L'avenir du travail est flexible, et c'est une bonne chose pour la cybersécurité
Une version de cet article a été publiée dans le TFIR. Il a été mis à jour et syndiqué ici.
On dit que le changement est la seule constante de la vie, mais l'année 2020 a vraiment été une épreuve pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir - en profondeur - à la manière dont nous nous connectons. L'isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons faites dans le monde physique et, bien que nous soyons nombreux à passer beaucoup de temps en ligne, c'est un tout autre scénario que de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme pour de nombreuses entreprises technologiques, la flexibilité du travail n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du métier. Dès 2009, j'ai travaillé à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était bien moins avancée à l'époque, mais c'était encore possible. Cependant, même pour nous aujourd'hui, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été une adaptation. J'ai vu de nombreuses entreprises prendre cette décision, y compris celles qui n'étaient pas aussi bien préparées que d'autres à la gestion d'une main-d'œuvre à distance.
Que la gêne vienne des inconnues d'une nouvelle façon de travailler, d'un peu de méfiance, ou peut-être du fait de ne pas "croire" au travail à distance, je trouve que les entreprises qui y résistent ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien de la portée mondiale et, franchement, d'évolution avec le temps. La crise actuelle n'a laissé à beaucoup d'entre elles d'autre choix que de se doter d'une main-d'œuvre à distance, l'alternative étant un arrêt complet des activités dans un climat économique chaotique.
S'il y a un point positif à retenir de cette tragédie, c'est que les gens auront pris conscience des avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement réunie. Et le secteur de la cybersécurité est l'un de ceux qui peuvent vraiment prospérer grâce à une approche de travail en tout lieu et en tout temps.
Les attaquants ne sont pas restés cloîtrés : ils sont très actifs et profitent de cette crise, tirant parti de la panique et de l'incertitude qui règnent dans le monde entier pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré d'observer une recrudescence des cyberattaques, en particulier des ransomwares. Après tout, il s'agit de voler pour survivre dans une période économique précaire. Ce n'est pas pour autant que c'est normal, et le fait est que nous pouvons toujours travailler, nous former et lutter contre les cyberattaques partout où il y a une connexion internet.
L'avenir est flexible, et c'est ainsi que nous - et le secteur de la cybersécurité dans son ensemble - pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits accessibles partout sont universels et précieux
Avant toute forme de quarantaine forcée, les équipes internationales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964, donc - et il ne fait aucun doute que les premiers utilisateurs avaient les mêmes problèmes que nous rencontrons aujourd'hui : "êtes-vous là ? "Non, allez-y !" que nous rencontrons aujourd'hui, même si nous pouvons nous voir par vidéo).
En 2020, les technologies de communication numérique représentent une part importante de l'industrie des TIC, qui pèse plusieurs milliards de dollars, avec des plateformes mobiles et sociales basées sur l'informatique en nuage qui dominent et remplacent les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus que jamais connectés, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques qui sont accessibles partout avec une connexion internet, à la demande, et qui répondent à un besoin de base - qu'il s'agisse d'une connexion, d'un divertissement ou d'une productivité - font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation et, en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle d'une qualité sans compromis, quel que soit l'endroit d'où l'on y accède.
Dans tous les secteurs, chaque jour, des applications web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de l'apogée des outils et des formations en matière de cybersécurité accessibles à la demande, de manière attrayante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique et amusante au codage sécurisé, ainsi que sur l'intégration du flux de travail, est conçu en gardant ces utilisateurs finaux à l'esprit. Les outils doivent être faciles à prendre en main et à utiliser, et la formation ne doit pas être perçue comme une corvée. Le secteur de la cybersécurité étant un champ d'action très vaste, le moment est venu d'innover dans de multiples domaines d'attaque et de défense, où les méthodologies axées sur la sécurité, comme DevSecOps, peuvent encore prospérer même si tout le monde est à la maison. Il s'agit de collaboration et d'une suite d'outils réfléchis permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
L'entraînement quand vous en avez le plus besoin (ou quand vous voulez changer de journée)
L'un des avantages du travail flexible réside dans le fait que les jours où vous effectuez des tâches à domicile, vous n'avez pas à vous rendre au bureau. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tous les membres du personnel auraient du temps à consacrer à l'apprentissage et au développement de leurs compétences pendant leurs heures de travail normales, ce qui peut se faire beaucoup plus facilement dans un environnement à distance approprié. C'est bénéfique pour vos "superstars" à distance, qui peuvent se sentir stimulées et soutenues par la formation continue.
Le paysage de la cybersécurité évoluant à chaque seconde, des formations fréquentes sont indispensables pour se tenir au courant des menaces potentielles qui pèsent sur l'organisation. Une formation complète, mesurable et adaptée aux besoins de l'entreprise est un grand pas dans la bonne direction. Ces facteurs ont été au cœur de la conception de la plateforme Secure Code Warrior ; nous voulions que la formation soit accessible partout, au moment où vous en avez besoin, dans le langage de développement et le cadre de travail choisis par l'utilisateur.
Les développeurs ont une relation difficile avec la sécurité, et à bien des égards, ils n'ont pas été pris en charge d'une manière suffisamment spécifique pour s'engager correctement dans les meilleures pratiques en matière de sécurité. La formation à la demande et la gamification peuvent contribuer à les convaincre, où qu'ils soient ; il est également impératif de veiller à ce que les équipes délocalisées et les fournisseurs soient également sensibilisés à la sécurité, en particulier lorsqu'ils sont impliqués dans toute forme de modification des logiciels d'une organisation.
Maintenir votre cohorte engagée et à niveau avec des formations qui aideront l'organisation (sans parler de leur propre carrière) est une colle très efficace lorsqu'il s'agit de retenir vos meilleurs et plus loyaux talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Les travailleurs à distance peuvent être responsabilisés, productifs et sécurisés
L'idée que pour être productif, il faut être visible dans un bureau de 9 heures à 17 heures est un peu dépassée. Et pourtant, tant d'entreprises (même parmi les nouvelles et passionnantes) fonctionnent encore avec cette idée en tête. Il existe un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les amenait à imaginer leurs équipes en train de jouer en sous-vêtements au lieu de faire leur travail.
