Zuerst zuschlagen, hart zuschlagen: Warum kuratierte Kurse zum sicheren Programmieren Cyberbedrohungen gnadenlos begegnen
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, sofort loszulegen, wenn es um bewährte Sicherheitsmethoden in ihrer täglichen Arbeit geht.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Il existe une vérité qui dérange, une vérité qui tend à être ignorée par les gouvernements, les grandes entreprises et même certains leaders du secteur : en tant que société, nous sommes engagés dans une bataille constante contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques racontent une histoire qui donne à réfléchir :
- Le coût global de la cybercriminalité est estimé à 6 000 milliards de dollars d'ici 2021.
- Une cyberattaque se produit toutes les 39 secondes
- 24% des violations de données sont dues à une erreur humaine
- Il est alarmant de constater que 77 % des organisations ne disposent pas d'un plan de réponse aux incidents de cybersécurité qui s'étende à l'ensemble de l'entreprise et qui soit appliqué de manière cohérente entre les différents services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; le déficit de compétences a peu de chances d'être comblé, et aucune armée secrète d'AppSec ne viendra nous tirer d'affaire. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une grande défense, et nous pouvons frapper les premiers avec un bon plan.
Tout cela semble un peu déprimant, mais la situation n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche, et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez qu'à chercher dans vos équipes de développement internes le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité et prêts à partager la responsabilité de coder en toute sécurité.
N'importe quelle formation ne suffira pas - nous l'avons certainement dit assez souvent - mais même la bonne formation qui engage, construit des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être beaucoup plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée, et aux exigences de conformité qui aident les entreprises à assurer la sécurité de toutes nos données.
C'est là qu'intervient notre nouvelle fonctionnalité, Coursesentre en jeu. D'ailleurs, si vous avez compris la référence du titre, vous êtes officiellement vieux (ou vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : construire une défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mort avec des heures de sermons vidéo génériques et arides, et attendez qu'une passion pour le codage sécurisé s'épanouisse). Mais même avec une formation compétitive conçue pour attirer les développeurs, le contenu peut toujours être un peu plus large que ce qui est nécessaire pour répondre aux besoins particuliers d'une organisation.
Un cours adapté contenant les modules exacts dans lesquels vos développeurs devraient faire preuve de compétence aura un impact puissant et leur permettra d'être opérationnels lorsqu'il s'agira de mettre en œuvre les meilleures pratiques de sécurité dans leur travail quotidien. Adaptez les programmes aux équipes frontales, aux ingénieurs cloud et autres, avec la possibilité d'approfondir les vulnérabilités les plus importantes, dans les langages et les frameworks qui les concernent. Les développeurs développeront leurs compétences grâce à un contexte, des points de contact et une expérience continus, tandis que l'entreprise bénéficiera d'une sensibilisation précise aux problèmes qui posent le plus de risques.
Personnaliser un cours pour assurer la conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées partout dans le monde, et la conformité de la sécurité des logiciels est une excellente base pour construire une culture de la sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite chez les développeurs un sentiment de fierté et de responsabilité, plutôt qu'un grognement et un sourire en coin.
Pour commencer, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour atteindre de nouveaux sommets en matière de conformité industrielle, vous pouvez concevoir un cours personnalisé autour des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément aux directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. Les enjeux sont élevés lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et le fait d'être ultra-spécifique en matière de formation des développeurs permet de s'affranchir du bruit, de dispenser la bonne formation au bon moment et de contrôler plus facilement les aptitudes de l'équipe.
Voici comment General Electric (GE) utilise Courses au sein de ses équipes :
"Courses est une excellente solution pour nos ingénieurs. Grâce à la nouvelle fonctionnalité - qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable - nous avons la possibilité de façonner le contenu en fonction de ce dont nous avons besoin à tout moment. Les capacités de mise en conformité et la flexibilité offrent une meilleure occasion de garantir un processus plus rationalisé et plus souple. Cette capacité a aidé General Electric à adapter une formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais.
Et n'oubliez pas qu'il peut s'agir d'une formation à la conformité, mais qu'elle est toujours dispensée sous la forme d'une expérience d'apprentissage contextuelle et engageante, qui est bien plus attrayante pour les développeurs.
Une culture positive de la sécurité fondée sur le respect et la pertinence
L'éducation est un processus qui dure toute la vie, mais dans le monde effréné de DevSecOps, il y a beaucoup d'assiettes à faire tourner. Le temps consacré à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue de susciter l'intérêt et d'apporter de la valeur ajoutée.
En créant un cours personnalisé qui est hyper pertinent, vous respectez le temps et le flux de travail du développeur, tout en travaillant à une réduction mesurable des vulnérabilités et des risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de l'AppSec et les ingénieurs est traditionnellement marquée par des malentendus et des tensions, mais un apprentissage structuré avec Courses peut permettre aux deux parties d'être sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement que l'équipe AppSec les aide à trouver des solutions, ce qui réduira leur charge de travail et les aidera à élaborer un code de meilleure qualité.
Gommez les faiblesses, renforcez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, et pourtant elles sont étonnamment courantes. Le rapport 2019 de Symantec sur les menaces de sécurité Internet a confirmé que plus de 70 millions d'enregistrements ont été volés à la suite de buckets S3 mal configurés. Les erreurs de configuration de la sécurité sont l'une des principales causes des violations de données, l'erreur humaine étant à l'origine d'environ un quart d'entre elles.
Ces problèmes sont dus à un certain nombre de raisons, mais le manque de sensibilisation et de formation à la sécurité est un facteur déterminant pour les petites fenêtres d'opportunité laissées ouvertes aux attaquants. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez faire en sorte qu'elle compte grâce à un cours conçu sur mesure pour votre entreprise. N'ayez aucune pitié pour vos ennemis et éliminez toutes les possibilités qu'ils ont de vous causer le plus grand mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact considérable auprès de nos clients, y compris ce fournisseur SaaS de comptabilité en nuage de premier plan :
Courses"Le parcours d'apprentissage sur mesure a changé la donne. La spécificité des langages de programmation et des vulnérabilités offre plus de contrôle et de flexibilité pour créer l'expérience d'apprentissage adéquate pour chaque développeur en fonction des besoins de l'individu et de l'entreprise. L'utilisation de Courses en conjonction avec la plateforme de codage sécurisé plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, en ce sens qu'ils sont maintenant plus intéressés par l'amélioration de leurs compétences en codage sécurisé afin d'écrire un code meilleur et plus sûr".
Préparez-vous à DevSec. Découvrez la toute nouvelle fonctionnalité de Secure Code Warriors Courses ici.
Table des matières
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.