Pourquoi la gamification est essentielle pour améliorer la sécurité de votre logiciel
Responsables de la sécurité des applications, RSSI, DSI et experts en cybersécurité : j'ai eu l'occasion de m'entretenir avec un grand nombre d'entre eux, qui travaillent dans divers types d'entreprises à travers le monde, tout au long de ma carrière dans le développement de logiciels et la sécurité.
Quelle que soit la spécificité de votre situation, l'expérience de votre équipe ou le temps que vous passez dans ce monde numérique en constante évolution, un problème demeure : il est rarement possible d'impliquer positivement votre équipe de développement en matière de sécurité. La sécurité reste un sujet délicat, source de conflits entre les équipes et véritable casse-tête pour le secteur.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre mentalité générale continue dans cette voie. Nous devons nous efforcer de changer le discours et faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux en matière de sécurité, par exemple grâce à la gamification.
La situation actuelle
Les développeurs sortent de l'université avec très peu de connaissances pratiques sur la livraison de code sécurisé et occupent des postes où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, elle fait généralement partie des vidéos obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne se laisserait convaincre par le codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport sur une erreur lors d'un audit ou d'un test qui, soudainement, interrompt la publication d'une version future et devient une interruption immédiate et prioritaire de leur esprit créatif. Ils sont en désaccord avec les responsables des rapports de sécurité, et pensent donc que « sécurité » devient synonyme de « critique ». Quelle situation regrettable.
Sincèrement, il est regrettable que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains de mes meilleurs souvenirs professionnels sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes débuts en tant que hacker à assister à des conférences, où je pouvais non seulement mettre mes compétences à l'épreuve (et, honnêtement, me vanter un peu) devant mes pairs, mais aussi m'amuser énormément en rencontrant des personnes partageant les mêmes idées et qui appréciaient autant que moi la création de logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi de mettre à profit nos compétences dans le cadre d'une compétition amicale. Bien que je n'admettrais jamais avoir participé à des événements aussi antisociaux, certains démontrent même leurs talents de pirates informatiques en volant les téléphones d'autres participants et en affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu consistant à rechercher ces failles (en les exploitant et en les corrigeant) afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me présenter devant des centaines d'enfants au Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens encore d'une élève de huit ans qui apprenait à utiliser des mots de passe par force brute et à coder en base64 tout en jouant.
La gamification est également utilisée pour enseigner les compétences en codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner la programmation à de très jeunes enfants, même jusqu'à l'âge de fréquenter l'école secondaire. Des enfants âgés de seulement quatre ans participent désormais régulièrement à des initiatives telles que CodeCamp, et il existe toute une série de programmes en ligne exceptionnels qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran Cubetto pour ma fille de quatre ans.
Cependant, malgré tout ce divertissement et ces progrès, il existe une lacune. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, j'ai réalisé que nous devions redonner à la sécurité son caractère inspirant et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la voie la plus simple à suivre.
J'ai un profond désir d'encourager et de former les développeurs en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est très importante et peut s'avérer vraiment passionnante.
Je ne suis pas seul dans mes réflexions.
La gamification peut rendre même les tâches les plus banales plus amusantes et maintenir les gens suffisamment engagés pour qu'ils aient envie de continuer à jouer, à gagner et à progresser. Il suffit de considérer le succès de Pokémon Go, qui a incité même les personnes les plus sédentaires à se lever de leur canapé, à sortir à l'extérieur et à rechercher des créatures imaginaires, ou encore FitBit, qui est devenu un objectif quotidien pour de nombreuses personnes souhaitant atteindre leur nombre de pas quotidien. Un sentiment de déception peut être ressenti si ces objectifs ne sont pas atteints, si les séries sont interrompues et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons démontré auprès de nombreux clients que la gamification est essentielle pour transformer véritablement la culture de sécurité de leurs organisations, établir des ponts entre AppSec et les équipes de développement et, de manière générale, les aider à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément convivial, compétitif et attrayant à vos méthodes d'entraînement, vous les encouragez non seulement à « jouer », mais aussi à continuer à accumuler des points, à battre des records, à améliorer leur précision et à défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/cadres.
