Souhaitez-vous que vos développeurs programment en tenant compte des aspects de sécurité ? Veuillez leur proposer une formation.
Le cycle de vie du développement logiciel (SDLC) semble suffisamment inoffensif ; il s'agit d'un processus, et nous, développeurs de logiciels, nous réunissons tous pour faire de la magie une réalité et envoyer toutes ces choses numériques dont la société ne peut se passer.
À moins que vous n'ayez déjà participé à un projet de développement logiciel, vous savez que c'est généralement un parcours semé d'embûches, avec de nombreuses quêtes à accomplir et des défis à relever. C'est agréable pendant un certain temps, mais l'épuisement professionnel est une réalité, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, même dans les meilleures conditions, en particulier l'équipe de développement.
Imaginez maintenant que l'on vous confie une autre tâche importante : la responsabilité de la sécurité des éléments du projet dont vous vous occupez. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne soit tout simplement pas considéré comme une priorité et que les problèmes jugés plus urgents pour franchir la frontière aient la priorité. Et si la plupart des développeurs ne sont pas formés à la programmation sécurisée (en particulier si leurs responsables ne font pas non plus de la sécurité une priorité), il n'est pas surprenant que nous assistions fréquemment à des violations de données, à des publications d'applications défectueuses et à un exode massif des experts en sécurité qui atteignent leurs limites face à une avalanche de code défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En examinant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est souvent considérée comme une tâche complexe pendant le processus de codage et est souvent confiée à l'équipe de sécurité. Trop de délais concurrents, trop peu de formation et aucune raison réelle de se soucier de la sécurité dans tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo puisse perdurer. C'est là que les développeurs d'élite peuvent se démarquer de leurs concurrents, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Il est toutefois important de rappeler que la gestion de la sécurité logicielle ne repose pas uniquement sur les épaules des développeurs : elle reste du ressort de l'équipe AppSec (qui, lorsqu'elle collabore avec des développeurs soucieux de la sécurité, dispose de plus de marge de manœuvre au lieu de devoir corriger sans cesse les mêmes erreurs fréquentes). Pour qu'un processus DevSecOps fonctionne, chaque membre de l'équipe doit disposer du soutien et des outils nécessaires pour assumer conjointement la responsabilité de la sécurité, et une formation adéquate est essentielle. Le choix des outils et des formations appropriés nécessite les connaissances d'experts en sécurité des applications qui sont prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser des changements positifs.
Les formations perturbatrices sont plus gênantes qu'efficaces, et tout ce qui décourage les développeurs ne fonctionnera pas. Une alternative consiste à utiliser une solution intégrée à un IDE ou à un outil de suivi des problèmes, qui se concentre sur les connaissances regroupées et fournit les informations pertinentes au moment où elles sont nécessaires.
Voici comment cela fonctionne en pratique :
Juste à temps, pas « au cas où ».
L'apprentissage contextuel et pratique est de loin la méthode la plus efficace pour se former, car les informations sont fournies sous forme de petites doses, au moment où elles sont le plus utiles. Cette méthode, parfois appelée formation « juste à temps » (JiT), est particulièrement utile pour les développeurs qui souhaitent apprendre à programmer en toute sécurité.
Inspiré des principes de la production allégée de Toyota, la formation JiT est conçue pour être activée selon les besoins et dans le contexte où elle est la plus importante. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée était ouverte, permettant à un pirate d'exécuter du code à distance ? Il sera beaucoup plus facile pour les développeurs d'accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de parcourir la documentation dans Confluence ou de rechercher sur Google un sujet abordé dans la formation.
Le « juste à temps » est le contraire de l'apprentissage préventif. Ce dernier est certes le mode de transmission des connaissances le plus courant, mais il n'est tout simplement pas efficace. Nous devons faciliter la tâche des développeurs afin qu'ils puissent se familiariser avec les méthodes éprouvées de programmation sécurisée et reconnaître les avantages d'une formation continue pour leur carrière, tout en se concentrant sur les objectifs les plus importants sur lesquels ils travaillent actuellement.
