Pourquoi l'apprentissage par échafaudage forme des développeurs dotés d'une solide assurance
Après seulement quelques minutes passées à parcourir les actualités technologiques, il apparaît clairement à quel point le paysage des menaces devient préoccupant. Il semble que chaque jour apporte son lot de rapports faisant état d'une violation importante, d'une nouvelle vulnérabilité ou d'une menace grave d'exploitation active par des cyberattaquants et des criminels. Presque tous les rapports et indicateurs du secteur font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, les professionnels de la sécurité informatique de première ligne sont épuisés et en sous-effectif. Malgré des salaires élevés et leur rôle pratiquement indispensable pour toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tous. Dans une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait causé des dommages directs et mesurables à leur organisation. Rien qu'aux États-Unis, le rapport indiquait qu'il y avait plus de 520 000 postes à pourvoir dans le domaine de la cybersécurité, alors que ce secteur ne compte qu'environ 940 000 employés.
À l'échelle mondiale, il existe actuellement environ 3,5 millions d'emplois vacants dans le domaine de la cybersécurité, ce qui signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir des professionnels hautement qualifiés rencontrent des difficultés pour trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps supplémentaire pour pourvoir un poste dans le domaine de la cybersécurité par rapport à tout autre poste, si tant est qu'il soit possible de le pourvoir.
La qualification des développeurs a été négligée pendant trop longtemps.
Nous avons observé dans de nombreux articles précédents qu'il est possible de faire appel aux développeurs pour combler certaines lacunes critiques dans les défenses de cybersécurité. Cependant, traditionnellement, les développeurs ne recevaient aucune formation en matière de cybersécurité. Leur performance professionnelle était presque exclusivement basée sur la rapidité et le temps de mise en œuvre. La sécurité était la responsabilité des équipes AppSec en aval.
Malheureusement, il ne suffit pas de changer de sujet et de demander aux développeurs de commencer soudainement à ajouter des mesures de sécurité à leurs applications et programmes. Même s'ils sont disposés à apporter ces modifications, et les enquêtes ont démontré que beaucoup d'entre eux le sont, ils ont encore besoin de formation pour y parvenir. Ils ont également besoin de l'encouragement et du soutien de la haute direction, mais le premier obstacle, et souvent le plus important, est de disposer de la possibilité d'apprendre de manière significative.
Il existe une raison pour laquelle des millions de postes hautement sécurisés et bien rémunérés dans le domaine de la sécurité informatique restent vacants à travers le monde. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Apprendre à lutter contre les menaces et à éliminer les vulnérabilités du code est difficile, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement experts en technologie, ne peut se faire efficacement avec une formation statique qui évolue rapidement et qui n'est pas facile à mémoriser, et aura un impact positif minimal, surtout si ces exigences s'ajoutent à leurs emplois du temps déjà surchargés.
Veuillez construire un échafaudage pour atteindre un terrain plus élevé.
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à tenter de construire un gratte-ciel sans quitter le sol. Cela n'est pas possible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine complexe tel que la cybersécurité. Pour pallier cela, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsqu'une approche progressive ou « par étapes » est utilisée pour améliorer les compétences, les thèmes plus larges sont généralement divisés en expériences ou concepts d'apprentissage distincts. Cela garantit que les étudiants peuvent maîtriser chaque concept grâce à des exercices et des instructions appropriés, en fournissant tout le soutien nécessaire pour chaque composante. Les concepts les plus récents et les plus avancés viennent s'ajouter à ceux déjà maîtrisés, de la même manière que des échafaudages physiques sont construits au fur et à mesure que le bâtiment s'élève. De cette manière, les élèves peuvent atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, les étudiants assumant une plus grande responsabilité à mesure qu'ils acquièrent de plus en plus de connaissances.
L'apprentissage par échafaudage est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les étudiants peuvent ressentir lorsqu'ils se sentent frustrés, intimidés ou découragés en essayant de réaliser une tâche difficile sans aide. Cependant, il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement complexe tel que la cybersécurité moderne. Loin d'être une manière de traiter les développeurs comme des enfants, cette approche s'avère extrêmement utile lorsque leur expérience avec l'équipe de sécurité peut avoir le même effet frustrant et décourageant, en particulier lorsque leurs efforts sont récompensés par des corrections d'erreurs et une nouvelle série de critiques.
