut vous aider à en tirer le meilleur parti, les avantages devenant évidents presque immédiatement. Les améliorations seront presque immédiates et se poursuivront au fil du temps.
Commencez à construire des développeurs forts en matière de sécurité avec nous ; consultez notre site :
Courses
Missions
Formation des développeurs
... et plus encore !
Après seulement quelques minutes de navigation dans les actualités technologiques, vous constaterez rapidement à quel point le paysage des menaces devient dangereux. Chaque jour semble apporter avec lui un rapport sur une violation majeure, une nouvelle vulnérabilité, ou une menace terrible d'exploitation active par les cyber-attaquants et les criminels. Presque tous les indicateurs et rapports industriels font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Face à ces nouvelles menaces, la ligne de front des travailleurs de la sécurité informatique est épuisée et manque de personnel. Bien qu'ils perçoivent des salaires élevés et qu'ils soient presque indispensables à toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tout le monde. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Rien qu'aux États-Unis, le rapport indique qu'il y a plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité, alors qu'il n'y en a qu'environ 940 000.
À l'échelle mondiale, environ 3,5 millions d'emplois dans le domaine de la cybersécurité ne sont pas pourvus, ce qui signifie que même les organisations qui sont prêtes à débourser des sommes considérables pour embaucher et retenir des professionnels de haut niveau ont du mal à trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps en plus pour pourvoir un poste dans le domaine de la cybersécurité que pour n'importe quel autre poste, si tant est qu'il puisse être pourvu.
L'habilitation des développeurs a été ignorée pendant trop longtemps
Nous avons noté dans de nombreux blogs précédents que les développeurs peuvent être mis à contribution pour combler certaines de ces lacunes critiques dans les défenses de cybersécurité. Mais traditionnellement, les développeurs n'ont jamais été formés à la cybersécurité. Leur performance professionnelle était presque entièrement basée sur la vitesse et le temps de déploiement. La sécurité était le travail des équipes AppSec en aval.
Malheureusement, il ne s'agit pas simplement de passer à la vitesse supérieure et de demander aux développeurs de commencer soudainement à ajouter la sécurité dans leurs applications et leurs programmes. Même s'ils sont prêts à effectuer ces changements, et les enquêtes ont montré que beaucoup d'entre eux le sont, ils ont toujours besoin d'une formation pour y parvenir. Ils ont également besoin d'être encouragés et soutenus par la direction, mais la première et souvent la plus importante des pierres d'achoppement est de leur permettre de bénéficier d'un apprentissage utile.
Ce n'est pas pour rien que des millions de postes hautement rémunérés et hautement sécurisés dans le domaine de la sécurité informatique restent vacants dans le monde entier. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à lutter contre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement avertis sur le plan technologique, ne peut se faire efficacement en utilisant une formation statique qui date rapidement et n'est pas mémorable, et qui aura un impact positif minime, surtout si ces exigences sont ajoutées à leur emploi du temps déjà surchargé.
Construire un échafaudage pour atteindre un terrain plus élevé
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à essayer de construire un gratte-ciel sans jamais lever le pied. C'est impossible parce que les étudiants n'ont pas les bases nécessaires pour maîtriser les nombreux concepts de haut niveau d'un domaine aussi complexe que la cybersécurité. Pour compenser, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsque l'on utilise une approche par échafaudage ou par "couches" pour améliorer les compétences, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Cela permet de s'assurer que les étudiants sont en mesure de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, en apportant tout le soutien nécessaire à chaque composante. Les concepts plus récents et plus avancés sont superposés à ceux déjà maîtrisés, de la même manière qu'un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. De cette manière, les élèves sont en mesure d'atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme l'échafaudage physique, ce soutien est progressivement retiré lorsqu'il n'est plus nécessaire, avec une responsabilité accrue pour les étudiants au fur et à mesure qu'ils deviennent de plus en plus compétents.