Veuillez cesser d'inciter les développeurs à suivre des formations.
Nous savons déjà qu'une journée de travail est très chargée. Quelle motivation les développeurs ont-ils donc à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes afin de participer à des formations basées sur des théories statiques ?
Le consensus général est que la plupart des mesures prises par les entreprises ne sont pas particulièrement efficaces, compte tenu du nombre de failles de sécurité qui conduisent à des violations de données. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des failles de sécurité sur Internet. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur ni dans le cadre de la formation continue sur le lieu de travail. Si tel était le cas, les failles de sécurité courantes telles que l'injection SQL et le cheminement de chemins à l'ancienne ne seraient pas exploitées pour obtenir des données importantes, et la pénurie de main-d'œuvre qualifiée dans le domaine de la cybersécurité ne serait pas devenue incontrôlable.
Si nous sommes conscients que tel est le contexte actuel dans lequel les développeurs sont formés et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Il pourrait être avantageux tant pour les développeurs que pour l'entreprise de garantir une expérience de formation plus fluide, plus intégrée et moins perturbante, où la formation est accessible dans les domaines où ils travaillent réellement, tels que Jira, GitHub et dans l'IDE. Le secteur doit simplement aller de l'avant et améliorer considérablement la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser le flux de travail de développement ?
Les développeurs soucieux de la sécurité sont reconnus pour leurs compétences et la protection qu'ils peuvent offrir aux entreprises dès la phase de création du code. La sécurité n'est plus une option, en particulier compte tenu des amendes prévues par le RGPD, des règles de conformité PCI-DSS, de la gestion du NIST... et de la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, à l'instar d'Equifax.
Une approche intégrée pourrait servir de catalyseur pour attirer les développeurs grâce à un apprentissage moins perturbateur et créer des opportunités pour des cours plus approfondis, former des experts en sécurité et, de manière générale, inspirer le sens des responsabilités collectives dont nous avons besoin pour garantir la sécurité des données dans le monde.
Téléchargez dès maintenant les outils d'intégration pour Jira et GitHub, et faites-nous part de vos commentaires.
Nous savons déjà qu'une journée de travail est très chargée. Quelle motivation les développeurs ont-ils donc à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes afin de participer à des formations basées sur des théories statiques ?
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Le cycle de vie du développement logiciel (SDLC) semble suffisamment inoffensif ; il s'agit d'un processus, et nous, développeurs de logiciels, nous réunissons tous pour faire de la magie une réalité et envoyer toutes ces choses numériques dont la société ne peut se passer.
À moins que vous n'ayez déjà participé à un projet de développement logiciel, vous savez que c'est généralement un parcours semé d'embûches, avec de nombreuses quêtes à accomplir et des défis à relever. C'est agréable pendant un certain temps, mais l'épuisement professionnel est une réalité, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, même dans les meilleures conditions, en particulier l'équipe de développement.
Imaginez maintenant que l'on vous confie une autre tâche importante : la responsabilité de la sécurité des éléments du projet dont vous vous occupez. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne soit tout simplement pas considéré comme une priorité et que les problèmes jugés plus urgents pour franchir la frontière aient la priorité. Et si la plupart des développeurs ne sont pas formés à la programmation sécurisée (en particulier si leurs responsables ne font pas non plus de la sécurité une priorité), il n'est pas surprenant que nous assistions fréquemment à des violations de données, à des publications d'applications défectueuses et à un exode massif des experts en sécurité qui atteignent leurs limites face à une avalanche de code défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En examinant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est souvent considérée comme une tâche complexe pendant le processus de codage et est souvent confiée à l'équipe de sécurité. Trop de délais concurrents, trop peu de formation et aucune raison réelle de se soucier de la sécurité dans tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo puisse perdurer. C'est là que les développeurs d'élite peuvent se démarquer de leurs concurrents, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Il est toutefois important de rappeler que la gestion de la sécurité logicielle ne repose pas uniquement sur les épaules des développeurs : elle reste du ressort de l'équipe AppSec (qui, lorsqu'elle collabore avec des développeurs soucieux de la sécurité, dispose de plus de marge de manœuvre au lieu de devoir corriger sans cesse les mêmes erreurs fréquentes). Pour qu'un processus DevSecOps fonctionne, chaque membre de l'équipe doit disposer du soutien et des outils nécessaires pour assumer conjointement la responsabilité de la sécurité, et une formation adéquate est essentielle. Le choix des outils et des formations appropriés nécessite les connaissances d'experts en sécurité des applications qui sont prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser des changements positifs.