Ou bien ils n'ont tout simplement pas franchi le pas du travail à distance viable.
Naturellement, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en montrant leur rendement, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Posez-vous la question :
- Disposent-ils d'un matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons parlé précédemment ?
- Avez-vous veillé à ce que chaque manager soit présent numériquement avec son équipe, en organisant des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour assurer le suivi des projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont été confrontées à la décision d'opter pour des opérations à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à résoudre... mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement aussi à des risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menace à prendre en compte, étant donné que le personnel se trouve probablement sur son propre réseau et qu'il peut utiliser toute une série d'appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins en matière de sécurité, qu'ils soient ou non en vigueur.
Dans les situations de travail à distance, tout le monde a tendance à recevoir un nombre croissant de courriels, sans compter qu'il faut gérer divers identifiants, systèmes et configurations. Il n'est que trop facile pour les attaques par ingénierie sociale et les logiciels malveillants de passer à travers les mailles du filet sur un tas d'appareils hors du champ d'application de la sécurité interne. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi robuste que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de "manger sa propre nourriture" lorsqu'il s'agit des meilleures pratiques en matière de sécurité pour tous.
En parlant de maladresses, il est également important d'évaluer votre espace de travail à distance pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon lors d'un appel vidéo.
Les cyberattaques ne s'arrêtent pas parce que nous sommes en crise
Il est profondément bouleversant de voir les effets du COVID-19 dans le monde entier, et le moment est plus que jamais venu de se serrer les coudes et de prendre en compte les autres dans cette crise sanitaire mondiale. Le fait est que les agresseurs profitent activement de cette peur généralisée et de ce pandémonium, peut-être parce qu'ils sont désespérés de devoir mettre de la nourriture sur la table. En tant que société, nous sommes incroyablement vulnérables en ce moment.
Des établissements de santé, dont un centre d'essai de vaccins, ont été victimes d'attaques par ransomware et DDoS, sans parler de ceux qui tentent de profiter de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de logiciels malveillants à leur encontre. Une autre menace imminente concerne le vaccin lui-même ; il a été rapporté que l'administration Trump avait offert à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre le COVID-19 à l'usage exclusif des États-Unis. Les données relatives au vaccin sont peut-être les informations les plus précieuses sur Terre à l'heure actuelle, ce qui constituerait une prime très intéressante pour un pirate informatique.
Il s'agit d'un rappel bien trop opportun que si nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux - même des mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la manière de repérer un courriel d'hameçonnage sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent être un atout précieux avec votre équipe AppSec pour éviter de souffrir davantage d'une cyberattaque en fermant les portes dérobées créées par les vulnérabilités courantes.
Les entreprises qui innovent sur le plan numérique peuvent résister à des tempêtes plus importantes
Le ralentissement économique, qui a forcé de nombreuses personnes à perdre leur emploi dans les secteurs les plus touchés, a été un sous-produit extrêmement malheureux de cette fermeture massive. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement pas vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement en mesure de faire face à la récession (loin de là), par nature, les entreprises qui opèrent dans le numérique sont beaucoup plus agiles, adaptables et durables, même lorsque les circonstances les plus inattendues se présentent.
Notre entreprise peut être gérée de manière efficace et efficiente avec une main-d'œuvre à distance, ce qui constitue un niveau de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons que la formation à un code sécurisé et viable est un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons livrer et pivoter en fonction des besoins. De nombreuses entreprises, de par la nature des produits ou des services qu'elles vendent, n'ont pas le même luxe, mais ce pourrait être une bonne surprise pour elles d'étudier où les processus peuvent être numérisés, à l'épreuve du temps et aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de se connecter est un défi positif, pas un obstacle.
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit que "la vie trouve son chemin". C'est vraiment le cas, et cela s'est manifesté de manière très évidente lors du passage au travail à distance à l'échelle de notre entreprise. Des équipes qui n'interagissaient pas beaucoup auparavant se découvrent des centres d'intérêt communs à l'occasion de discussions au compte-gouttes, de jeux de bureau en ligne et d'une liste de lecture Spotify commune à l'ensemble de l'entreprise. Il y a toujours un moyen de forger une relation significative, et mon conseil est de laisser les équipes l'explorer et la développer de manière organique.
Pour nos clients, il est formidable de constater que leur engagement à améliorer les compétences de codage sécurisé des développeurs a transcendé tout problème lié au travail à distance. Ils ont utilisé notre fonction tournaments , et alors que ces réunions sont généralement organisées en personne avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) des activités quotidiennes habituellement accomplies de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation sur le lieu de travail favorise la connexion non seulement avec le matériel de cours, mais aussi entre les participants. Et il est accessible à tous, n'importe où. En tant que geek de la sécurité, je suis certainement partial, mais c'est le moment ou jamais d'aider à promouvoir l'amour du codage sécurisé parmi les développeurs. Ils sont tous des super-héros de la sécurité en devenir, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Que la gêne vienne des inconnues d'une nouvelle façon de travailler, d'un peu de méfiance ou peut-être du fait de ne pas croire au travail à distance, je trouve que les entreprises qui y sont réfractaires ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien de la portée mondiale et, franchement, d'évolution avec le temps.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans le TFIR. Il a été mis à jour et syndiqué ici.
On dit que le changement est la seule constante de la vie, mais l'année 2020 a vraiment été une épreuve pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir - en profondeur - à la manière dont nous nous connectons. L'isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons faites dans le monde physique et, bien que nous soyons nombreux à passer beaucoup de temps en ligne, c'est un tout autre scénario que de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme pour de nombreuses entreprises technologiques, la flexibilité du travail n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du métier. Dès 2009, j'ai travaillé à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était bien moins avancée à l'époque, mais c'était encore possible. Cependant, même pour nous aujourd'hui, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été une adaptation. J'ai vu de nombreuses entreprises prendre cette décision, y compris celles qui n'étaient pas aussi bien préparées que d'autres à la gestion d'une main-d'œuvre à distance.