- Les défis sont courts et couvrent toutes les vulnérabilités de sécurité courantes.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en termes de complexité, ce qui les rend attrayants tant pour les développeurs seniors que pour les moins expérimentés.
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau de précision global.
L'un de nos principaux clients a démontré la véritable efficacité d'une plateforme ludique lors de son lancement, en offrant à ses développeurs des équipements thématiques, en proposant des récompenses exceptionnelles aux gagnants des jeux et en faisant de son tournoi une journée mémorable. Depuis lors, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue d'accumuler de longues heures d'entraînement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption d'une formation ludique pour lutter contre les codes incorrects, avec une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de voir ce que notre client a réalisé avec son tournoi de haut niveau. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de changer le discours et de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux sur les questions de sécurité, par exemple grâce à la gamification.
Nous devons nous efforcer de changer le discours et de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux sur les questions de sécurité, par exemple grâce à la gamification.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Responsables de la sécurité des applications, RSSI, DSI et experts en cybersécurité : j'ai eu l'occasion de m'entretenir avec un grand nombre d'entre eux, qui travaillent dans divers types d'entreprises à travers le monde, tout au long de ma carrière dans le développement de logiciels et la sécurité.
Quelle que soit la spécificité de votre situation, l'expérience de votre équipe ou le temps que vous passez dans ce monde numérique en constante évolution, un problème demeure : il est rarement possible d'impliquer positivement votre équipe de développement en matière de sécurité. La sécurité reste un sujet délicat, source de conflits entre les équipes et véritable casse-tête pour le secteur.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre mentalité générale continue dans cette voie. Nous devons nous efforcer de changer le discours et faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux en matière de sécurité, par exemple grâce à la gamification.
La situation actuelle
Les développeurs sortent de l'université avec très peu de connaissances pratiques sur la livraison de code sécurisé et occupent des postes où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, elle fait généralement partie des vidéos obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne se laisserait convaincre par le codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport sur une erreur lors d'un audit ou d'un test qui, soudainement, interrompt la publication d'une version future et devient une interruption immédiate et prioritaire de leur esprit créatif. Ils sont en désaccord avec les responsables des rapports de sécurité, et pensent donc que « sécurité » devient synonyme de « critique ». Quelle situation regrettable.
Sincèrement, il est regrettable que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains de mes meilleurs souvenirs professionnels sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes débuts en tant que hacker à assister à des conférences, où je pouvais non seulement mettre mes compétences à l'épreuve (et, honnêtement, me vanter un peu) devant mes pairs, mais aussi m'amuser énormément en rencontrant des personnes partageant les mêmes idées et qui appréciaient autant que moi la création de logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi de mettre à profit nos compétences dans le cadre d'une compétition amicale. Bien que je n'admettrais jamais avoir participé à des événements aussi antisociaux, certains démontrent même leurs talents de pirates informatiques en volant les téléphones d'autres participants et en affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu consistant à rechercher ces failles (en les exploitant et en les corrigeant) afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me présenter devant des centaines d'enfants au Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens encore d'une élève de huit ans qui apprenait à utiliser des mots de passe par force brute et à coder en base64 tout en jouant.
La gamification est également utilisée pour enseigner les compétences en codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner la programmation à de très jeunes enfants, même jusqu'à l'âge de fréquenter l'école secondaire. Des enfants âgés de seulement quatre ans participent désormais régulièrement à des initiatives telles que CodeCamp, et il existe toute une série de programmes en ligne exceptionnels qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran Cubetto pour ma fille de quatre ans.
Cependant, malgré tout ce divertissement et ces progrès, il existe une lacune. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, j'ai réalisé que nous devions redonner à la sécurité son caractère inspirant et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la voie la plus simple à suivre.
J'ai un profond désir d'encourager et de former les développeurs en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est très importante et peut s'avérer vraiment passionnante.
Je ne suis pas seul dans mes réflexions.