Les formations perturbatrices sont plus gênantes qu'efficaces, et tout ce qui décourage les développeurs ne fonctionnera pas. Une alternative consiste à utiliser une solution intégrée à un IDE ou à un outil de suivi des problèmes, qui se concentre sur les connaissances regroupées et fournit les informations pertinentes au moment où elles sont nécessaires.
Voici comment cela fonctionne en pratique :
Juste à temps, pas « au cas où ».
L'apprentissage contextuel et pratique est de loin la méthode la plus efficace pour se former, car les informations sont fournies sous forme de petites doses, au moment où elles sont le plus utiles. Cette méthode, parfois appelée formation « juste à temps » (JiT), est particulièrement utile pour les développeurs qui souhaitent apprendre à programmer en toute sécurité.
Inspiré des principes de la production allégée de Toyota, la formation JiT est conçue pour être activée selon les besoins et dans le contexte où elle est la plus importante. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée était ouverte, permettant à un pirate d'exécuter du code à distance ? Il sera beaucoup plus facile pour les développeurs d'accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de parcourir la documentation dans Confluence ou de rechercher sur Google un sujet abordé dans la formation.
Le « juste à temps » est le contraire de l'apprentissage préventif. Ce dernier est certes le mode de transmission des connaissances le plus courant, mais il n'est tout simplement pas efficace. Nous devons faciliter la tâche des développeurs afin qu'ils puissent se familiariser avec les méthodes éprouvées de programmation sécurisée et reconnaître les avantages d'une formation continue pour leur carrière, tout en se concentrant sur les objectifs les plus importants sur lesquels ils travaillent actuellement.
Veuillez cesser d'inciter les développeurs à suivre des formations.
Nous savons déjà qu'une journée de travail est très chargée. Quelle motivation les développeurs ont-ils donc à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes afin de participer à des formations basées sur des théories statiques ?
Le consensus général est que la plupart des mesures prises par les entreprises ne sont pas particulièrement efficaces, compte tenu du nombre de failles de sécurité qui conduisent à des violations de données. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des failles de sécurité sur Internet. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur ni dans le cadre de la formation continue sur le lieu de travail. Si tel était le cas, les failles de sécurité courantes telles que l'injection SQL et le cheminement de chemins à l'ancienne ne seraient pas exploitées pour obtenir des données importantes, et la pénurie de main-d'œuvre qualifiée dans le domaine de la cybersécurité ne serait pas devenue incontrôlable.
Si nous sommes conscients que tel est le contexte actuel dans lequel les développeurs sont formés et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Il pourrait être avantageux tant pour les développeurs que pour l'entreprise de garantir une expérience de formation plus fluide, plus intégrée et moins perturbante, où la formation est accessible dans les domaines où ils travaillent réellement, tels que Jira, GitHub et dans l'IDE. Le secteur doit simplement aller de l'avant et améliorer considérablement la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser le flux de travail de développement ?
Les développeurs soucieux de la sécurité sont reconnus pour leurs compétences et la protection qu'ils peuvent offrir aux entreprises dès la phase de création du code. La sécurité n'est plus une option, en particulier compte tenu des amendes prévues par le RGPD, des règles de conformité PCI-DSS, de la gestion du NIST... et de la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, à l'instar d'Equifax.
Une approche intégrée pourrait servir de catalyseur pour attirer les développeurs grâce à un apprentissage moins perturbateur et créer des opportunités pour des cours plus approfondis, former des experts en sécurité et, de manière générale, inspirer le sens des responsabilités collectives dont nous avons besoin pour garantir la sécurité des données dans le monde.