Que la gêne vienne des inconnues d'une nouvelle façon de travailler, d'un peu de méfiance, ou peut-être du fait de ne pas "croire" au travail à distance, je trouve que les entreprises qui y résistent ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien de la portée mondiale et, franchement, d'évolution avec le temps. La crise actuelle n'a laissé à beaucoup d'entre elles d'autre choix que de se doter d'une main-d'œuvre à distance, l'alternative étant un arrêt complet des activités dans un climat économique chaotique.
S'il y a un point positif à retenir de cette tragédie, c'est que les gens auront pris conscience des avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement réunie. Et le secteur de la cybersécurité est l'un de ceux qui peuvent vraiment prospérer grâce à une approche de travail en tout lieu et en tout temps.
Les attaquants ne sont pas restés cloîtrés : ils sont très actifs et profitent de cette crise, tirant parti de la panique et de l'incertitude qui règnent dans le monde entier pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré d'observer une recrudescence des cyberattaques, en particulier des ransomwares. Après tout, il s'agit de voler pour survivre dans une période économique précaire. Ce n'est pas pour autant que c'est normal, et le fait est que nous pouvons toujours travailler, nous former et lutter contre les cyberattaques partout où il y a une connexion internet.
L'avenir est flexible, et c'est ainsi que nous - et le secteur de la cybersécurité dans son ensemble - pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits accessibles partout sont universels et précieux
Avant toute forme de quarantaine forcée, les équipes internationales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964, donc - et il ne fait aucun doute que les premiers utilisateurs avaient les mêmes problèmes que nous rencontrons aujourd'hui : "êtes-vous là ? "Non, allez-y !" que nous rencontrons aujourd'hui, même si nous pouvons nous voir par vidéo).
En 2020, les technologies de communication numérique représentent une part importante de l'industrie des TIC, qui pèse plusieurs milliards de dollars, avec des plateformes mobiles et sociales basées sur l'informatique en nuage qui dominent et remplacent les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus que jamais connectés, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques qui sont accessibles partout avec une connexion internet, à la demande, et qui répondent à un besoin de base - qu'il s'agisse d'une connexion, d'un divertissement ou d'une productivité - font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation et, en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle d'une qualité sans compromis, quel que soit l'endroit d'où l'on y accède.
Dans tous les secteurs, chaque jour, des applications web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de l'apogée des outils et des formations en matière de cybersécurité accessibles à la demande, de manière attrayante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique et amusante au codage sécurisé, ainsi que sur l'intégration du flux de travail, est conçu en gardant ces utilisateurs finaux à l'esprit. Les outils doivent être faciles à prendre en main et à utiliser, et la formation ne doit pas être perçue comme une corvée. Le secteur de la cybersécurité étant un champ d'action très vaste, le moment est venu d'innover dans de multiples domaines d'attaque et de défense, où les méthodologies axées sur la sécurité, comme DevSecOps, peuvent encore prospérer même si tout le monde est à la maison. Il s'agit de collaboration et d'une suite d'outils réfléchis permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
L'entraînement quand vous en avez le plus besoin (ou quand vous voulez changer de journée)
L'un des avantages du travail flexible réside dans le fait que les jours où vous effectuez des tâches à domicile, vous n'avez pas à vous rendre au bureau. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tous les membres du personnel auraient du temps à consacrer à l'apprentissage et au développement de leurs compétences pendant leurs heures de travail normales, ce qui peut se faire beaucoup plus facilement dans un environnement à distance approprié. C'est bénéfique pour vos "superstars" à distance, qui peuvent se sentir stimulées et soutenues par la formation continue.
Le paysage de la cybersécurité évoluant à chaque seconde, des formations fréquentes sont indispensables pour se tenir au courant des menaces potentielles qui pèsent sur l'organisation. Une formation complète, mesurable et adaptée aux besoins de l'entreprise est un grand pas dans la bonne direction. Ces facteurs ont été au cœur de la conception de la plateforme Secure Code Warrior ; nous voulions que la formation soit accessible partout, au moment où vous en avez besoin, dans le langage de développement et le cadre de travail choisis par l'utilisateur.
Les développeurs ont une relation difficile avec la sécurité, et à bien des égards, ils n'ont pas été pris en charge d'une manière suffisamment spécifique pour s'engager correctement dans les meilleures pratiques en matière de sécurité. La formation à la demande et la gamification peuvent contribuer à les convaincre, où qu'ils soient ; il est également impératif de veiller à ce que les équipes délocalisées et les fournisseurs soient également sensibilisés à la sécurité, en particulier lorsqu'ils sont impliqués dans toute forme de modification des logiciels d'une organisation.
Maintenir votre cohorte engagée et à niveau avec des formations qui aideront l'organisation (sans parler de leur propre carrière) est une colle très efficace lorsqu'il s'agit de retenir vos meilleurs et plus loyaux talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Les travailleurs à distance peuvent être responsabilisés, productifs et sécurisés
L'idée que pour être productif, il faut être visible dans un bureau de 9 heures à 17 heures est un peu dépassée. Et pourtant, tant d'entreprises (même parmi les nouvelles et passionnantes) fonctionnent encore avec cette idée en tête. Il existe un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les amenait à imaginer leurs équipes en train de jouer en sous-vêtements au lieu de faire leur travail.
Ou bien ils n'ont tout simplement pas franchi le pas du travail à distance viable.
Naturellement, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en montrant leur rendement, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Posez-vous la question :
- Disposent-ils d'un matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons parlé précédemment ?
- Avez-vous veillé à ce que chaque manager soit présent numériquement avec son équipe, en organisant des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour assurer le suivi des projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont été confrontées à la décision d'opter pour des opérations à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à résoudre... mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement aussi à des risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menace à prendre en compte, étant donné que le personnel se trouve probablement sur son propre réseau et qu'il peut utiliser toute une série d'appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins en matière de sécurité, qu'ils soient ou non en vigueur.
Dans les situations de travail à distance, tout le monde a tendance à recevoir un nombre croissant de courriels, sans compter qu'il faut gérer divers identifiants, systèmes et configurations. Il n'est que trop facile pour les attaques par ingénierie sociale et les logiciels malveillants de passer à travers les mailles du filet sur un tas d'appareils hors du champ d'application de la sécurité interne. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi robuste que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de "manger sa propre nourriture" lorsqu'il s'agit des meilleures pratiques en matière de sécurité pour tous.