La gamification peut rendre même les tâches les plus banales plus amusantes et maintenir les gens suffisamment engagés pour qu'ils aient envie de continuer à jouer, à gagner et à progresser. Il suffit de considérer le succès de Pokémon Go, qui a incité même les personnes les plus sédentaires à se lever de leur canapé, à sortir à l'extérieur et à rechercher des créatures imaginaires, ou encore FitBit, qui est devenu un objectif quotidien pour de nombreuses personnes souhaitant atteindre leur nombre de pas quotidien. Un sentiment de déception peut être ressenti si ces objectifs ne sont pas atteints, si les séries sont interrompues et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons démontré auprès de nombreux clients que la gamification est essentielle pour transformer véritablement la culture de sécurité de leurs organisations, établir des ponts entre AppSec et les équipes de développement et, de manière générale, les aider à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément convivial, compétitif et attrayant à vos méthodes d'entraînement, vous les encouragez non seulement à « jouer », mais aussi à continuer à accumuler des points, à battre des records, à améliorer leur précision et à défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/cadres.
- Les défis sont courts et couvrent toutes les vulnérabilités de sécurité courantes.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en termes de complexité, ce qui les rend attrayants tant pour les développeurs seniors que pour les moins expérimentés.
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau de précision global.
L'un de nos principaux clients a démontré la véritable efficacité d'une plateforme ludique lors de son lancement, en offrant à ses développeurs des équipements thématiques, en proposant des récompenses exceptionnelles aux gagnants des jeux et en faisant de son tournoi une journée mémorable. Depuis lors, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue d'accumuler de longues heures d'entraînement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption d'une formation ludique pour lutter contre les codes incorrects, avec une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de voir ce que notre client a réalisé avec son tournoi de haut niveau. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de changer le discours et de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux sur les questions de sécurité, par exemple grâce à la gamification.
Responsables de la sécurité des applications, RSSI, DSI et experts en cybersécurité : j'ai eu l'occasion de m'entretenir avec un grand nombre d'entre eux, qui travaillent dans divers types d'entreprises à travers le monde, tout au long de ma carrière dans le développement de logiciels et la sécurité.
Quelle que soit la spécificité de votre situation, l'expérience de votre équipe ou le temps que vous passez dans ce monde numérique en constante évolution, un problème demeure : il est rarement possible d'impliquer positivement votre équipe de développement en matière de sécurité. La sécurité reste un sujet délicat, source de conflits entre les équipes et véritable casse-tête pour le secteur.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre mentalité générale continue dans cette voie. Nous devons nous efforcer de changer le discours et faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux en matière de sécurité, par exemple grâce à la gamification.
La situation actuelle
Les développeurs sortent de l'université avec très peu de connaissances pratiques sur la livraison de code sécurisé et occupent des postes où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, elle fait généralement partie des vidéos obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne se laisserait convaincre par le codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport sur une erreur lors d'un audit ou d'un test qui, soudainement, interrompt la publication d'une version future et devient une interruption immédiate et prioritaire de leur esprit créatif. Ils sont en désaccord avec les responsables des rapports de sécurité, et pensent donc que « sécurité » devient synonyme de « critique ». Quelle situation regrettable.
Sincèrement, il est regrettable que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains de mes meilleurs souvenirs professionnels sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes débuts en tant que hacker à assister à des conférences, où je pouvais non seulement mettre mes compétences à l'épreuve (et, honnêtement, me vanter un peu) devant mes pairs, mais aussi m'amuser énormément en rencontrant des personnes partageant les mêmes idées et qui appréciaient autant que moi la création de logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi de mettre à profit nos compétences dans le cadre d'une compétition amicale. Bien que je n'admettrais jamais avoir participé à des événements aussi antisociaux, certains démontrent même leurs talents de pirates informatiques en volant les téléphones d'autres participants et en affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu consistant à rechercher ces failles (en les exploitant et en les corrigeant) afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me présenter devant des centaines d'enfants au Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens encore d'une élève de huit ans qui apprenait à utiliser des mots de passe par force brute et à coder en base64 tout en jouant.