Lorsque les développeurs reçoivent des outils pour comprendre les principes fondamentaux du codage sécurisé (généralement en commençant par le Top 10 de l'OWASP), ils peuvent vérifier par eux-mêmes comment les failles de sécurité se produisent, pourquoi elles sont dangereuses et comment les corriger avant qu'elles ne se retrouvent en production. À partir de là, ils peuvent approfondir leurs connaissances en abordant des vulnérabilités plus complexes et en acquérant une expérience pratique dans la mise en œuvre de solutions appropriées. Les couches s'épaississent progressivement, et lorsqu'il s'agit de problèmes de sécurité avancés, tels qu'une architecture logicielle non sécurisée ou la création de modèles de menaces, ces avancées ne semblent plus aussi intimidantes et peuvent être abordées avec précision.
En tant qu'industrie, nous ne devons jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour former les développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En tant qu'avantage supplémentaire pour les organisations qui travaillent dans l'ingénierie et améliorent leurs compétences, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une amélioration de la cybersécurité à mesure qu'elles apprendront. Il n'est pas nécessaire d'attendre la fin d'un cours pour constater les résultats.
Il est difficile d'apprendre la cybersécurité, et il est presque impossible de la maîtriser sans une aide et une formation adéquates. L'adoption d'un programme de sécurité avec un apprentissage progressif peut vous aider à en tirer le meilleur parti, car les avantages sont visibles presque immédiatement. Les améliorations seront visibles presque immédiatement et continueront de s'améliorer au fil du temps.
Commencez à former des développeurs avec une sécurité solide grâce à notre aide ; consultez :
Cours
Missions
Formation pour développeurs
... et bien plus encore !
En tant qu'industrie, nous ne devons jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour former les développeurs afin qu'ils puissent produire des logiciels de meilleure qualité.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Après seulement quelques minutes passées à parcourir les actualités technologiques, il apparaît clairement à quel point le paysage des menaces devient préoccupant. Il semble que chaque jour apporte son lot de rapports faisant état d'une violation importante, d'une nouvelle vulnérabilité ou d'une menace grave d'exploitation active par des cyberattaquants et des criminels. Presque tous les rapports et indicateurs du secteur font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, les professionnels de la sécurité informatique de première ligne sont épuisés et en sous-effectif. Malgré des salaires élevés et leur rôle pratiquement indispensable pour toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tous. Dans une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait causé des dommages directs et mesurables à leur organisation. Rien qu'aux États-Unis, le rapport indiquait qu'il y avait plus de 520 000 postes à pourvoir dans le domaine de la cybersécurité, alors que ce secteur ne compte qu'environ 940 000 employés.
À l'échelle mondiale, il existe actuellement environ 3,5 millions d'emplois vacants dans le domaine de la cybersécurité, ce qui signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir des professionnels hautement qualifiés rencontrent des difficultés pour trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps supplémentaire pour pourvoir un poste dans le domaine de la cybersécurité par rapport à tout autre poste, si tant est qu'il soit possible de le pourvoir.
La qualification des développeurs a été négligée pendant trop longtemps.
Nous avons observé dans de nombreux articles précédents qu'il est possible de faire appel aux développeurs pour combler certaines lacunes critiques dans les défenses de cybersécurité. Cependant, traditionnellement, les développeurs ne recevaient aucune formation en matière de cybersécurité. Leur performance professionnelle était presque exclusivement basée sur la rapidité et le temps de mise en œuvre. La sécurité était la responsabilité des équipes AppSec en aval.
Malheureusement, il ne suffit pas de changer de sujet et de demander aux développeurs de commencer soudainement à ajouter des mesures de sécurité à leurs applications et programmes. Même s'ils sont disposés à apporter ces modifications, et les enquêtes ont démontré que beaucoup d'entre eux le sont, ils ont encore besoin de formation pour y parvenir. Ils ont également besoin de l'encouragement et du soutien de la haute direction, mais le premier obstacle, et souvent le plus important, est de disposer de la possibilité d'apprendre de manière significative.
