Apprentissage contextuel et pratique : le moyen le plus efficace d'entraîner votre cerveau à la sécurité
Je suis désolée, je dois vous annoncer une mauvaise nouvelle.
L'entraînement traditionnel est mort.
Eh bien, d'accord, ce n'est pas le cas... mais ça devrait probablement l'être. À maintes reprises, des études ont montré que le fait de placer un groupe de personnes dans une classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent une nouvelle formation est l'un des moyens les plus inefficaces pour les personnes de recevoir une éducation. Et en ce qui concerne la formation en entreprise, ces statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, constatant que cette méthode d'apprentissage nécessitait en moyenne huit à douze mois pour que les nouveaux employés soient opérationnels et productifs. C'est un très beaucoup de temps pour utiliser pleinement les compétences d'une personne (et beaucoup de temps pour se mettre à l'aise, si vous êtes la nouvelle recrue). De nos jours, la plupart des entreprises ne disposent pas de ce temps ; inévitablement, les coûts sont réduits, les personnes ne reçoivent pas la formation dont elles ont besoin et une entreprise perd une grande partie de la valeur qu'elle pourrait atteindre bien plus tôt.
Il est vraiment ahurissant de constater que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels scolaires arides et des formations vidéo époustouflantes pour intégrer au mieux les meilleures pratiques de l'entreprise ou les nouvelles initiatives, en particulier lorsqu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus utile : la formation contextuelle. Il s'avère que nous, les humains, sommes bien mieux à même de conserver les informations lorsque nous mettons en pratique de nouvelles idées et de nouveaux processus.
Maintenant, en ce qui concerne les développeurs... nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne met pas vraiment le feu à mon univers. Les développeurs ont tendance à résoudre les problèmes de manière créative et pleine de ressources et préfèrent utiliser les outils plutôt que de suivre des cours en classe ou de s'asseoir devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. En ce qui concerne la formation à la sécurité en particulier, il semble y avoir un net décalage dans le paysage actuel : les développeurs ne parviennent pas à corriger les vulnérabilités courantes de leur code, ce qui pousse les professionnels de la sécurité des applications à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes faciles à résoudre à maintes reprises. Les relations entre ces équipes sont tendues et les développeurs ne disposent pas des bons outils ni de la formation nécessaires pour suivre les meilleures pratiques de développement sécurisé. Leur objectif principal est de créer des fonctionnalités, mais comme les cyberrisques augmentent rapidement pour toutes les entreprises, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont conscients de la sécurité, ces vulnérabilités courantes commencent à disparaître. Les risques sont réduits, de même que les coûts liés à la correction des bogues de stade avancé (et AppSec arrête de perdre ses cheveux par poignée).
Alors, à quoi ressemble exactement la participation des développeurs à une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez si nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture et de la séquence des événements qui sont déclenchés pour vous déplacer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse parce qu'elle place l'étudiant aux commandes de tout ce qui est enseigné. Lorsque vous avez un contexte réel pour quelque chose, cela rend l'apprentissage beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, tout le monde peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la fourniture des fonctionnalités est prioritaire. Cependant, s'il était possible de passer en revue de vrais exemples de code, d'identifier l'injection et de la corriger dans le cadre d'un exercice d'entraînement, c'est-à-dire loin plus applicable au travail quotidien d'un développeur que d'essayer de conserver des informations à sens unique. C'est également plus facile pour un développeur. S'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et fera attention.
Sur le Secure Code Warrior plateforme, nous avons gamifié la formation au code sécurisé, proposant une grande variété de défis dans de nombreux langages et frameworks. Le système encourage le jeu répété et, surtout, il est instantanément personnalisable pour offrir le bon environnement pour un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, un apprentissage efficace ne se produit que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leurs propres cadres de référence individuels.
