Souhaitez-vous que les développeurs programment en tenant compte de la sécurité ? Veuillez mettre la formation à leur disposition.
Le cycle de vie du développement logiciel (SDLC) semble relativement simple ; il s'agit d'un processus, et les programmeurs collaborent pour réaliser cette prouesse et fournir tous ces avantages numériques dont la société ne peut se passer.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez que cela représente généralement un défi, avec de nombreuses missions à accomplir et des obstacles à surmonter. Cela peut être stimulant pendant un certain temps, mais l'épuisement est réel, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, en particulier l'équipe de développement.
Maintenant, imaginez qu'une autre tâche essentielle leur soit confiée : la responsabilité de la sécurité des éléments du projet sur lesquels ils travaillent. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne devienne tout simplement pas une priorité et que les questions jugées plus urgentes prennent le dessus. Et comme la plupart des développeurs ne sont pas formés à la programmation sécurisée (surtout si leurs administrateurs ne donnent pas non plus la priorité à la sécurité), il n'est pas surprenant que nous assistions fréquemment à des fuites de données, à des lancements d'applications défectueuses et à un abandon massif des professionnels de la sécurité qui atteignent un point de rupture en raison d'un afflux de codes défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En analysant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est considérée comme « trop difficile » pendant le processus de codage et pourquoi elle est laissée à la charge de l'équipe de sécurité. Il y a trop de délais contradictoires, pas assez de formation et aucune raison réelle de se soucier de la sécurité avec tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo perdure. C'est là que les développeurs d'élite peuvent se démarquer de leurs pairs, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Cependant, il est important de rappeler que la gestion de la sécurité des logiciels n'incombe pas uniquement aux développeurs, mais reste du ressort de l'équipe AppSec (qui, lorsqu'elle travaille avec des développeurs soucieux de la sécurité, aura plus de marge de manœuvre au lieu de corriger sans cesse les erreurs courantes). Un processus DevSecOps efficace exige que tous les membres de l'équipe bénéficient du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et une formation adéquate est essentielle. Trouver le juste équilibre entre les outils et la formation appropriés nécessite la vision de professionnels de la sécurité des applications prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser un changement positif.
La formation disruptive est plus gênante qu'efficace, et tout ce qui rebute les développeurs ne fonctionnera pas. Une alternative consiste à utiliser un IDE ou une solution intégrée avec un système de suivi des incidents qui se concentre sur les connaissances à petite échelle et leur fournit les informations adéquates au moment où ils en ont besoin.
Voici comment cela fonctionne en pratique :
Juste à temps, et non « au cas où ».
L'apprentissage pratique et contextuel est de loin la méthode de formation la plus efficace, car il fournit des informations concises au moment où elles sont le plus pertinentes. Parfois appelé « formation juste à temps » (JiT), il est particulièrement utile pour les développeurs qui apprennent à programmer en toute confiance.
Inspirée des principes de fabrication ajustée de Toyota, la formation iIT est conçue pour être activée en fonction du besoin de savoir, dans le contexte, lorsque cela est le plus important. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée s'ouvrait, permettant à un attaquant d'exécuter du code à distance ? Il serait beaucoup plus efficace que les développeurs puissent accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de rechercher dans la documentation Confluence ou sur Google quelque chose qui a été mentionné dans la formation.
L'apprentissage juste à temps est l'antithèse de l'apprentissage « au cas où » ; bien que ce dernier soit la forme la plus courante de transmission des connaissances, il n'est tout simplement pas efficace. Nous devons inciter les développeurs à s'intéresser aux meilleures pratiques en matière de programmation sécurisée et à prendre conscience des avantages liés à l'amélioration de leurs compétences professionnelles, tout en restant concentrés sur les objectifs clés sur lesquels ils travaillent actuellement.
Veuillez cesser d'exiger des développeurs qu'ils suivent la formation.
Nous sommes conscients qu'il y a déjà beaucoup à accomplir au cours d'une journée de travail. Par conséquent, quelle motivation les développeurs auraient-ils à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes et accéder à une formation basée sur une théorie statique ?