Téléchargez dès maintenant les outils d'intégration pour Jira et GitHub, et faites-nous part de vos commentaires.
Le cycle de vie du développement logiciel (SDLC) semble suffisamment inoffensif ; il s'agit d'un processus, et nous, développeurs de logiciels, nous réunissons tous pour faire de la magie une réalité et envoyer toutes ces choses numériques dont la société ne peut se passer.
À moins que vous n'ayez déjà participé à un projet de développement logiciel, vous savez que c'est généralement un parcours semé d'embûches, avec de nombreuses quêtes à accomplir et des défis à relever. C'est agréable pendant un certain temps, mais l'épuisement professionnel est une réalité, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, même dans les meilleures conditions, en particulier l'équipe de développement.
Imaginez maintenant que l'on vous confie une autre tâche importante : la responsabilité de la sécurité des éléments du projet dont vous vous occupez. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne soit tout simplement pas considéré comme une priorité et que les problèmes jugés plus urgents pour franchir la frontière aient la priorité. Et si la plupart des développeurs ne sont pas formés à la programmation sécurisée (en particulier si leurs responsables ne font pas non plus de la sécurité une priorité), il n'est pas surprenant que nous assistions fréquemment à des violations de données, à des publications d'applications défectueuses et à un exode massif des experts en sécurité qui atteignent leurs limites face à une avalanche de code défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En examinant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est souvent considérée comme une tâche complexe pendant le processus de codage et est souvent confiée à l'équipe de sécurité. Trop de délais concurrents, trop peu de formation et aucune raison réelle de se soucier de la sécurité dans tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo puisse perdurer. C'est là que les développeurs d'élite peuvent se démarquer de leurs concurrents, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Il est toutefois important de rappeler que la gestion de la sécurité logicielle ne repose pas uniquement sur les épaules des développeurs : elle reste du ressort de l'équipe AppSec (qui, lorsqu'elle collabore avec des développeurs soucieux de la sécurité, dispose de plus de marge de manœuvre au lieu de devoir corriger sans cesse les mêmes erreurs fréquentes). Pour qu'un processus DevSecOps fonctionne, chaque membre de l'équipe doit disposer du soutien et des outils nécessaires pour assumer conjointement la responsabilité de la sécurité, et une formation adéquate est essentielle. Le choix des outils et des formations appropriés nécessite les connaissances d'experts en sécurité des applications qui sont prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser des changements positifs.
Les formations perturbatrices sont plus gênantes qu'efficaces, et tout ce qui décourage les développeurs ne fonctionnera pas. Une alternative consiste à utiliser une solution intégrée à un IDE ou à un outil de suivi des problèmes, qui se concentre sur les connaissances regroupées et fournit les informations pertinentes au moment où elles sont nécessaires.
Voici comment cela fonctionne en pratique :
Juste à temps, pas « au cas où ».
L'apprentissage contextuel et pratique est de loin la méthode la plus efficace pour se former, car les informations sont fournies sous forme de petites doses, au moment où elles sont le plus utiles. Cette méthode, parfois appelée formation « juste à temps » (JiT), est particulièrement utile pour les développeurs qui souhaitent apprendre à programmer en toute sécurité.
Inspiré des principes de la production allégée de Toyota, la formation JiT est conçue pour être activée selon les besoins et dans le contexte où elle est la plus importante. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée était ouverte, permettant à un pirate d'exécuter du code à distance ? Il sera beaucoup plus facile pour les développeurs d'accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de parcourir la documentation dans Confluence ou de rechercher sur Google un sujet abordé dans la formation.
Le « juste à temps » est le contraire de l'apprentissage préventif. Ce dernier est certes le mode de transmission des connaissances le plus courant, mais il n'est tout simplement pas efficace. Nous devons faciliter la tâche des développeurs afin qu'ils puissent se familiariser avec les méthodes éprouvées de programmation sécurisée et reconnaître les avantages d'une formation continue pour leur carrière, tout en se concentrant sur les objectifs les plus importants sur lesquels ils travaillent actuellement.