En parlant de maladresses, il est également important d'évaluer votre espace de travail à distance pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon lors d'un appel vidéo.
Les cyberattaques ne s'arrêtent pas parce que nous sommes en crise
Il est profondément bouleversant de voir les effets du COVID-19 dans le monde entier, et le moment est plus que jamais venu de se serrer les coudes et de prendre en compte les autres dans cette crise sanitaire mondiale. Le fait est que les agresseurs profitent activement de cette peur généralisée et de ce pandémonium, peut-être parce qu'ils sont désespérés de devoir mettre de la nourriture sur la table. En tant que société, nous sommes incroyablement vulnérables en ce moment.
Des établissements de santé, dont un centre d'essai de vaccins, ont été victimes d'attaques par ransomware et DDoS, sans parler de ceux qui tentent de profiter de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de logiciels malveillants à leur encontre. Une autre menace imminente concerne le vaccin lui-même ; il a été rapporté que l'administration Trump avait offert à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre le COVID-19 à l'usage exclusif des États-Unis. Les données relatives au vaccin sont peut-être les informations les plus précieuses sur Terre à l'heure actuelle, ce qui constituerait une prime très intéressante pour un pirate informatique.
Il s'agit d'un rappel bien trop opportun que si nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux - même des mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la manière de repérer un courriel d'hameçonnage sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent être un atout précieux avec votre équipe AppSec pour éviter de souffrir davantage d'une cyberattaque en fermant les portes dérobées créées par les vulnérabilités courantes.
Les entreprises qui innovent sur le plan numérique peuvent résister à des tempêtes plus importantes
Le ralentissement économique, qui a forcé de nombreuses personnes à perdre leur emploi dans les secteurs les plus touchés, a été un sous-produit extrêmement malheureux de cette fermeture massive. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement pas vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement en mesure de faire face à la récession (loin de là), par nature, les entreprises qui opèrent dans le numérique sont beaucoup plus agiles, adaptables et durables, même lorsque les circonstances les plus inattendues se présentent.
Notre entreprise peut être gérée de manière efficace et efficiente avec une main-d'œuvre à distance, ce qui constitue un niveau de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons que la formation à un code sécurisé et viable est un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons livrer et pivoter en fonction des besoins. De nombreuses entreprises, de par la nature des produits ou des services qu'elles vendent, n'ont pas le même luxe, mais ce pourrait être une bonne surprise pour elles d'étudier où les processus peuvent être numérisés, à l'épreuve du temps et aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de se connecter est un défi positif, pas un obstacle.
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit que "la vie trouve son chemin". C'est vraiment le cas, et cela s'est manifesté de manière très évidente lors du passage au travail à distance à l'échelle de notre entreprise. Des équipes qui n'interagissaient pas beaucoup auparavant se découvrent des centres d'intérêt communs à l'occasion de discussions au compte-gouttes, de jeux de bureau en ligne et d'une liste de lecture Spotify commune à l'ensemble de l'entreprise. Il y a toujours un moyen de forger une relation significative, et mon conseil est de laisser les équipes l'explorer et la développer de manière organique.
Pour nos clients, il est formidable de constater que leur engagement à améliorer les compétences de codage sécurisé des développeurs a transcendé tout problème lié au travail à distance. Ils ont utilisé notre fonction tournaments , et alors que ces réunions sont généralement organisées en personne avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) des activités quotidiennes habituellement accomplies de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation sur le lieu de travail favorise la connexion non seulement avec le matériel de cours, mais aussi entre les participants. Et il est accessible à tous, n'importe où. En tant que geek de la sécurité, je suis certainement partial, mais c'est le moment ou jamais d'aider à promouvoir l'amour du codage sécurisé parmi les développeurs. Ils sont tous des super-héros de la sécurité en devenir, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Une version de cet article a été publiée dans le TFIR. Il a été mis à jour et syndiqué ici.
On dit que le changement est la seule constante de la vie, mais l'année 2020 a vraiment été une épreuve pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir - en profondeur - à la manière dont nous nous connectons. L'isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons faites dans le monde physique et, bien que nous soyons nombreux à passer beaucoup de temps en ligne, c'est un tout autre scénario que de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme pour de nombreuses entreprises technologiques, la flexibilité du travail n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du métier. Dès 2009, j'ai travaillé à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était bien moins avancée à l'époque, mais c'était encore possible. Cependant, même pour nous aujourd'hui, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été une adaptation. J'ai vu de nombreuses entreprises prendre cette décision, y compris celles qui n'étaient pas aussi bien préparées que d'autres à la gestion d'une main-d'œuvre à distance.
Que la gêne vienne des inconnues d'une nouvelle façon de travailler, d'un peu de méfiance, ou peut-être du fait de ne pas "croire" au travail à distance, je trouve que les entreprises qui y résistent ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien de la portée mondiale et, franchement, d'évolution avec le temps. La crise actuelle n'a laissé à beaucoup d'entre elles d'autre choix que de se doter d'une main-d'œuvre à distance, l'alternative étant un arrêt complet des activités dans un climat économique chaotique.
S'il y a un point positif à retenir de cette tragédie, c'est que les gens auront pris conscience des avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement réunie. Et le secteur de la cybersécurité est l'un de ceux qui peuvent vraiment prospérer grâce à une approche de travail en tout lieu et en tout temps.
Les attaquants ne sont pas restés cloîtrés : ils sont très actifs et profitent de cette crise, tirant parti de la panique et de l'incertitude qui règnent dans le monde entier pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré d'observer une recrudescence des cyberattaques, en particulier des ransomwares. Après tout, il s'agit de voler pour survivre dans une période économique précaire. Ce n'est pas pour autant que c'est normal, et le fait est que nous pouvons toujours travailler, nous former et lutter contre les cyberattaques partout où il y a une connexion internet.
L'avenir est flexible, et c'est ainsi que nous - et le secteur de la cybersécurité dans son ensemble - pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits accessibles partout sont universels et précieux
Avant toute forme de quarantaine forcée, les équipes internationales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964, donc - et il ne fait aucun doute que les premiers utilisateurs avaient les mêmes problèmes que nous rencontrons aujourd'hui : "êtes-vous là ? "Non, allez-y !" que nous rencontrons aujourd'hui, même si nous pouvons nous voir par vidéo).
