Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.