Le consensus général est que les mesures prises par la plupart des organisations ne sont pas très efficaces compte tenu du nombre de vulnérabilités à l'origine des fuites de données. Le rapport 2020 de Verizon sur les violations de données précise que 43 % des fuites de données pourraient être attribuées à des vulnérabilités web. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur, ni dans le cadre des mesures d'amélioration des qualifications sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que l'injection SQL et le parcours de route à l'ancienne ne seraient pas exploitées pour obtenir une quantité importante de données, et la pénurie de compétences en matière de cybersécurité ne serait pas hors de contrôle.
Par conséquent, sachant que tel est le contexte actuel dans lequel les développeurs reçoivent une formation et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Cela pourrait avoir un effet positif tant pour le développeur que pour l'organisation en garantissant une expérience de formation plus fluide, intégrée et moins contraignante, accessible depuis les espaces dans lesquels ils travaillent réellement, tels que Jira, GitHub et l'IDE. Le secteur doit simplement aller de l'avant et faciliter la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui accordent une grande importance à la sécurité sont reconnus pour leurs compétences et pour la protection qu'ils peuvent offrir aux organisations dès la phase de création du code. La sécurité n'est plus une option, surtout si l'on considère les amendes imposées par le RGPD, la conformité à la norme PCI-DSS, la gouvernance du NIST... et la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, comme dans le cas d'Equifax.
Une approche intégrée pourrait être le catalyseur permettant de commencer à convaincre les développeurs grâce à un apprentissage moins perturbateur et de créer des moyens de dispenser des cours plus approfondis, de former les défenseurs de la sécurité et, de manière générale, d'inspirer la responsabilité partagée dont nous avons besoin pour préserver la sécurité des données dans le monde.
Veuillez télécharger dès maintenant les outils d'intégration pour Jira et GitHub, et nous faire part de vos commentaires.
Nous sommes conscients qu'il y a déjà beaucoup à accomplir au cours d'une journée de travail. Par conséquent, quelle motivation les développeurs auraient-ils à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes et accéder à une formation basée sur une théorie statique ?
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Le cycle de vie du développement logiciel (SDLC) semble relativement simple ; il s'agit d'un processus, et les programmeurs collaborent pour réaliser cette prouesse et fournir tous ces avantages numériques dont la société ne peut se passer.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez que cela représente généralement un défi, avec de nombreuses missions à accomplir et des obstacles à surmonter. Cela peut être stimulant pendant un certain temps, mais l'épuisement est réel, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, en particulier l'équipe de développement.
Maintenant, imaginez qu'une autre tâche essentielle leur soit confiée : la responsabilité de la sécurité des éléments du projet sur lesquels ils travaillent. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne devienne tout simplement pas une priorité et que les questions jugées plus urgentes prennent le dessus. Et comme la plupart des développeurs ne sont pas formés à la programmation sécurisée (surtout si leurs administrateurs ne donnent pas non plus la priorité à la sécurité), il n'est pas surprenant que nous assistions fréquemment à des fuites de données, à des lancements d'applications défectueuses et à un abandon massif des professionnels de la sécurité qui atteignent un point de rupture en raison d'un afflux de codes défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En analysant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est considérée comme « trop difficile » pendant le processus de codage et pourquoi elle est laissée à la charge de l'équipe de sécurité. Il y a trop de délais contradictoires, pas assez de formation et aucune raison réelle de se soucier de la sécurité avec tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo perdure. C'est là que les développeurs d'élite peuvent se démarquer de leurs pairs, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Cependant, il est important de rappeler que la gestion de la sécurité des logiciels n'incombe pas uniquement aux développeurs, mais reste du ressort de l'équipe AppSec (qui, lorsqu'elle travaille avec des développeurs soucieux de la sécurité, aura plus de marge de manœuvre au lieu de corriger sans cesse les erreurs courantes). Un processus DevSecOps efficace exige que tous les membres de l'équipe bénéficient du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et une formation adéquate est essentielle. Trouver le juste équilibre entre les outils et la formation appropriés nécessite la vision de professionnels de la sécurité des applications prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser un changement positif.