En 2020, les technologies de communication numérique représentent une part importante de l'industrie des TIC, qui pèse plusieurs milliards de dollars, avec des plateformes mobiles et sociales basées sur l'informatique en nuage qui dominent et remplacent les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus que jamais connectés, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques qui sont accessibles partout avec une connexion internet, à la demande, et qui répondent à un besoin de base - qu'il s'agisse d'une connexion, d'un divertissement ou d'une productivité - font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation et, en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle d'une qualité sans compromis, quel que soit l'endroit d'où l'on y accède.
Dans tous les secteurs, chaque jour, des applications web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de l'apogée des outils et des formations en matière de cybersécurité accessibles à la demande, de manière attrayante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique et amusante au codage sécurisé, ainsi que sur l'intégration du flux de travail, est conçu en gardant ces utilisateurs finaux à l'esprit. Les outils doivent être faciles à prendre en main et à utiliser, et la formation ne doit pas être perçue comme une corvée. Le secteur de la cybersécurité étant un champ d'action très vaste, le moment est venu d'innover dans de multiples domaines d'attaque et de défense, où les méthodologies axées sur la sécurité, comme DevSecOps, peuvent encore prospérer même si tout le monde est à la maison. Il s'agit de collaboration et d'une suite d'outils réfléchis permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
L'entraînement quand vous en avez le plus besoin (ou quand vous voulez changer de journée)
L'un des avantages du travail flexible réside dans le fait que les jours où vous effectuez des tâches à domicile, vous n'avez pas à vous rendre au bureau. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tous les membres du personnel auraient du temps à consacrer à l'apprentissage et au développement de leurs compétences pendant leurs heures de travail normales, ce qui peut se faire beaucoup plus facilement dans un environnement à distance approprié. C'est bénéfique pour vos "superstars" à distance, qui peuvent se sentir stimulées et soutenues par la formation continue.
Le paysage de la cybersécurité évoluant à chaque seconde, des formations fréquentes sont indispensables pour se tenir au courant des menaces potentielles qui pèsent sur l'organisation. Une formation complète, mesurable et adaptée aux besoins de l'entreprise est un grand pas dans la bonne direction. Ces facteurs ont été au cœur de la conception de la plateforme Secure Code Warrior ; nous voulions que la formation soit accessible partout, au moment où vous en avez besoin, dans le langage de développement et le cadre de travail choisis par l'utilisateur.
Les développeurs ont une relation difficile avec la sécurité, et à bien des égards, ils n'ont pas été pris en charge d'une manière suffisamment spécifique pour s'engager correctement dans les meilleures pratiques en matière de sécurité. La formation à la demande et la gamification peuvent contribuer à les convaincre, où qu'ils soient ; il est également impératif de veiller à ce que les équipes délocalisées et les fournisseurs soient également sensibilisés à la sécurité, en particulier lorsqu'ils sont impliqués dans toute forme de modification des logiciels d'une organisation.
Maintenir votre cohorte engagée et à niveau avec des formations qui aideront l'organisation (sans parler de leur propre carrière) est une colle très efficace lorsqu'il s'agit de retenir vos meilleurs et plus loyaux talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Les travailleurs à distance peuvent être responsabilisés, productifs et sécurisés
L'idée que pour être productif, il faut être visible dans un bureau de 9 heures à 17 heures est un peu dépassée. Et pourtant, tant d'entreprises (même parmi les nouvelles et passionnantes) fonctionnent encore avec cette idée en tête. Il existe un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les amenait à imaginer leurs équipes en train de jouer en sous-vêtements au lieu de faire leur travail.
Ou bien ils n'ont tout simplement pas franchi le pas du travail à distance viable.
Naturellement, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en montrant leur rendement, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Posez-vous la question :
- Disposent-ils d'un matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons parlé précédemment ?
- Avez-vous veillé à ce que chaque manager soit présent numériquement avec son équipe, en organisant des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour assurer le suivi des projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont été confrontées à la décision d'opter pour des opérations à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à résoudre... mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement aussi à des risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menace à prendre en compte, étant donné que le personnel se trouve probablement sur son propre réseau et qu'il peut utiliser toute une série d'appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins en matière de sécurité, qu'ils soient ou non en vigueur.
Dans les situations de travail à distance, tout le monde a tendance à recevoir un nombre croissant de courriels, sans compter qu'il faut gérer divers identifiants, systèmes et configurations. Il n'est que trop facile pour les attaques par ingénierie sociale et les logiciels malveillants de passer à travers les mailles du filet sur un tas d'appareils hors du champ d'application de la sécurité interne. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi robuste que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de "manger sa propre nourriture" lorsqu'il s'agit des meilleures pratiques en matière de sécurité pour tous.
En parlant de maladresses, il est également important d'évaluer votre espace de travail à distance pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon lors d'un appel vidéo.
Les cyberattaques ne s'arrêtent pas parce que nous sommes en crise
Il est profondément bouleversant de voir les effets du COVID-19 dans le monde entier, et le moment est plus que jamais venu de se serrer les coudes et de prendre en compte les autres dans cette crise sanitaire mondiale. Le fait est que les agresseurs profitent activement de cette peur généralisée et de ce pandémonium, peut-être parce qu'ils sont désespérés de devoir mettre de la nourriture sur la table. En tant que société, nous sommes incroyablement vulnérables en ce moment.
Des établissements de santé, dont un centre d'essai de vaccins, ont été victimes d'attaques par ransomware et DDoS, sans parler de ceux qui tentent de profiter de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de logiciels malveillants à leur encontre. Une autre menace imminente concerne le vaccin lui-même ; il a été rapporté que l'administration Trump avait offert à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre le COVID-19 à l'usage exclusif des États-Unis. Les données relatives au vaccin sont peut-être les informations les plus précieuses sur Terre à l'heure actuelle, ce qui constituerait une prime très intéressante pour un pirate informatique.