La gamification est également utilisée pour enseigner les compétences en codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner la programmation à de très jeunes enfants, même jusqu'à l'âge de fréquenter l'école secondaire. Des enfants âgés de seulement quatre ans participent désormais régulièrement à des initiatives telles que CodeCamp, et il existe toute une série de programmes en ligne exceptionnels qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran Cubetto pour ma fille de quatre ans.
Cependant, malgré tout ce divertissement et ces progrès, il existe une lacune. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, j'ai réalisé que nous devions redonner à la sécurité son caractère inspirant et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la voie la plus simple à suivre.
J'ai un profond désir d'encourager et de former les développeurs en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est très importante et peut s'avérer vraiment passionnante.
Je ne suis pas seul dans mes réflexions.
La gamification peut rendre même les tâches les plus banales plus amusantes et maintenir les gens suffisamment engagés pour qu'ils aient envie de continuer à jouer, à gagner et à progresser. Il suffit de considérer le succès de Pokémon Go, qui a incité même les personnes les plus sédentaires à se lever de leur canapé, à sortir à l'extérieur et à rechercher des créatures imaginaires, ou encore FitBit, qui est devenu un objectif quotidien pour de nombreuses personnes souhaitant atteindre leur nombre de pas quotidien. Un sentiment de déception peut être ressenti si ces objectifs ne sont pas atteints, si les séries sont interrompues et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons démontré auprès de nombreux clients que la gamification est essentielle pour transformer véritablement la culture de sécurité de leurs organisations, établir des ponts entre AppSec et les équipes de développement et, de manière générale, les aider à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément convivial, compétitif et attrayant à vos méthodes d'entraînement, vous les encouragez non seulement à « jouer », mais aussi à continuer à accumuler des points, à battre des records, à améliorer leur précision et à défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/cadres.
- Les défis sont courts et couvrent toutes les vulnérabilités de sécurité courantes.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en termes de complexité, ce qui les rend attrayants tant pour les développeurs seniors que pour les moins expérimentés.
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau de précision global.
L'un de nos principaux clients a démontré la véritable efficacité d'une plateforme ludique lors de son lancement, en offrant à ses développeurs des équipements thématiques, en proposant des récompenses exceptionnelles aux gagnants des jeux et en faisant de son tournoi une journée mémorable. Depuis lors, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue d'accumuler de longues heures d'entraînement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption d'une formation ludique pour lutter contre les codes incorrects, avec une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de voir ce que notre client a réalisé avec son tournoi de haut niveau. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de changer le discours et de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux sur les questions de sécurité, par exemple grâce à la gamification.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Responsables de la sécurité des applications, RSSI, DSI et experts en cybersécurité : j'ai eu l'occasion de m'entretenir avec un grand nombre d'entre eux, qui travaillent dans divers types d'entreprises à travers le monde, tout au long de ma carrière dans le développement de logiciels et la sécurité.
Quelle que soit la spécificité de votre situation, l'expérience de votre équipe ou le temps que vous passez dans ce monde numérique en constante évolution, un problème demeure : il est rarement possible d'impliquer positivement votre équipe de développement en matière de sécurité. La sécurité reste un sujet délicat, source de conflits entre les équipes et véritable casse-tête pour le secteur.
Cependant, la sécurité des logiciels est tout simplement trop importante pour que notre mentalité générale continue dans cette voie. Nous devons nous efforcer de changer le discours et faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux en matière de sécurité, par exemple grâce à la gamification.
La situation actuelle
Les développeurs sortent de l'université avec très peu de connaissances pratiques sur la livraison de code sécurisé et occupent des postes où la formation à la sécurité est rarement une priorité (et lorsqu'elle l'est, elle fait généralement partie des vidéos obligatoires sur la santé et la sécurité, qui sont si ennuyeuses que personne ne se laisserait convaincre par le codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport sur une erreur lors d'un audit ou d'un test qui, soudainement, interrompt la publication d'une version future et devient une interruption immédiate et prioritaire de leur esprit créatif. Ils sont en désaccord avec les responsables des rapports de sécurité, et pensent donc que « sécurité » devient synonyme de « critique ». Quelle situation regrettable.