L'apprentissage encadré est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les élèves peuvent ressentir lorsqu'ils sont frustrés, intimidés ou découragés lorsqu'ils tentent d'accomplir une tâche difficile sans aide. Mais il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement difficile tel que la cybersécurité moderne. Loin d'être un moyen de traiter les développeurs comme des enfants, il est extrêmement utile que leur expérience avec l'équipe de sécurité puisse avoir le même effet de frustration et de découragement, en particulier lorsque leur travail acharné est renvoyé avec des corrections de bogues et une nouvelle portion de critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (en commençant généralement par le Top 10 de l'OWASP), ils peuvent voir par eux-mêmes comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment y remédier avant qu'ils n'aboutissent en production. À partir de là, ils peuvent élargir leurs connaissances en s'attaquant à des vulnérabilités plus complexes et en acquérant une expérience pratique de l'application des bons correctifs. Les couches se développent, petit à petit, et lorsqu'il s'agit de problèmes de sécurité avancés tels que l'architecture logicielle non sécurisée ou la modélisation des menaces, ces sauts ne semblent plus aussi intimidants et peuvent être abordés avec précision.
En tant qu'industrie, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour l'habilitation des développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En outre, pour les organisations dont les ingénieurs sont en train de se perfectionner, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une meilleure cybersécurité au fur et à mesure qu'ils apprennent. Il n'est pas nécessaire d'attendre la fin d'un cours pour obtenir des résultats.
L'apprentissage de la cybersécurité est difficile, et sa maîtrise est presque impossible sans l'aide et l'instruction appropriées. L'adoption d'un programme de sécurité avec apprentissage par échafaudage peut vous aider à en tirer le meilleur parti, les avantages devenant évidents presque immédiatement. Les améliorations seront presque immédiates et se poursuivront au fil du temps.
Commencez à construire des développeurs forts en matière de sécurité avec nous ; consultez notre site :
Courses
Missions
Formation des développeurs
... et plus encore !
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Après seulement quelques minutes de navigation dans les actualités technologiques, vous constaterez rapidement à quel point le paysage des menaces devient dangereux. Chaque jour semble apporter avec lui un rapport sur une violation majeure, une nouvelle vulnérabilité, ou une menace terrible d'exploitation active par les cyber-attaquants et les criminels. Presque tous les indicateurs et rapports industriels font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Face à ces nouvelles menaces, la ligne de front des travailleurs de la sécurité informatique est épuisée et manque de personnel. Bien qu'ils perçoivent des salaires élevés et qu'ils soient presque indispensables à toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tout le monde. Dans une enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leur organisation. Rien qu'aux États-Unis, le rapport indique qu'il y a plus de 520 000 emplois non pourvus dans le domaine de la cybersécurité, alors qu'il n'y en a qu'environ 940 000.
À l'échelle mondiale, environ 3,5 millions d'emplois dans le domaine de la cybersécurité ne sont pas pourvus, ce qui signifie que même les organisations qui sont prêtes à débourser des sommes considérables pour embaucher et retenir des professionnels de haut niveau ont du mal à trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps en plus pour pourvoir un poste dans le domaine de la cybersécurité que pour n'importe quel autre poste, si tant est qu'il puisse être pourvu.
L'habilitation des développeurs a été ignorée pendant trop longtemps
Nous avons noté dans de nombreux blogs précédents que les développeurs peuvent être mis à contribution pour combler certaines de ces lacunes critiques dans les défenses de cybersécurité. Mais traditionnellement, les développeurs n'ont jamais été formés à la cybersécurité. Leur performance professionnelle était presque entièrement basée sur la vitesse et le temps de déploiement. La sécurité était le travail des équipes AppSec en aval.