Il s'agit d'un rappel bien trop opportun que si nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux - même des mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la manière de repérer un courriel d'hameçonnage sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent être un atout précieux avec votre équipe AppSec pour éviter de souffrir davantage d'une cyberattaque en fermant les portes dérobées créées par les vulnérabilités courantes.
Les entreprises qui innovent sur le plan numérique peuvent résister à des tempêtes plus importantes
Le ralentissement économique, qui a forcé de nombreuses personnes à perdre leur emploi dans les secteurs les plus touchés, a été un sous-produit extrêmement malheureux de cette fermeture massive. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement pas vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement en mesure de faire face à la récession (loin de là), par nature, les entreprises qui opèrent dans le numérique sont beaucoup plus agiles, adaptables et durables, même lorsque les circonstances les plus inattendues se présentent.
Notre entreprise peut être gérée de manière efficace et efficiente avec une main-d'œuvre à distance, ce qui constitue un niveau de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons que la formation à un code sécurisé et viable est un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons livrer et pivoter en fonction des besoins. De nombreuses entreprises, de par la nature des produits ou des services qu'elles vendent, n'ont pas le même luxe, mais ce pourrait être une bonne surprise pour elles d'étudier où les processus peuvent être numérisés, à l'épreuve du temps et aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de se connecter est un défi positif, pas un obstacle.
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit que "la vie trouve son chemin". C'est vraiment le cas, et cela s'est manifesté de manière très évidente lors du passage au travail à distance à l'échelle de notre entreprise. Des équipes qui n'interagissaient pas beaucoup auparavant se découvrent des centres d'intérêt communs à l'occasion de discussions au compte-gouttes, de jeux de bureau en ligne et d'une liste de lecture Spotify commune à l'ensemble de l'entreprise. Il y a toujours un moyen de forger une relation significative, et mon conseil est de laisser les équipes l'explorer et la développer de manière organique.
Pour nos clients, il est formidable de constater que leur engagement à améliorer les compétences de codage sécurisé des développeurs a transcendé tout problème lié au travail à distance. Ils ont utilisé notre fonction tournaments , et alors que ces réunions sont généralement organisées en personne avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) des activités quotidiennes habituellement accomplies de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation sur le lieu de travail favorise la connexion non seulement avec le matériel de cours, mais aussi entre les participants. Et il est accessible à tous, n'importe où. En tant que geek de la sécurité, je suis certainement partial, mais c'est le moment ou jamais d'aider à promouvoir l'amour du codage sécurisé parmi les développeurs. Ils sont tous des super-héros de la sécurité en devenir, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans le TFIR. Il a été mis à jour et syndiqué ici.
On dit que le changement est la seule constante de la vie, mais l'année 2020 a vraiment été une épreuve pour de nombreuses personnes dans le monde entier. La pandémie mondiale de COVID-19 nous a obligés à réfléchir - en profondeur - à la manière dont nous nous connectons. L'isolement, la distanciation sociale sont quelques-unes des adaptations que nous avons faites dans le monde physique et, bien que nous soyons nombreux à passer beaucoup de temps en ligne, c'est un tout autre scénario que de ne pas avoir d'autre choix lorsqu'il s'agit de communiquer et, si possible, de travailler. C'est à la fois une tragédie et une prise de conscience.
Comme pour de nombreuses entreprises technologiques, la flexibilité du travail n'est pas une nouveauté pour nous et le travail à domicile est l'un des avantages du métier. Dès 2009, j'ai travaillé à distance depuis la Belgique pour des entreprises de la Silicon Valley. La technologie était bien moins avancée à l'époque, mais c'était encore possible. Cependant, même pour nous aujourd'hui, le fait que chaque membre de l'équipe travaille à domicile jusqu'à nouvel ordre a été une adaptation. J'ai vu de nombreuses entreprises prendre cette décision, y compris celles qui n'étaient pas aussi bien préparées que d'autres à la gestion d'une main-d'œuvre à distance.
Que la gêne vienne des inconnues d'une nouvelle façon de travailler, d'un peu de méfiance, ou peut-être du fait de ne pas "croire" au travail à distance, je trouve que les entreprises qui y résistent ont tendance à prendre du retard en termes d'attraction des meilleurs talents, de maintien de la portée mondiale et, franchement, d'évolution avec le temps. La crise actuelle n'a laissé à beaucoup d'entre elles d'autre choix que de se doter d'une main-d'œuvre à distance, l'alternative étant un arrêt complet des activités dans un climat économique chaotique.
S'il y a un point positif à retenir de cette tragédie, c'est que les gens auront pris conscience des avantages d'une main-d'œuvre numérique et de la myriade de façons dont une équipe peut se connecter même si elle n'est pas physiquement réunie. Et le secteur de la cybersécurité est l'un de ceux qui peuvent vraiment prospérer grâce à une approche de travail en tout lieu et en tout temps.
Les attaquants ne sont pas restés cloîtrés : ils sont très actifs et profitent de cette crise, tirant parti de la panique et de l'incertitude qui règnent dans le monde entier pour mener des cyberattaques contre des établissements médicaux. Dans une telle situation, il n'est pas exagéré d'observer une recrudescence des cyberattaques, en particulier des ransomwares. Après tout, il s'agit de voler pour survivre dans une période économique précaire. Ce n'est pas pour autant que c'est normal, et le fait est que nous pouvons toujours travailler, nous former et lutter contre les cyberattaques partout où il y a une connexion internet.
L'avenir est flexible, et c'est ainsi que nous - et le secteur de la cybersécurité dans son ensemble - pouvons le faire fonctionner aujourd'hui et à l'avenir :
Les produits accessibles partout sont universels et précieux
Avant toute forme de quarantaine forcée, les équipes internationales devaient encore trouver un moyen de collaborer en cas de besoin. Les conférences téléphoniques abordables ont fait leurs débuts la même année que les Rolling Stones (1964, donc - et il ne fait aucun doute que les premiers utilisateurs avaient les mêmes problèmes que nous rencontrons aujourd'hui : "êtes-vous là ? "Non, allez-y !" que nous rencontrons aujourd'hui, même si nous pouvons nous voir par vidéo).