Il existe une raison pour laquelle des millions de postes hautement sécurisés et bien rémunérés dans le domaine de la sécurité informatique restent vacants à travers le monde. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Apprendre à lutter contre les menaces et à éliminer les vulnérabilités du code est difficile, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement experts en technologie, ne peut se faire efficacement avec une formation statique qui évolue rapidement et qui n'est pas facile à mémoriser, et aura un impact positif minimal, surtout si ces exigences s'ajoutent à leurs emplois du temps déjà surchargés.
Veuillez construire un échafaudage pour atteindre un terrain plus élevé.
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à tenter de construire un gratte-ciel sans quitter le sol. Cela n'est pas possible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine complexe tel que la cybersécurité. Pour pallier cela, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsqu'une approche progressive ou « par étapes » est utilisée pour améliorer les compétences, les thèmes plus larges sont généralement divisés en expériences ou concepts d'apprentissage distincts. Cela garantit que les étudiants peuvent maîtriser chaque concept grâce à des exercices et des instructions appropriés, en fournissant tout le soutien nécessaire pour chaque composante. Les concepts les plus récents et les plus avancés viennent s'ajouter à ceux déjà maîtrisés, de la même manière que des échafaudages physiques sont construits au fur et à mesure que le bâtiment s'élève. De cette manière, les élèves peuvent atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, les étudiants assumant une plus grande responsabilité à mesure qu'ils acquièrent de plus en plus de connaissances.
L'apprentissage par échafaudage est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les étudiants peuvent ressentir lorsqu'ils se sentent frustrés, intimidés ou découragés en essayant de réaliser une tâche difficile sans aide. Cependant, il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement complexe tel que la cybersécurité moderne. Loin d'être une manière de traiter les développeurs comme des enfants, cette approche s'avère extrêmement utile lorsque leur expérience avec l'équipe de sécurité peut avoir le même effet frustrant et décourageant, en particulier lorsque leurs efforts sont récompensés par des corrections d'erreurs et une nouvelle série de critiques.
Lorsque les développeurs reçoivent des outils pour comprendre les principes fondamentaux du codage sécurisé (généralement en commençant par le Top 10 de l'OWASP), ils peuvent vérifier par eux-mêmes comment les failles de sécurité se produisent, pourquoi elles sont dangereuses et comment les corriger avant qu'elles ne se retrouvent en production. À partir de là, ils peuvent approfondir leurs connaissances en abordant des vulnérabilités plus complexes et en acquérant une expérience pratique dans la mise en œuvre de solutions appropriées. Les couches s'épaississent progressivement, et lorsqu'il s'agit de problèmes de sécurité avancés, tels qu'une architecture logicielle non sécurisée ou la création de modèles de menaces, ces avancées ne semblent plus aussi intimidantes et peuvent être abordées avec précision.
En tant qu'industrie, nous ne devons jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour former les développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En tant qu'avantage supplémentaire pour les organisations qui travaillent dans l'ingénierie et améliorent leurs compétences, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une amélioration de la cybersécurité à mesure qu'elles apprendront. Il n'est pas nécessaire d'attendre la fin d'un cours pour constater les résultats.
Il est difficile d'apprendre la cybersécurité, et il est presque impossible de la maîtriser sans une aide et une formation adéquates. L'adoption d'un programme de sécurité avec un apprentissage progressif peut vous aider à en tirer le meilleur parti, car les avantages sont visibles presque immédiatement. Les améliorations seront visibles presque immédiatement et continueront de s'améliorer au fil du temps.
Commencez à former des développeurs avec une sécurité solide grâce à notre aide ; consultez :
Cours
Missions
Formation pour développeurs
... et bien plus encore !