Imaginez qu'un développeur reçoive une liste de failles de sécurité provenant de programmes Bug Bounty, d'outils SAST ou de logiciels de suivi des bogues. Ils peuvent être perplexes, voire bouleversés, s'ils n'ont jamais découvert ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité de créer des liens directs vers des formations pratiques sur les vulnérabilités issues des programmes Bug Bounty, des outils SAST, des logiciels de suivi des bogues et des rapports de tests d'intrusion. Les développeurs peuvent immédiatement comprendre les bases et apprendre de bonnes recettes de codage pour leur framework particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur les concepts au moment où ils sont les plus pertinents, et ils ont beaucoup plus de chances de conserver ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, un contexte immédiat avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passez moins de temps en « mode étude » ou, pire encore, à devoir revenir sur des choses que vous avez déjà « apprises » lorsque vous avez besoin d'une réponse à quelque chose.
L'un des principes de la formation contextuelle est la capacité à tirer parti des connaissances pour que chaque composante de la formation s'ajoute à la précédente, ce qui permet de suivre un processus par étapes qui donne aux participants un chemin vers la maîtrise. Encore une fois, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceinture similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence avec une ceinture blanche, avant de passer à la ceinture noire tant convoitée, ou au niveau de « champion de la sécurité » après avoir passé les heures nécessaires à s'entraîner et à participer à des tournois. Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous souhaitez conserver les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils nécessaires pour réussir.
Malheureusement, à l'heure actuelle, les développeurs soucieux de la sécurité et les spécialistes de la sécurité des applications constituent une ressource rare (mais vitale). Ils sont également notoirement difficiles à conserver.
Cybrary a mené une enquête auprès de 3 100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'investir dans leur formation était un élément clé pour fidéliser de précieux employés. Leurs résultats montrent que les entreprises qui fournissent les outils et les formations nécessaires pour développer leurs compétences internes en matière de sécurité ont réussi à fidéliser les professionnels de la sécurité 60 % de plus que celles qui ne le faisaient pas, et 65 % des personnes interrogées ont préféré que cette formation soit pratique. C'est chouette, non ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de disposer d'une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Eh bien, je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour créer une culture de sécurité positive, améliorer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils adorent et protéger votre organisation des méchants. Demandez une démo et nous vous en montrerons plus.
Il est vraiment ahurissant de constater que de nombreux établissements comptent encore sur des salles de classe, des manuels scolaires arides et des formations vidéo époustouflantes pour intégrer le meilleur d'eux-mêmes à de nouvelles initiatives, en particulier lorsqu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus utile : la formation contextuelle.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Je suis désolée, je dois vous annoncer une mauvaise nouvelle.
L'entraînement traditionnel est mort.
Eh bien, d'accord, ce n'est pas le cas... mais ça devrait probablement l'être. À maintes reprises, des études ont montré que le fait de placer un groupe de personnes dans une classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent une nouvelle formation est l'un des moyens les plus inefficaces pour les personnes de recevoir une éducation. Et en ce qui concerne la formation en entreprise, ces statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, constatant que cette méthode d'apprentissage nécessitait en moyenne huit à douze mois pour que les nouveaux employés soient opérationnels et productifs. C'est un très beaucoup de temps pour utiliser pleinement les compétences d'une personne (et beaucoup de temps pour se mettre à l'aise, si vous êtes la nouvelle recrue). De nos jours, la plupart des entreprises ne disposent pas de ce temps ; inévitablement, les coûts sont réduits, les personnes ne reçoivent pas la formation dont elles ont besoin et une entreprise perd une grande partie de la valeur qu'elle pourrait atteindre bien plus tôt.
Il est vraiment ahurissant de constater que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels scolaires arides et des formations vidéo époustouflantes pour intégrer au mieux les meilleures pratiques de l'entreprise ou les nouvelles initiatives, en particulier lorsqu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus utile : la formation contextuelle. Il s'avère que nous, les humains, sommes bien mieux à même de conserver les informations lorsque nous mettons en pratique de nouvelles idées et de nouveaux processus.