En 2020, les technologies de communication numérique représentent une part importante de l'industrie des TIC, qui pèse plusieurs milliards de dollars, avec des plateformes mobiles et sociales basées sur l'informatique en nuage qui dominent et remplacent les technologies traditionnelles. Des innovations telles que Slack, Zoom et Discord nous ont permis de rester plus que jamais connectés, en particulier au travail. Et la communication n'est qu'un aspect de l'histoire.
Les services numériques qui sont accessibles partout avec une connexion internet, à la demande, et qui répondent à un besoin de base - qu'il s'agisse d'une connexion, d'un divertissement ou d'une productivité - font partie de notre avenir flexible. En tant que clients, nous recherchons l'hyperpersonnalisation et, en tant qu'entreprise, nous cherchons à offrir une expérience numérique personnelle d'une qualité sans compromis, quel que soit l'endroit d'où l'on y accède.
Dans tous les secteurs, chaque jour, des applications web sont créées pour rationaliser les processus, révolutionner nos modes de vie et de travail et résoudre des problèmes dont nous n'avions peut-être pas conscience. Nous sommes loin de l'apogée des outils et des formations en matière de cybersécurité accessibles à la demande, de manière attrayante et utile pour l'utilisateur, avec des avantages tangibles pour l'entreprise.
Les développeurs apprécient la flexibilité dans leur travail quotidien, et l'accent que nous mettons sur la formation pratique et amusante au codage sécurisé, ainsi que sur l'intégration du flux de travail, est conçu en gardant ces utilisateurs finaux à l'esprit. Les outils doivent être faciles à prendre en main et à utiliser, et la formation ne doit pas être perçue comme une corvée. Le secteur de la cybersécurité étant un champ d'action très vaste, le moment est venu d'innover dans de multiples domaines d'attaque et de défense, où les méthodologies axées sur la sécurité, comme DevSecOps, peuvent encore prospérer même si tout le monde est à la maison. Il s'agit de collaboration et d'une suite d'outils réfléchis permettant à chaque membre de l'équipe de faire son travail efficacement, quel que soit son emplacement physique.
L'entraînement quand vous en avez le plus besoin (ou quand vous voulez changer de journée)
L'un des avantages du travail flexible réside dans le fait que les jours où vous effectuez des tâches à domicile, vous n'avez pas à vous rendre au bureau. Pour certains, cela peut représenter environ deux heures de temps de qualité et de concentration. Dans un monde idéal, tous les membres du personnel auraient du temps à consacrer à l'apprentissage et au développement de leurs compétences pendant leurs heures de travail normales, ce qui peut se faire beaucoup plus facilement dans un environnement à distance approprié. C'est bénéfique pour vos "superstars" à distance, qui peuvent se sentir stimulées et soutenues par la formation continue.
Le paysage de la cybersécurité évoluant à chaque seconde, des formations fréquentes sont indispensables pour se tenir au courant des menaces potentielles qui pèsent sur l'organisation. Une formation complète, mesurable et adaptée aux besoins de l'entreprise est un grand pas dans la bonne direction. Ces facteurs ont été au cœur de la conception de la plateforme Secure Code Warrior ; nous voulions que la formation soit accessible partout, au moment où vous en avez besoin, dans le langage de développement et le cadre de travail choisis par l'utilisateur.
Les développeurs ont une relation difficile avec la sécurité, et à bien des égards, ils n'ont pas été pris en charge d'une manière suffisamment spécifique pour s'engager correctement dans les meilleures pratiques en matière de sécurité. La formation à la demande et la gamification peuvent contribuer à les convaincre, où qu'ils soient ; il est également impératif de veiller à ce que les équipes délocalisées et les fournisseurs soient également sensibilisés à la sécurité, en particulier lorsqu'ils sont impliqués dans toute forme de modification des logiciels d'une organisation.
Maintenir votre cohorte engagée et à niveau avec des formations qui aideront l'organisation (sans parler de leur propre carrière) est une colle très efficace lorsqu'il s'agit de retenir vos meilleurs et plus loyaux talents... une nécessité absolue alors que nous sommes confrontés à une pénurie continue de compétences en cybersécurité.
Les travailleurs à distance peuvent être responsabilisés, productifs et sécurisés
L'idée que pour être productif, il faut être visible dans un bureau de 9 heures à 17 heures est un peu dépassée. Et pourtant, tant d'entreprises (même parmi les nouvelles et passionnantes) fonctionnent encore avec cette idée en tête. Il existe un profond sentiment de méfiance à l'égard de leur propre personnel, comme si la simple suggestion de travailler à domicile les amenait à imaginer leurs équipes en train de jouer en sous-vêtements au lieu de faire leur travail.
Ou bien ils n'ont tout simplement pas franchi le pas du travail à distance viable.
Naturellement, les membres de l'équipe doivent prouver qu'ils peuvent maintenir leur productivité à la maison en montrant leur rendement, mais vous devez donner à votre cohorte les meilleures chances de réussir en dehors du bureau. Posez-vous la question :
- Disposent-ils d'un matériel adéquat ?
- Avez-vous réellement mis en œuvre l'un de ces outils de communication géniaux dont nous avons parlé précédemment ?
- Avez-vous veillé à ce que chaque manager soit présent numériquement avec son équipe, en organisant des réunions régulières ?
- Avez-vous pensé à des outils de productivité pour assurer le suivi des projets et donner à chaque membre de l'équipe une orientation, des objectifs et un sentiment d'accomplissement lorsqu'il accomplit des tâches ?
Dans le climat actuel, de nombreuses entreprises ont été confrontées à la décision d'opter pour des opérations à distance ou de fermer complètement leurs portes. Certaines entreprises qui ont choisi de passer à une main-d'œuvre à distance n'étaient peut-être pas très bien préparées, et il est possible qu'il y ait quelques problèmes à résoudre... mais l'éléphant dans la pièce, c'est que ces entreprises s'exposent probablement aussi à des risques de sécurité.
Éviter les erreurs de sécurité dans les environnements de travail à distance
Il y a plusieurs vecteurs de menace à prendre en compte, étant donné que le personnel se trouve probablement sur son propre réseau et qu'il peut utiliser toute une série d'appareils pour accéder aux comptes de l'entreprise, chacun ayant ses propres besoins en matière de sécurité, qu'ils soient ou non en vigueur.