Après seulement quelques minutes passées à parcourir les actualités technologiques, il apparaît clairement à quel point le paysage des menaces devient préoccupant. Il semble que chaque jour apporte son lot de rapports faisant état d'une violation importante, d'une nouvelle vulnérabilité ou d'une menace grave d'exploitation active par des cyberattaquants et des criminels. Presque tous les rapports et indicateurs du secteur font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, les professionnels de la sécurité informatique de première ligne sont épuisés et en sous-effectif. Malgré des salaires élevés et leur rôle pratiquement indispensable pour toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tous. Dans une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait causé des dommages directs et mesurables à leur organisation. Rien qu'aux États-Unis, le rapport indiquait qu'il y avait plus de 520 000 postes à pourvoir dans le domaine de la cybersécurité, alors que ce secteur ne compte qu'environ 940 000 employés.
À l'échelle mondiale, il existe actuellement environ 3,5 millions d'emplois vacants dans le domaine de la cybersécurité, ce qui signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir des professionnels hautement qualifiés rencontrent des difficultés pour trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps supplémentaire pour pourvoir un poste dans le domaine de la cybersécurité par rapport à tout autre poste, si tant est qu'il soit possible de le pourvoir.
La qualification des développeurs a été négligée pendant trop longtemps.
Nous avons observé dans de nombreux articles précédents qu'il est possible de faire appel aux développeurs pour combler certaines lacunes critiques dans les défenses de cybersécurité. Cependant, traditionnellement, les développeurs ne recevaient aucune formation en matière de cybersécurité. Leur performance professionnelle était presque exclusivement basée sur la rapidité et le temps de mise en œuvre. La sécurité était la responsabilité des équipes AppSec en aval.
Malheureusement, il ne suffit pas de changer de sujet et de demander aux développeurs de commencer soudainement à ajouter des mesures de sécurité à leurs applications et programmes. Même s'ils sont disposés à apporter ces modifications, et les enquêtes ont démontré que beaucoup d'entre eux le sont, ils ont encore besoin de formation pour y parvenir. Ils ont également besoin de l'encouragement et du soutien de la haute direction, mais le premier obstacle, et souvent le plus important, est de disposer de la possibilité d'apprendre de manière significative.
Il existe une raison pour laquelle des millions de postes hautement sécurisés et bien rémunérés dans le domaine de la sécurité informatique restent vacants à travers le monde. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Apprendre à lutter contre les menaces et à éliminer les vulnérabilités du code est difficile, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement experts en technologie, ne peut se faire efficacement avec une formation statique qui évolue rapidement et qui n'est pas facile à mémoriser, et aura un impact positif minimal, surtout si ces exigences s'ajoutent à leurs emplois du temps déjà surchargés.
Veuillez construire un échafaudage pour atteindre un terrain plus élevé.
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à tenter de construire un gratte-ciel sans quitter le sol. Cela n'est pas possible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine complexe tel que la cybersécurité. Pour pallier cela, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsqu'une approche progressive ou « par étapes » est utilisée pour améliorer les compétences, les thèmes plus larges sont généralement divisés en expériences ou concepts d'apprentissage distincts. Cela garantit que les étudiants peuvent maîtriser chaque concept grâce à des exercices et des instructions appropriés, en fournissant tout le soutien nécessaire pour chaque composante. Les concepts les plus récents et les plus avancés viennent s'ajouter à ceux déjà maîtrisés, de la même manière que des échafaudages physiques sont construits au fur et à mesure que le bâtiment s'élève. De cette manière, les élèves peuvent atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, les étudiants assumant une plus grande responsabilité à mesure qu'ils acquièrent de plus en plus de connaissances.
L'apprentissage par échafaudage est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les étudiants peuvent ressentir lorsqu'ils se sentent frustrés, intimidés ou découragés en essayant de réaliser une tâche difficile sans aide. Cependant, il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement complexe tel que la cybersécurité moderne. Loin d'être une manière de traiter les développeurs comme des enfants, cette approche s'avère extrêmement utile lorsque leur expérience avec l'équipe de sécurité peut avoir le même effet frustrant et décourageant, en particulier lorsque leurs efforts sont récompensés par des corrections d'erreurs et une nouvelle série de critiques.