La formation disruptive est plus gênante qu'efficace, et tout ce qui rebute les développeurs ne fonctionnera pas. Une alternative consiste à utiliser un IDE ou une solution intégrée avec un système de suivi des incidents qui se concentre sur les connaissances à petite échelle et leur fournit les informations adéquates au moment où ils en ont besoin.
Voici comment cela fonctionne en pratique :
Juste à temps, et non « au cas où ».
L'apprentissage pratique et contextuel est de loin la méthode de formation la plus efficace, car il fournit des informations concises au moment où elles sont le plus pertinentes. Parfois appelé « formation juste à temps » (JiT), il est particulièrement utile pour les développeurs qui apprennent à programmer en toute confiance.
Inspirée des principes de fabrication ajustée de Toyota, la formation iIT est conçue pour être activée en fonction du besoin de savoir, dans le contexte, lorsque cela est le plus important. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée s'ouvrait, permettant à un attaquant d'exécuter du code à distance ? Il serait beaucoup plus efficace que les développeurs puissent accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de rechercher dans la documentation Confluence ou sur Google quelque chose qui a été mentionné dans la formation.
L'apprentissage juste à temps est l'antithèse de l'apprentissage « au cas où » ; bien que ce dernier soit la forme la plus courante de transmission des connaissances, il n'est tout simplement pas efficace. Nous devons inciter les développeurs à s'intéresser aux meilleures pratiques en matière de programmation sécurisée et à prendre conscience des avantages liés à l'amélioration de leurs compétences professionnelles, tout en restant concentrés sur les objectifs clés sur lesquels ils travaillent actuellement.
Veuillez cesser d'exiger des développeurs qu'ils suivent la formation.
Nous sommes conscients qu'il y a déjà beaucoup à accomplir au cours d'une journée de travail. Par conséquent, quelle motivation les développeurs auraient-ils à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes et accéder à une formation basée sur une théorie statique ?
Le consensus général est que les mesures prises par la plupart des organisations ne sont pas très efficaces compte tenu du nombre de vulnérabilités à l'origine des fuites de données. Le rapport 2020 de Verizon sur les violations de données précise que 43 % des fuites de données pourraient être attribuées à des vulnérabilités web. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur, ni dans le cadre des mesures d'amélioration des qualifications sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que l'injection SQL et le parcours de route à l'ancienne ne seraient pas exploitées pour obtenir une quantité importante de données, et la pénurie de compétences en matière de cybersécurité ne serait pas hors de contrôle.
Par conséquent, sachant que tel est le contexte actuel dans lequel les développeurs reçoivent une formation et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Cela pourrait avoir un effet positif tant pour le développeur que pour l'organisation en garantissant une expérience de formation plus fluide, intégrée et moins contraignante, accessible depuis les espaces dans lesquels ils travaillent réellement, tels que Jira, GitHub et l'IDE. Le secteur doit simplement aller de l'avant et faciliter la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui accordent une grande importance à la sécurité sont reconnus pour leurs compétences et pour la protection qu'ils peuvent offrir aux organisations dès la phase de création du code. La sécurité n'est plus une option, surtout si l'on considère les amendes imposées par le RGPD, la conformité à la norme PCI-DSS, la gouvernance du NIST... et la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, comme dans le cas d'Equifax.
Une approche intégrée pourrait être le catalyseur permettant de commencer à convaincre les développeurs grâce à un apprentissage moins perturbateur et de créer des moyens de dispenser des cours plus approfondis, de former les défenseurs de la sécurité et, de manière générale, d'inspirer la responsabilité partagée dont nous avons besoin pour préserver la sécurité des données dans le monde.
Veuillez télécharger dès maintenant les outils d'intégration pour Jira et GitHub, et nous faire part de vos commentaires.
Le cycle de vie du développement logiciel (SDLC) semble relativement simple ; il s'agit d'un processus, et les programmeurs collaborent pour réaliser cette prouesse et fournir tous ces avantages numériques dont la société ne peut se passer.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez que cela représente généralement un défi, avec de nombreuses missions à accomplir et des obstacles à surmonter. Cela peut être stimulant pendant un certain temps, mais l'épuisement est réel, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, en particulier l'équipe de développement.