Dans les situations de travail à distance, tout le monde a tendance à recevoir un nombre croissant de courriels, sans compter qu'il faut gérer divers identifiants, systèmes et configurations. Il n'est que trop facile pour les attaques par ingénierie sociale et les logiciels malveillants de passer à travers les mailles du filet sur un tas d'appareils hors du champ d'application de la sécurité interne. Ce n'est pas une raison pour abandonner le travail à distance, c'est une occasion en or d'apprendre par la pratique et de le rendre aussi robuste que possible pour l'avenir. Et dans les organisations axées sur la sécurité, c'est une bonne occasion d'auditer les processus et de "manger sa propre nourriture" lorsqu'il s'agit des meilleures pratiques en matière de sécurité pour tous.
En parlant de maladresses, il est également important d'évaluer votre espace de travail à distance pour détecter toute menace potentielle... surtout pour votre fierté, comme ce pauvre couple. Morale de l'histoire : assurez-vous que tout le monde porte un pantalon lors d'un appel vidéo.
Les cyberattaques ne s'arrêtent pas parce que nous sommes en crise
Il est profondément bouleversant de voir les effets du COVID-19 dans le monde entier, et le moment est plus que jamais venu de se serrer les coudes et de prendre en compte les autres dans cette crise sanitaire mondiale. Le fait est que les agresseurs profitent activement de cette peur généralisée et de ce pandémonium, peut-être parce qu'ils sont désespérés de devoir mettre de la nourriture sur la table. En tant que société, nous sommes incroyablement vulnérables en ce moment.
Des établissements de santé, dont un centre d'essai de vaccins, ont été victimes d'attaques par ransomware et DDoS, sans parler de ceux qui tentent de profiter de la distraction et de la surcharge de travail des organisations financières et gouvernementales en lançant des campagnes de phishing et de logiciels malveillants à leur encontre. Une autre menace imminente concerne le vaccin lui-même ; il a été rapporté que l'administration Trump avait offert à une entreprise allemande d'importantes sommes d'argent pour développer un vaccin contre le COVID-19 à l'usage exclusif des États-Unis. Les données relatives au vaccin sont peut-être les informations les plus précieuses sur Terre à l'heure actuelle, ce qui constituerait une prime très intéressante pour un pirate informatique.
Il s'agit d'un rappel bien trop opportun que si nous nous isolons de la menace très réelle d'un virus physique, notre rythme cardiaque numérique est également attaqué. La sensibilisation à la sécurité est de la plus haute importance dans chaque organisation, et une formation adéquate doit être dispensée à tous les niveaux - même des mesures telles que l'utilisation d'outils de gestion des mots de passe et l'apprentissage de la manière de repérer un courriel d'hameçonnage sont utiles.
En ce qui concerne les développeurs, ils constituent la première ligne de défense pour sécuriser le code produit activement au sein de l'entreprise, et ils peuvent être un atout précieux avec votre équipe AppSec pour éviter de souffrir davantage d'une cyberattaque en fermant les portes dérobées créées par les vulnérabilités courantes.
Les entreprises qui innovent sur le plan numérique peuvent résister à des tempêtes plus importantes
Le ralentissement économique, qui a forcé de nombreuses personnes à perdre leur emploi dans les secteurs les plus touchés, a été un sous-produit extrêmement malheureux de cette fermeture massive. Tout cela s'est aggravé assez soudainement, et c'est une expérience que beaucoup d'entre nous n'ont probablement pas vécue de leur vivant.
Bien que toutes les entreprises natives du numérique ne soient pas automatiquement en mesure de faire face à la récession (loin de là), par nature, les entreprises qui opèrent dans le numérique sont beaucoup plus agiles, adaptables et durables, même lorsque les circonstances les plus inattendues se présentent.
Notre entreprise peut être gérée de manière efficace et efficiente avec une main-d'œuvre à distance, ce qui constitue un niveau de protection supplémentaire pour notre précieuse équipe et les clients qu'elle soutient également. Nous considérons que la formation à un code sécurisé et viable est un élément essentiel des entreprises modernes, et si nous sommes choisis, nous pouvons livrer et pivoter en fonction des besoins. De nombreuses entreprises, de par la nature des produits ou des services qu'elles vendent, n'ont pas le même luxe, mais ce pourrait être une bonne surprise pour elles d'étudier où les processus peuvent être numérisés, à l'épreuve du temps et aussi à la demande que possible, même dans les espaces les plus traditionnels.
Trouver de nouvelles façons de se connecter est un défi positif, pas un obstacle.
C'est un peu dramatique, mais cela me rappelle la célèbre citation de Jurassic Park où le Dr Ian Malcolm dit que "la vie trouve son chemin". C'est vraiment le cas, et cela s'est manifesté de manière très évidente lors du passage au travail à distance à l'échelle de notre entreprise. Des équipes qui n'interagissaient pas beaucoup auparavant se découvrent des centres d'intérêt communs à l'occasion de discussions au compte-gouttes, de jeux de bureau en ligne et d'une liste de lecture Spotify commune à l'ensemble de l'entreprise. Il y a toujours un moyen de forger une relation significative, et mon conseil est de laisser les équipes l'explorer et la développer de manière organique.
Pour nos clients, il est formidable de constater que leur engagement à améliorer les compétences de codage sécurisé des développeurs a transcendé tout problème lié au travail à distance. Ils ont utilisé notre fonction tournaments , et alors que ces réunions sont généralement organisées en personne avec un peu de fanfare, leurs versions virtuelles ont suscité un engagement sain, une compétition amicale et une excellente distraction (productive) des activités quotidiennes habituellement accomplies de manière solitaire. Tout comme les jeux vidéo sont aujourd'hui un événement beaucoup plus social qu'ils ne l'étaient autrefois, ce type de formation sur le lieu de travail favorise la connexion non seulement avec le matériel de cours, mais aussi entre les participants. Et il est accessible à tous, n'importe où. En tant que geek de la sécurité, je suis certainement partial, mais c'est le moment ou jamais d'aider à promouvoir l'amour du codage sécurisé parmi les développeurs. Ils sont tous des super-héros de la sécurité en devenir, et il est temps de renforcer vos lignes de front de la manière la plus amusante possible.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.