Sincèrement, il est regrettable que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains de mes meilleurs souvenirs professionnels sont liés à l'apprentissage de la sécurité des logiciels. J'ai passé mes débuts en tant que hacker à assister à des conférences, où je pouvais non seulement mettre mes compétences à l'épreuve (et, honnêtement, me vanter un peu) devant mes pairs, mais aussi m'amuser énormément en rencontrant des personnes partageant les mêmes idées et qui appréciaient autant que moi la création de logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi de mettre à profit nos compétences dans le cadre d'une compétition amicale. Bien que je n'admettrais jamais avoir participé à des événements aussi antisociaux, certains démontrent même leurs talents de pirates informatiques en volant les téléphones d'autres participants et en affichant leurs informations sur les écrans de présentation pour que tout le monde puisse les voir. C'est devenu un jeu consistant à rechercher ces failles (en les exploitant et en les corrigeant) afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de me présenter devant des centaines d'enfants au Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens encore d'une élève de huit ans qui apprenait à utiliser des mots de passe par force brute et à coder en base64 tout en jouant.
La gamification est également utilisée pour enseigner les compétences en codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner la programmation à de très jeunes enfants, même jusqu'à l'âge de fréquenter l'école secondaire. Des enfants âgés de seulement quatre ans participent désormais régulièrement à des initiatives telles que CodeCamp, et il existe toute une série de programmes en ligne exceptionnels qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran Cubetto pour ma fille de quatre ans.
Cependant, malgré tout ce divertissement et ces progrès, il existe une lacune. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, j'ai réalisé que nous devions redonner à la sécurité son caractère inspirant et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la voie la plus simple à suivre.
J'ai un profond désir d'encourager et de former les développeurs en matière de sécurité, et c'est cette passion qui m'a conduit à créer Secure Code Warrior. La sécurité des logiciels est très importante et peut s'avérer vraiment passionnante.
Je ne suis pas seul dans mes réflexions.
La gamification peut rendre même les tâches les plus banales plus amusantes et maintenir les gens suffisamment engagés pour qu'ils aient envie de continuer à jouer, à gagner et à progresser. Il suffit de considérer le succès de Pokémon Go, qui a incité même les personnes les plus sédentaires à se lever de leur canapé, à sortir à l'extérieur et à rechercher des créatures imaginaires, ou encore FitBit, qui est devenu un objectif quotidien pour de nombreuses personnes souhaitant atteindre leur nombre de pas quotidien. Un sentiment de déception peut être ressenti si ces objectifs ne sont pas atteints, si les séries sont interrompues et si les badges ne sont pas gagnés.
Revenons donc à la formation à la sécurité. Nous avons démontré auprès de nombreux clients que la gamification est essentielle pour transformer véritablement la culture de sécurité de leurs organisations, établir des ponts entre AppSec et les équipes de développement et, de manière générale, les aider à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité du développeur. En ajoutant un élément convivial, compétitif et attrayant à vos méthodes d'entraînement, vous les encouragez non seulement à « jouer », mais aussi à continuer à accumuler des points, à battre des records, à améliorer leur précision et à défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs peuvent travailler sur du code réel et dans leurs propres langages/cadres.
- Les défis sont courts et couvrent toutes les vulnérabilités de sécurité courantes.
- Les défis sont constamment élargis et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps.
- Les défis varient en termes de complexité, ce qui les rend attrayants tant pour les développeurs seniors que pour les moins expérimentés.
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, y compris les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau de précision global.
L'un de nos principaux clients a démontré la véritable efficacité d'une plateforme ludique lors de son lancement, en offrant à ses développeurs des équipements thématiques, en proposant des récompenses exceptionnelles aux gagnants des jeux et en faisant de son tournoi une journée mémorable. Depuis lors, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue d'accumuler de longues heures d'entraînement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption d'une formation ludique pour lutter contre les codes incorrects, avec une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de voir ce que notre client a réalisé avec son tournoi de haut niveau. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de changer le discours et de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et d'interagir avec eux sur les questions de sécurité, par exemple grâce à la gamification.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