Maintenant, imaginez qu'une autre tâche essentielle leur soit confiée : la responsabilité de la sécurité des éléments du projet sur lesquels ils travaillent. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne devienne tout simplement pas une priorité et que les questions jugées plus urgentes prennent le dessus. Et comme la plupart des développeurs ne sont pas formés à la programmation sécurisée (surtout si leurs administrateurs ne donnent pas non plus la priorité à la sécurité), il n'est pas surprenant que nous assistions fréquemment à des fuites de données, à des lancements d'applications défectueuses et à un abandon massif des professionnels de la sécurité qui atteignent un point de rupture en raison d'un afflux de codes défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En analysant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est considérée comme « trop difficile » pendant le processus de codage et pourquoi elle est laissée à la charge de l'équipe de sécurité. Il y a trop de délais contradictoires, pas assez de formation et aucune raison réelle de se soucier de la sécurité avec tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo perdure. C'est là que les développeurs d'élite peuvent se démarquer de leurs pairs, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Cependant, il est important de rappeler que la gestion de la sécurité des logiciels n'incombe pas uniquement aux développeurs, mais reste du ressort de l'équipe AppSec (qui, lorsqu'elle travaille avec des développeurs soucieux de la sécurité, aura plus de marge de manœuvre au lieu de corriger sans cesse les erreurs courantes). Un processus DevSecOps efficace exige que tous les membres de l'équipe bénéficient du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et une formation adéquate est essentielle. Trouver le juste équilibre entre les outils et la formation appropriés nécessite la vision de professionnels de la sécurité des applications prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser un changement positif.
La formation disruptive est plus gênante qu'efficace, et tout ce qui rebute les développeurs ne fonctionnera pas. Une alternative consiste à utiliser un IDE ou une solution intégrée avec un système de suivi des incidents qui se concentre sur les connaissances à petite échelle et leur fournit les informations adéquates au moment où ils en ont besoin.
Voici comment cela fonctionne en pratique :
Juste à temps, et non « au cas où ».
L'apprentissage pratique et contextuel est de loin la méthode de formation la plus efficace, car il fournit des informations concises au moment où elles sont le plus pertinentes. Parfois appelé « formation juste à temps » (JiT), il est particulièrement utile pour les développeurs qui apprennent à programmer en toute confiance.
Inspirée des principes de fabrication ajustée de Toyota, la formation iIT est conçue pour être activée en fonction du besoin de savoir, dans le contexte, lorsque cela est le plus important. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée s'ouvrait, permettant à un attaquant d'exécuter du code à distance ? Il serait beaucoup plus efficace que les développeurs puissent accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de rechercher dans la documentation Confluence ou sur Google quelque chose qui a été mentionné dans la formation.
L'apprentissage juste à temps est l'antithèse de l'apprentissage « au cas où » ; bien que ce dernier soit la forme la plus courante de transmission des connaissances, il n'est tout simplement pas efficace. Nous devons inciter les développeurs à s'intéresser aux meilleures pratiques en matière de programmation sécurisée et à prendre conscience des avantages liés à l'amélioration de leurs compétences professionnelles, tout en restant concentrés sur les objectifs clés sur lesquels ils travaillent actuellement.
Veuillez cesser d'exiger des développeurs qu'ils suivent la formation.
Nous sommes conscients qu'il y a déjà beaucoup à accomplir au cours d'une journée de travail. Par conséquent, quelle motivation les développeurs auraient-ils à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes et accéder à une formation basée sur une théorie statique ?
Le consensus général est que les mesures prises par la plupart des organisations ne sont pas très efficaces compte tenu du nombre de vulnérabilités à l'origine des fuites de données. Le rapport 2020 de Verizon sur les violations de données précise que 43 % des fuites de données pourraient être attribuées à des vulnérabilités web. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur, ni dans le cadre des mesures d'amélioration des qualifications sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que l'injection SQL et le parcours de route à l'ancienne ne seraient pas exploitées pour obtenir une quantité importante de données, et la pénurie de compétences en matière de cybersécurité ne serait pas hors de contrôle.