Veuillez cesser d'inciter les développeurs à suivre des formations.
Nous savons déjà qu'une journée de travail est très chargée. Quelle motivation les développeurs ont-ils donc à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes afin de participer à des formations basées sur des théories statiques ?
Le consensus général est que la plupart des mesures prises par les entreprises ne sont pas particulièrement efficaces, compte tenu du nombre de failles de sécurité qui conduisent à des violations de données. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des failles de sécurité sur Internet. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur ni dans le cadre de la formation continue sur le lieu de travail. Si tel était le cas, les failles de sécurité courantes telles que l'injection SQL et le cheminement de chemins à l'ancienne ne seraient pas exploitées pour obtenir des données importantes, et la pénurie de main-d'œuvre qualifiée dans le domaine de la cybersécurité ne serait pas devenue incontrôlable.
Si nous sommes conscients que tel est le contexte actuel dans lequel les développeurs sont formés et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Il pourrait être avantageux tant pour les développeurs que pour l'entreprise de garantir une expérience de formation plus fluide, plus intégrée et moins perturbante, où la formation est accessible dans les domaines où ils travaillent réellement, tels que Jira, GitHub et dans l'IDE. Le secteur doit simplement aller de l'avant et améliorer considérablement la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser le flux de travail de développement ?
Les développeurs soucieux de la sécurité sont reconnus pour leurs compétences et la protection qu'ils peuvent offrir aux entreprises dès la phase de création du code. La sécurité n'est plus une option, en particulier compte tenu des amendes prévues par le RGPD, des règles de conformité PCI-DSS, de la gestion du NIST... et de la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, à l'instar d'Equifax.
Une approche intégrée pourrait servir de catalyseur pour attirer les développeurs grâce à un apprentissage moins perturbateur et créer des opportunités pour des cours plus approfondis, former des experts en sécurité et, de manière générale, inspirer le sens des responsabilités collectives dont nous avons besoin pour garantir la sécurité des données dans le monde.
Téléchargez dès maintenant les outils d'intégration pour Jira et GitHub, et faites-nous part de vos commentaires.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Le cycle de vie du développement logiciel (SDLC) semble suffisamment inoffensif ; il s'agit d'un processus, et nous, développeurs de logiciels, nous réunissons tous pour faire de la magie une réalité et envoyer toutes ces choses numériques dont la société ne peut se passer.
À moins que vous n'ayez déjà participé à un projet de développement logiciel, vous savez que c'est généralement un parcours semé d'embûches, avec de nombreuses quêtes à accomplir et des défis à relever. C'est agréable pendant un certain temps, mais l'épuisement professionnel est une réalité, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, même dans les meilleures conditions, en particulier l'équipe de développement.
Imaginez maintenant que l'on vous confie une autre tâche importante : la responsabilité de la sécurité des éléments du projet dont vous vous occupez. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne soit tout simplement pas considéré comme une priorité et que les problèmes jugés plus urgents pour franchir la frontière aient la priorité. Et si la plupart des développeurs ne sont pas formés à la programmation sécurisée (en particulier si leurs responsables ne font pas non plus de la sécurité une priorité), il n'est pas surprenant que nous assistions fréquemment à des violations de données, à des publications d'applications défectueuses et à un exode massif des experts en sécurité qui atteignent leurs limites face à une avalanche de code défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En examinant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est souvent considérée comme une tâche complexe pendant le processus de codage et est souvent confiée à l'équipe de sécurité. Trop de délais concurrents, trop peu de formation et aucune raison réelle de se soucier de la sécurité dans tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo puisse perdurer. C'est là que les développeurs d'élite peuvent se démarquer de leurs concurrents, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Il est toutefois important de rappeler que la gestion de la sécurité logicielle ne repose pas uniquement sur les épaules des développeurs : elle reste du ressort de l'équipe AppSec (qui, lorsqu'elle collabore avec des développeurs soucieux de la sécurité, dispose de plus de marge de manœuvre au lieu de devoir corriger sans cesse les mêmes erreurs fréquentes). Pour qu'un processus DevSecOps fonctionne, chaque membre de l'équipe doit disposer du soutien et des outils nécessaires pour assumer conjointement la responsabilité de la sécurité, et une formation adéquate est essentielle. Le choix des outils et des formations appropriés nécessite les connaissances d'experts en sécurité des applications qui sont prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser des changements positifs.