Maintenant, en ce qui concerne les développeurs... nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne met pas vraiment le feu à mon univers. Les développeurs ont tendance à résoudre les problèmes de manière créative et pleine de ressources et préfèrent utiliser les outils plutôt que de suivre des cours en classe ou de s'asseoir devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. En ce qui concerne la formation à la sécurité en particulier, il semble y avoir un net décalage dans le paysage actuel : les développeurs ne parviennent pas à corriger les vulnérabilités courantes de leur code, ce qui pousse les professionnels de la sécurité des applications à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes faciles à résoudre à maintes reprises. Les relations entre ces équipes sont tendues et les développeurs ne disposent pas des bons outils ni de la formation nécessaires pour suivre les meilleures pratiques de développement sécurisé. Leur objectif principal est de créer des fonctionnalités, mais comme les cyberrisques augmentent rapidement pour toutes les entreprises, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont conscients de la sécurité, ces vulnérabilités courantes commencent à disparaître. Les risques sont réduits, de même que les coûts liés à la correction des bogues de stade avancé (et AppSec arrête de perdre ses cheveux par poignée).
Alors, à quoi ressemble exactement la participation des développeurs à une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez si nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture et de la séquence des événements qui sont déclenchés pour vous déplacer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse parce qu'elle place l'étudiant aux commandes de tout ce qui est enseigné. Lorsque vous avez un contexte réel pour quelque chose, cela rend l'apprentissage beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, tout le monde peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la fourniture des fonctionnalités est prioritaire. Cependant, s'il était possible de passer en revue de vrais exemples de code, d'identifier l'injection et de la corriger dans le cadre d'un exercice d'entraînement, c'est-à-dire loin plus applicable au travail quotidien d'un développeur que d'essayer de conserver des informations à sens unique. C'est également plus facile pour un développeur. S'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et fera attention.
Sur le Secure Code Warrior plateforme, nous avons gamifié la formation au code sécurisé, proposant une grande variété de défis dans de nombreux langages et frameworks. Le système encourage le jeu répété et, surtout, il est instantanément personnalisable pour offrir le bon environnement pour un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, un apprentissage efficace ne se produit que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leurs propres cadres de référence individuels.
Imaginez qu'un développeur reçoive une liste de failles de sécurité provenant de programmes Bug Bounty, d'outils SAST ou de logiciels de suivi des bogues. Ils peuvent être perplexes, voire bouleversés, s'ils n'ont jamais découvert ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité de créer des liens directs vers des formations pratiques sur les vulnérabilités issues des programmes Bug Bounty, des outils SAST, des logiciels de suivi des bogues et des rapports de tests d'intrusion. Les développeurs peuvent immédiatement comprendre les bases et apprendre de bonnes recettes de codage pour leur framework particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur les concepts au moment où ils sont les plus pertinents, et ils ont beaucoup plus de chances de conserver ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, un contexte immédiat avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passez moins de temps en « mode étude » ou, pire encore, à devoir revenir sur des choses que vous avez déjà « apprises » lorsque vous avez besoin d'une réponse à quelque chose.
L'un des principes de la formation contextuelle est la capacité à tirer parti des connaissances pour que chaque composante de la formation s'ajoute à la précédente, ce qui permet de suivre un processus par étapes qui donne aux participants un chemin vers la maîtrise. Encore une fois, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceinture similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence avec une ceinture blanche, avant de passer à la ceinture noire tant convoitée, ou au niveau de « champion de la sécurité » après avoir passé les heures nécessaires à s'entraîner et à participer à des tournois. Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous souhaitez conserver les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils nécessaires pour réussir.
Malheureusement, à l'heure actuelle, les développeurs soucieux de la sécurité et les spécialistes de la sécurité des applications constituent une ressource rare (mais vitale). Ils sont également notoirement difficiles à conserver.