Par conséquent, sachant que tel est le contexte actuel dans lequel les développeurs reçoivent une formation et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Cela pourrait avoir un effet positif tant pour le développeur que pour l'organisation en garantissant une expérience de formation plus fluide, intégrée et moins contraignante, accessible depuis les espaces dans lesquels ils travaillent réellement, tels que Jira, GitHub et l'IDE. Le secteur doit simplement aller de l'avant et faciliter la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui accordent une grande importance à la sécurité sont reconnus pour leurs compétences et pour la protection qu'ils peuvent offrir aux organisations dès la phase de création du code. La sécurité n'est plus une option, surtout si l'on considère les amendes imposées par le RGPD, la conformité à la norme PCI-DSS, la gouvernance du NIST... et la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, comme dans le cas d'Equifax.
Une approche intégrée pourrait être le catalyseur permettant de commencer à convaincre les développeurs grâce à un apprentissage moins perturbateur et de créer des moyens de dispenser des cours plus approfondis, de former les défenseurs de la sécurité et, de manière générale, d'inspirer la responsabilité partagée dont nous avons besoin pour préserver la sécurité des données dans le monde.
Veuillez télécharger dès maintenant les outils d'intégration pour Jira et GitHub, et nous faire part de vos commentaires.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Le cycle de vie du développement logiciel (SDLC) semble relativement simple ; il s'agit d'un processus, et les programmeurs collaborent pour réaliser cette prouesse et fournir tous ces avantages numériques dont la société ne peut se passer.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez que cela représente généralement un défi, avec de nombreuses missions à accomplir et des obstacles à surmonter. Cela peut être stimulant pendant un certain temps, mais l'épuisement est réel, et la demande en logiciels nous oblige tous à travailler à un rythme soutenu, en particulier l'équipe de développement.
Maintenant, imaginez qu'une autre tâche essentielle leur soit confiée : la responsabilité de la sécurité des éléments du projet sur lesquels ils travaillent. Dans le pire des cas, cela peut entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que cela ne devienne tout simplement pas une priorité et que les questions jugées plus urgentes prennent le dessus. Et comme la plupart des développeurs ne sont pas formés à la programmation sécurisée (surtout si leurs administrateurs ne donnent pas non plus la priorité à la sécurité), il n'est pas surprenant que nous assistions fréquemment à des fuites de données, à des lancements d'applications défectueuses et à un abandon massif des professionnels de la sécurité qui atteignent un point de rupture en raison d'un afflux de codes défectueux.
Les développeurs ont besoin d'un défenseur de la sécurité des applications.
En analysant le scénario ci-dessus, vous pouvez comprendre pourquoi la sécurité est considérée comme « trop difficile » pendant le processus de codage et pourquoi elle est laissée à la charge de l'équipe de sécurité. Il y a trop de délais contradictoires, pas assez de formation et aucune raison réelle de se soucier de la sécurité avec tout le reste. Cependant, la demande en matière de code est tout simplement trop importante pour que ce statu quo perdure. C'est là que les développeurs d'élite peuvent se démarquer de leurs pairs, acquérir de nouvelles compétences et, surtout, créer un code plus sécurisé.
Cependant, il est important de rappeler que la gestion de la sécurité des logiciels n'incombe pas uniquement aux développeurs, mais reste du ressort de l'équipe AppSec (qui, lorsqu'elle travaille avec des développeurs soucieux de la sécurité, aura plus de marge de manœuvre au lieu de corriger sans cesse les erreurs courantes). Un processus DevSecOps efficace exige que tous les membres de l'équipe bénéficient du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et une formation adéquate est essentielle. Trouver le juste équilibre entre les outils et la formation appropriés nécessite la vision de professionnels de la sécurité des applications prêts à travailler en étroite collaboration avec les développeurs afin de les inspirer et de favoriser un changement positif.
La formation disruptive est plus gênante qu'efficace, et tout ce qui rebute les développeurs ne fonctionnera pas. Une alternative consiste à utiliser un IDE ou une solution intégrée avec un système de suivi des incidents qui se concentre sur les connaissances à petite échelle et leur fournit les informations adéquates au moment où ils en ont besoin.