Les formations perturbatrices sont plus gênantes qu'efficaces, et tout ce qui décourage les développeurs ne fonctionnera pas. Une alternative consiste à utiliser une solution intégrée à un IDE ou à un outil de suivi des problèmes, qui se concentre sur les connaissances regroupées et fournit les informations pertinentes au moment où elles sont nécessaires.
Voici comment cela fonctionne en pratique :
Juste à temps, pas « au cas où ».
L'apprentissage contextuel et pratique est de loin la méthode la plus efficace pour se former, car les informations sont fournies sous forme de petites doses, au moment où elles sont le plus utiles. Cette méthode, parfois appelée formation « juste à temps » (JiT), est particulièrement utile pour les développeurs qui souhaitent apprendre à programmer en toute sécurité.
Inspiré des principes de la production allégée de Toyota, la formation JiT est conçue pour être activée selon les besoins et dans le contexte où elle est la plus importante. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée était ouverte, permettant à un pirate d'exécuter du code à distance ? Il sera beaucoup plus facile pour les développeurs d'accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de parcourir la documentation dans Confluence ou de rechercher sur Google un sujet abordé dans la formation.
Le « juste à temps » est le contraire de l'apprentissage préventif. Ce dernier est certes le mode de transmission des connaissances le plus courant, mais il n'est tout simplement pas efficace. Nous devons faciliter la tâche des développeurs afin qu'ils puissent se familiariser avec les méthodes éprouvées de programmation sécurisée et reconnaître les avantages d'une formation continue pour leur carrière, tout en se concentrant sur les objectifs les plus importants sur lesquels ils travaillent actuellement.
Veuillez cesser d'inciter les développeurs à suivre des formations.
Nous savons déjà qu'une journée de travail est très chargée. Quelle motivation les développeurs ont-ils donc à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes afin de participer à des formations basées sur des théories statiques ?
Le consensus général est que la plupart des mesures prises par les entreprises ne sont pas particulièrement efficaces, compte tenu du nombre de failles de sécurité qui conduisent à des violations de données. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des failles de sécurité sur Internet. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur ni dans le cadre de la formation continue sur le lieu de travail. Si tel était le cas, les failles de sécurité courantes telles que l'injection SQL et le cheminement de chemins à l'ancienne ne seraient pas exploitées pour obtenir des données importantes, et la pénurie de main-d'œuvre qualifiée dans le domaine de la cybersécurité ne serait pas devenue incontrôlable.
Si nous sommes conscients que tel est le contexte actuel dans lequel les développeurs sont formés et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Il pourrait être avantageux tant pour les développeurs que pour l'entreprise de garantir une expérience de formation plus fluide, plus intégrée et moins perturbante, où la formation est accessible dans les domaines où ils travaillent réellement, tels que Jira, GitHub et dans l'IDE. Le secteur doit simplement aller de l'avant et améliorer considérablement la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser le flux de travail de développement ?
Les développeurs soucieux de la sécurité sont reconnus pour leurs compétences et la protection qu'ils peuvent offrir aux entreprises dès la phase de création du code. La sécurité n'est plus une option, en particulier compte tenu des amendes prévues par le RGPD, des règles de conformité PCI-DSS, de la gestion du NIST... et de la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, à l'instar d'Equifax.
Une approche intégrée pourrait servir de catalyseur pour attirer les développeurs grâce à un apprentissage moins perturbateur et créer des opportunités pour des cours plus approfondis, former des experts en sécurité et, de manière générale, inspirer le sens des responsabilités collectives dont nous avons besoin pour garantir la sécurité des données dans le monde.
Téléchargez dès maintenant les outils d'intégration pour Jira et GitHub, et faites-nous part de vos commentaires.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
