Je suis désolé, je dois vous annoncer une mauvaise nouvelle.
La formation traditionnelle est morte.
Bon, d'accord, ce n'est pas le cas... mais ça devrait l'être. À maintes reprises, des études ont montré que le fait d'enfermer un groupe de personnes dans une salle de classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent un recyclage est l'un des moyens les plus inefficaces de dispenser une formation. Et lorsqu'il s'agit de formation en entreprise, les statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, qui a révélé que cette méthode d'apprentissage prenait en moyenne entre huit et douze mois pour que les nouveaux employés soient à la hauteur et productifs. C'est un délai très long pour utiliser pleinement les compétences d'une personne (et un long délai pour se sentir à l'aise, si vous êtes le nouvel employé). De nos jours, la plupart des entreprises ne disposent pas d'un tel délai ; inévitablement, les coins sont coupés, les gens ne reçoivent pas la formation dont ils ont besoin et l'entreprise perd une grande partie de la valeur qu'elle aurait pu obtenir beaucoup plus tôt.
Il est tout à fait étonnant que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels arides et des formations vidéo abrutissantes pour faire adhérer leurs meilleurs éléments aux meilleures pratiques ou aux nouvelles initiatives de l'entreprise, alors qu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus précieuse : la formation contextuelle. Il s'avère que nous, les humains, retenons beaucoup mieux les informations lorsque nous mettons la main à la pâte avec de nouvelles idées et de nouveaux processus.
En ce qui concerne les développeurs, nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne m'emballe pas vraiment. Les développeurs ont tendance à être des personnes créatives et ingénieuses qui préfèrent utiliser les outils plutôt que de se faire sermonner dans une salle de classe ou d'être assis devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. Si vous regardez la formation à la sécurité en particulier, il semble y avoir une déconnexion claire dans le paysage actuel : les développeurs ne traitent pas les vulnérabilités courantes dans leur code, ce qui conduit les professionnels de l'AppSec à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes facilement corrigés, encore et encore. Les relations entre ces équipes sont tendues, et les développeurs ne disposent pas des outils et de la formation nécessaires pour respecter les meilleures pratiques en matière de développement sécurisé. Leur principal objectif est de créer des fonctionnalités, mais avec l'augmentation rapide du risque cybernétique pour chaque entreprise, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont sensibilisés à la sécurité, ces vulnérabilités courantes commencent à disparaître. Le risque est réduit, de même que les coûts de correction des bogues à un stade avancé (et les responsables de la sécurité des applications cessent de perdre leurs cheveux par poignées).
Alors, à quoi ressemble exactement l'engagement des développeurs dans une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants. Imaginez que nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture, ainsi que de la séquence d'événements qui est initiée pour vous faire avancer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse qu'elle place l'étudiant aux commandes de ce qui lui est enseigné. Lorsque vous disposez d'un contexte réel pour quelque chose, l'apprentissage est beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, n'importe qui peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails pratiques de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la priorité est donnée à la livraison des fonctionnalités. Toutefois, s'il était possible d'examiner des exemples de code réels, d'identifier l'injection et de la corriger dans le cadre d'un exercice de formation, cela serait bien plus applicable au travail quotidien d'un développeur que d'essayer de retenir des informations à sens unique. C'est également plus facile à comprendre pour un développeur, s'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et prêtera attention.
Sur la plateforme Secure Code Warrior nous avons gamifié la formation au code sécurisé, en proposant une grande variété de défis dans plusieurs langages et frameworks. Le système encourage la répétition des jeux et, surtout, il est instantanément personnalisable pour offrir un environnement propice à un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles Selon la théorie de l'apprentissage contextuel, l'apprentissage n'est efficace que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leur propre cadre de référence.
Imaginez qu'un développeur reçoive une liste de vulnérabilités de sécurité provenant de programmes de récompense des bogues, d'outils SAST ou de logiciels de suivi des bogues. Il peut être perplexe, voire accablé, s'il n'a jamais rencontré ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité d'établir des liens directs avec des formations pratiques sur les vulnérabilités provenant de programmes de recherche de bogues, d'outils SAST, de logiciels de suivi des bogues et de rapports de tests de pénétration. Les développeurs peuvent immédiatement comprendre les bases et apprendre les bonnes recettes de codage pour leur cadre particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur des concepts au moment où ils sont les plus pertinents, et ils sont beaucoup plus susceptibles de retenir ces informations à long terme.
Formation contextuelle dans le processus de développement. Des résultats plus rapides, moins de perturbations, des campeurs plus heureux. Quelle que soit la formation, une mise en contexte immédiate avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passerez moins de temps en "mode étude" ou, pire encore, vous devrez revenir sur ce que vous avez déjà "appris" lorsque vous aurez besoin d'une réponse à une question.
L'un des principes de la formation contextuelle est la capacité à construire sur la base des connaissances, de sorte que chaque composante de la formation s'ajoute à la précédente, ce qui permet un processus par étapes qui donne aux participants un chemin vers la maîtrise. Là encore, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceintures similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence par une ceinture blanche, avant de progresser jusqu'à la ceinture noire convoitée, ou le niveau de "champion de la sécurité", après avoir effectué les heures d'entraînement nécessaires et participé au site tournament . Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous voulez retenir les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils pour réussir. Il est malheureux de constater qu'à l'heure actuelle, les développeurs sensibilisés à la sécurité et les spécialistes de l'AppSec sont une ressource rare (et pourtant vitale). Ils sont aussi notoirement difficiles à retenir.
Cybrary a mené une enquête auprès de 3100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'un élément clé pour retenir les employés de valeur était d'investir dans leur formation. Leurs conclusions montrent que les entreprises qui fournissent les outils et la formation nécessaires pour développer leurs compétences internes en matière de sécurité ont été en mesure de retenir les professionnels de la sécurité 60 % de plus que celles qui ne le font pas, et un énorme 65 % des répondants préféraient que cette formation soit pratique. Pas mal, hein ? Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de mettre en place une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour instaurer une culture de la sécurité positive, renforcer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils apprécient et protéger votre organisation contre les malfaiteurs. Demandez une démonstration et nous vous en dirons plus.