Lorsque les développeurs reçoivent des outils pour comprendre les principes fondamentaux du codage sécurisé (généralement en commençant par le Top 10 de l'OWASP), ils peuvent vérifier par eux-mêmes comment les failles de sécurité se produisent, pourquoi elles sont dangereuses et comment les corriger avant qu'elles ne se retrouvent en production. À partir de là, ils peuvent approfondir leurs connaissances en abordant des vulnérabilités plus complexes et en acquérant une expérience pratique dans la mise en œuvre de solutions appropriées. Les couches s'épaississent progressivement, et lorsqu'il s'agit de problèmes de sécurité avancés, tels qu'une architecture logicielle non sécurisée ou la création de modèles de menaces, ces avancées ne semblent plus aussi intimidantes et peuvent être abordées avec précision.
En tant qu'industrie, nous ne devons jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour former les développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En tant qu'avantage supplémentaire pour les organisations qui travaillent dans l'ingénierie et améliorent leurs compétences, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une amélioration de la cybersécurité à mesure qu'elles apprendront. Il n'est pas nécessaire d'attendre la fin d'un cours pour constater les résultats.
Il est difficile d'apprendre la cybersécurité, et il est presque impossible de la maîtriser sans une aide et une formation adéquates. L'adoption d'un programme de sécurité avec un apprentissage progressif peut vous aider à en tirer le meilleur parti, car les avantages sont visibles presque immédiatement. Les améliorations seront visibles presque immédiatement et continueront de s'améliorer au fil du temps.
Commencez à former des développeurs avec une sécurité solide grâce à notre aide ; consultez :
Cours
Missions
Formation pour développeurs
... et bien plus encore !
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Après seulement quelques minutes passées à parcourir les actualités technologiques, il apparaît clairement à quel point le paysage des menaces devient préoccupant. Il semble que chaque jour apporte son lot de rapports faisant état d'une violation importante, d'une nouvelle vulnérabilité ou d'une menace grave d'exploitation active par des cyberattaquants et des criminels. Presque tous les rapports et indicateurs du secteur font état d'un nombre croissant de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, les professionnels de la sécurité informatique de première ligne sont épuisés et en sous-effectif. Malgré des salaires élevés et leur rôle pratiquement indispensable pour toute entreprise ou organisation, il n'y a jamais assez de personnel de sécurité pour tous. Dans une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en matière de cybersécurité, et 71 % ont déclaré que cette pénurie avait causé des dommages directs et mesurables à leur organisation. Rien qu'aux États-Unis, le rapport indiquait qu'il y avait plus de 520 000 postes à pourvoir dans le domaine de la cybersécurité, alors que ce secteur ne compte qu'environ 940 000 employés.
À l'échelle mondiale, il existe actuellement environ 3,5 millions d'emplois vacants dans le domaine de la cybersécurité, ce qui signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir des professionnels hautement qualifiés rencontrent des difficultés pour trouver des candidats adéquats. En moyenne, il faut environ 21 % de temps supplémentaire pour pourvoir un poste dans le domaine de la cybersécurité par rapport à tout autre poste, si tant est qu'il soit possible de le pourvoir.
La qualification des développeurs a été négligée pendant trop longtemps.
Nous avons observé dans de nombreux articles précédents qu'il est possible de faire appel aux développeurs pour combler certaines lacunes critiques dans les défenses de cybersécurité. Cependant, traditionnellement, les développeurs ne recevaient aucune formation en matière de cybersécurité. Leur performance professionnelle était presque exclusivement basée sur la rapidité et le temps de mise en œuvre. La sécurité était la responsabilité des équipes AppSec en aval.
Malheureusement, il ne suffit pas de changer de sujet et de demander aux développeurs de commencer soudainement à ajouter des mesures de sécurité à leurs applications et programmes. Même s'ils sont disposés à apporter ces modifications, et les enquêtes ont démontré que beaucoup d'entre eux le sont, ils ont encore besoin de formation pour y parvenir. Ils ont également besoin de l'encouragement et du soutien de la haute direction, mais le premier obstacle, et souvent le plus important, est de disposer de la possibilité d'apprendre de manière significative.
Il existe une raison pour laquelle des millions de postes hautement sécurisés et bien rémunérés dans le domaine de la sécurité informatique restent vacants à travers le monde. Si c'était un travail facile, tout le monde se lancerait dans ce domaine. Apprendre à lutter contre les menaces et à éliminer les vulnérabilités du code est difficile, et le paysage des menaces évolue constamment. Tenter d'enseigner la cybersécurité, même à des développeurs relativement experts en technologie, ne peut se faire efficacement avec une formation statique qui évolue rapidement et qui n'est pas facile à mémoriser, et aura un impact positif minimal, surtout si ces exigences s'ajoutent à leurs emplois du temps déjà surchargés.