Voici comment cela fonctionne en pratique :
Juste à temps, et non « au cas où ».
L'apprentissage pratique et contextuel est de loin la méthode de formation la plus efficace, car il fournit des informations concises au moment où elles sont le plus pertinentes. Parfois appelé « formation juste à temps » (JiT), il est particulièrement utile pour les développeurs qui apprennent à programmer en toute confiance.
Inspirée des principes de fabrication ajustée de Toyota, la formation iIT est conçue pour être activée en fonction du besoin de savoir, dans le contexte, lorsque cela est le plus important. Un développeur vient-il d'écrire quelque chose qui semble comporter des autorisations incorrectes ? Que se passerait-il si une petite porte dérobée s'ouvrait, permettant à un attaquant d'exécuter du code à distance ? Il serait beaucoup plus efficace que les développeurs puissent accéder aux informations dont ils ont besoin au moment où ils en ont besoin, plutôt que de rechercher dans la documentation Confluence ou sur Google quelque chose qui a été mentionné dans la formation.
L'apprentissage juste à temps est l'antithèse de l'apprentissage « au cas où » ; bien que ce dernier soit la forme la plus courante de transmission des connaissances, il n'est tout simplement pas efficace. Nous devons inciter les développeurs à s'intéresser aux meilleures pratiques en matière de programmation sécurisée et à prendre conscience des avantages liés à l'amélioration de leurs compétences professionnelles, tout en restant concentrés sur les objectifs clés sur lesquels ils travaillent actuellement.
Veuillez cesser d'exiger des développeurs qu'ils suivent la formation.
Nous sommes conscients qu'il y a déjà beaucoup à accomplir au cours d'une journée de travail. Par conséquent, quelle motivation les développeurs auraient-ils à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes et accéder à une formation basée sur une théorie statique ?
Le consensus général est que les mesures prises par la plupart des organisations ne sont pas très efficaces compte tenu du nombre de vulnérabilités à l'origine des fuites de données. Le rapport 2020 de Verizon sur les violations de données précise que 43 % des fuites de données pourraient être attribuées à des vulnérabilités web. Les développeurs ne reçoivent pas de formation efficace, ni dans l'enseignement supérieur, ni dans le cadre des mesures d'amélioration des qualifications sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que l'injection SQL et le parcours de route à l'ancienne ne seraient pas exploitées pour obtenir une quantité importante de données, et la pénurie de compétences en matière de cybersécurité ne serait pas hors de contrôle.
Par conséquent, sachant que tel est le contexte actuel dans lequel les développeurs reçoivent une formation et se familiarisent avec la sécurité, pourquoi sommes-nous surpris par ces résultats médiocres ? Cela pourrait avoir un effet positif tant pour le développeur que pour l'organisation en garantissant une expérience de formation plus fluide, intégrée et moins contraignante, accessible depuis les espaces dans lesquels ils travaillent réellement, tels que Jira, GitHub et l'IDE. Le secteur doit simplement aller de l'avant et faciliter la sensibilisation à la sécurité, dans un environnement où cela n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui accordent une grande importance à la sécurité sont reconnus pour leurs compétences et pour la protection qu'ils peuvent offrir aux organisations dès la phase de création du code. La sécurité n'est plus une option, surtout si l'on considère les amendes imposées par le RGPD, la conformité à la norme PCI-DSS, la gouvernance du NIST... et la possibilité d'être poursuivi dans le cadre d'un recours collectif de plusieurs millions de dollars, comme dans le cas d'Equifax.
Une approche intégrée pourrait être le catalyseur permettant de commencer à convaincre les développeurs grâce à un apprentissage moins perturbateur et de créer des moyens de dispenser des cours plus approfondis, de former les défenseurs de la sécurité et, de manière générale, d'inspirer la responsabilité partagée dont nous avons besoin pour préserver la sécurité des données dans le monde.
Veuillez télécharger dès maintenant les outils d'intégration pour Jira et GitHub, et nous faire part de vos commentaires.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