Malheureusement, il ne s'agit pas simplement de passer à la vitesse supérieure et de demander aux développeurs de commencer soudainement à ajouter la sécurité dans leurs applications et leurs programmes. Même s'ils sont prêts à effectuer ces changements, et les enquêtes ont montré que beaucoup d'entre eux le sont, ils ont toujours besoin d'une formation pour y parvenir. Ils ont également besoin d'être encouragés et soutenus par la direction, mais la première et souvent la plus importante des pierres d'achoppement est de leur permettre de bénéficier d'un apprentissage utile.
Ce n'est pas pour rien que des millions de postes hautement rémunérés et hautement sécurisés dans le domaine de la sécurité informatique restent vacants dans le monde entier. Si le travail était facile, tout le monde se lancerait dans ce domaine. Il est difficile d'apprendre à lutter contre les menaces et à éliminer les vulnérabilités dans le code, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement avertis sur le plan technologique, ne peut se faire efficacement en utilisant une formation statique qui date rapidement et n'est pas mémorable, et qui aura un impact positif minime, surtout si ces exigences sont ajoutées à leur emploi du temps déjà surchargé.
Construire un échafaudage pour atteindre un terrain plus élevé
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à essayer de construire un gratte-ciel sans jamais lever le pied. C'est impossible parce que les étudiants n'ont pas les bases nécessaires pour maîtriser les nombreux concepts de haut niveau d'un domaine aussi complexe que la cybersécurité. Pour compenser, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsque l'on utilise une approche par échafaudage ou par "couches" pour améliorer les compétences, les sujets plus vastes sont généralement décomposés en expériences ou concepts d'apprentissage distincts. Cela permet de s'assurer que les étudiants sont en mesure de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, en apportant tout le soutien nécessaire à chaque composante. Les concepts plus récents et plus avancés sont superposés à ceux déjà maîtrisés, de la même manière qu'un échafaudage physique est construit au fur et à mesure qu'un bâtiment s'élève. De cette manière, les élèves sont en mesure d'atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme l'échafaudage physique, ce soutien est progressivement retiré lorsqu'il n'est plus nécessaire, avec une responsabilité accrue pour les étudiants au fur et à mesure qu'ils deviennent de plus en plus compétents.
L'apprentissage encadré est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les élèves peuvent ressentir lorsqu'ils sont frustrés, intimidés ou découragés lorsqu'ils tentent d'accomplir une tâche difficile sans aide. Mais il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement difficile tel que la cybersécurité moderne. Loin d'être un moyen de traiter les développeurs comme des enfants, il est extrêmement utile que leur expérience avec l'équipe de sécurité puisse avoir le même effet de frustration et de découragement, en particulier lorsque leur travail acharné est renvoyé avec des corrections de bogues et une nouvelle portion de critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (en commençant généralement par le Top 10 de l'OWASP), ils peuvent voir par eux-mêmes comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment y remédier avant qu'ils n'aboutissent en production. À partir de là, ils peuvent élargir leurs connaissances en s'attaquant à des vulnérabilités plus complexes et en acquérant une expérience pratique de l'application des bons correctifs. Les couches se développent, petit à petit, et lorsqu'il s'agit de problèmes de sécurité avancés tels que l'architecture logicielle non sécurisée ou la modélisation des menaces, ces sauts ne semblent plus aussi intimidants et peuvent être abordés avec précision.
En tant qu'industrie, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour l'habilitation des développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En outre, pour les organisations dont les ingénieurs sont en train de se perfectionner, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une meilleure cybersécurité au fur et à mesure qu'ils apprennent. Il n'est pas nécessaire d'attendre la fin d'un cours pour obtenir des résultats.
L'apprentissage de la cybersécurité est difficile, et sa maîtrise est presque impossible sans l'aide et l'instruction appropriées. L'adoption d'un programme de sécurité avec apprentissage par échafaudage peut vous aider à en tirer le meilleur parti, les avantages devenant évidents presque immédiatement. Les améliorations seront presque immédiates et se poursuivront au fil du temps.
Commencez à construire des développeurs forts en matière de sécurité avec nous ; consultez notre site :
Courses
Missions
Formation des développeurs
... et plus encore !
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.