Veuillez construire un échafaudage pour atteindre un terrain plus élevé.
Enseigner les compétences en cybersécurité à l'aide de méthodes traditionnelles revient à tenter de construire un gratte-ciel sans quitter le sol. Cela n'est pas possible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine complexe tel que la cybersécurité. Pour pallier cela, le concept d'apprentissage par échafaudage peut être utilisé.
Lorsqu'une approche progressive ou « par étapes » est utilisée pour améliorer les compétences, les thèmes plus larges sont généralement divisés en expériences ou concepts d'apprentissage distincts. Cela garantit que les étudiants peuvent maîtriser chaque concept grâce à des exercices et des instructions appropriés, en fournissant tout le soutien nécessaire pour chaque composante. Les concepts les plus récents et les plus avancés viennent s'ajouter à ceux déjà maîtrisés, de la même manière que des échafaudages physiques sont construits au fur et à mesure que le bâtiment s'élève. De cette manière, les élèves peuvent atteindre des niveaux de compréhension et d'acquisition de compétences plus élevés que ceux qu'ils pourraient maîtriser sans aide.
Et tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, les étudiants assumant une plus grande responsabilité à mesure qu'ils acquièrent de plus en plus de connaissances.
L'apprentissage par échafaudage est principalement utilisé pour réduire les émotions négatives et les perceptions de soi que les étudiants peuvent ressentir lorsqu'ils se sentent frustrés, intimidés ou découragés en essayant de réaliser une tâche difficile sans aide. Cependant, il peut également s'avérer très utile lorsqu'il s'agit d'aborder un concept extrêmement complexe tel que la cybersécurité moderne. Loin d'être une manière de traiter les développeurs comme des enfants, cette approche s'avère extrêmement utile lorsque leur expérience avec l'équipe de sécurité peut avoir le même effet frustrant et décourageant, en particulier lorsque leurs efforts sont récompensés par des corrections d'erreurs et une nouvelle série de critiques.
Lorsque les développeurs reçoivent des outils pour comprendre les principes fondamentaux du codage sécurisé (généralement en commençant par le Top 10 de l'OWASP), ils peuvent vérifier par eux-mêmes comment les failles de sécurité se produisent, pourquoi elles sont dangereuses et comment les corriger avant qu'elles ne se retrouvent en production. À partir de là, ils peuvent approfondir leurs connaissances en abordant des vulnérabilités plus complexes et en acquérant une expérience pratique dans la mise en œuvre de solutions appropriées. Les couches s'épaississent progressivement, et lorsqu'il s'agit de problèmes de sécurité avancés, tels qu'une architecture logicielle non sécurisée ou la création de modèles de menaces, ces avancées ne semblent plus aussi intimidantes et peuvent être abordées avec précision.
En tant qu'industrie, nous ne devons jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les organisations peuvent adopter de nouvelles normes pour former les développeurs afin qu'ils puissent produire des logiciels de meilleure qualité. En tant qu'avantage supplémentaire pour les organisations qui travaillent dans l'ingénierie et améliorent leurs compétences, chaque étape du processus, ou chaque niveau d'échafaudage, se traduira directement par une amélioration de la cybersécurité à mesure qu'elles apprendront. Il n'est pas nécessaire d'attendre la fin d'un cours pour constater les résultats.
Il est difficile d'apprendre la cybersécurité, et il est presque impossible de la maîtriser sans une aide et une formation adéquates. L'adoption d'un programme de sécurité avec un apprentissage progressif peut vous aider à en tirer le meilleur parti, car les avantages sont visibles presque immédiatement. Les améliorations seront visibles presque immédiatement et continueront de s'améliorer au fil du temps.
Commencez à former des développeurs avec une sécurité solide grâce à notre aide ; consultez :
Cours
Missions
Formation pour développeurs
... et bien plus encore !
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