Cybrary a mené une enquête auprès de 3 100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'investir dans leur formation était un élément clé pour fidéliser de précieux employés. Leurs résultats montrent que les entreprises qui fournissent les outils et les formations nécessaires pour développer leurs compétences internes en matière de sécurité ont réussi à fidéliser les professionnels de la sécurité 60 % de plus que celles qui ne le faisaient pas, et 65 % des personnes interrogées ont préféré que cette formation soit pratique. C'est chouette, non ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de disposer d'une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Eh bien, je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour créer une culture de sécurité positive, améliorer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils adorent et protéger votre organisation des méchants. Demandez une démo et nous vous en montrerons plus.
Je suis désolée, je dois vous annoncer une mauvaise nouvelle.
L'entraînement traditionnel est mort.
Eh bien, d'accord, ce n'est pas le cas... mais ça devrait probablement l'être. À maintes reprises, des études ont montré que le fait de placer un groupe de personnes dans une classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent une nouvelle formation est l'un des moyens les plus inefficaces pour les personnes de recevoir une éducation. Et en ce qui concerne la formation en entreprise, ces statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, constatant que cette méthode d'apprentissage nécessitait en moyenne huit à douze mois pour que les nouveaux employés soient opérationnels et productifs. C'est un très beaucoup de temps pour utiliser pleinement les compétences d'une personne (et beaucoup de temps pour se mettre à l'aise, si vous êtes la nouvelle recrue). De nos jours, la plupart des entreprises ne disposent pas de ce temps ; inévitablement, les coûts sont réduits, les personnes ne reçoivent pas la formation dont elles ont besoin et une entreprise perd une grande partie de la valeur qu'elle pourrait atteindre bien plus tôt.
Il est vraiment ahurissant de constater que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels scolaires arides et des formations vidéo époustouflantes pour intégrer au mieux les meilleures pratiques de l'entreprise ou les nouvelles initiatives, en particulier lorsqu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus utile : la formation contextuelle. Il s'avère que nous, les humains, sommes bien mieux à même de conserver les informations lorsque nous mettons en pratique de nouvelles idées et de nouveaux processus.
Maintenant, en ce qui concerne les développeurs... nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne met pas vraiment le feu à mon univers. Les développeurs ont tendance à résoudre les problèmes de manière créative et pleine de ressources et préfèrent utiliser les outils plutôt que de suivre des cours en classe ou de s'asseoir devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. En ce qui concerne la formation à la sécurité en particulier, il semble y avoir un net décalage dans le paysage actuel : les développeurs ne parviennent pas à corriger les vulnérabilités courantes de leur code, ce qui pousse les professionnels de la sécurité des applications à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes faciles à résoudre à maintes reprises. Les relations entre ces équipes sont tendues et les développeurs ne disposent pas des bons outils ni de la formation nécessaires pour suivre les meilleures pratiques de développement sécurisé. Leur objectif principal est de créer des fonctionnalités, mais comme les cyberrisques augmentent rapidement pour toutes les entreprises, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont conscients de la sécurité, ces vulnérabilités courantes commencent à disparaître. Les risques sont réduits, de même que les coûts liés à la correction des bogues de stade avancé (et AppSec arrête de perdre ses cheveux par poignée).
Alors, à quoi ressemble exactement la participation des développeurs à une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez si nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture et de la séquence des événements qui sont déclenchés pour vous déplacer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse parce qu'elle place l'étudiant aux commandes de tout ce qui est enseigné. Lorsque vous avez un contexte réel pour quelque chose, cela rend l'apprentissage beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, tout le monde peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la fourniture des fonctionnalités est prioritaire. Cependant, s'il était possible de passer en revue de vrais exemples de code, d'identifier l'injection et de la corriger dans le cadre d'un exercice d'entraînement, c'est-à-dire loin plus applicable au travail quotidien d'un développeur que d'essayer de conserver des informations à sens unique. C'est également plus facile pour un développeur. S'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et fera attention.
Sur le Secure Code Warrior plateforme, nous avons gamifié la formation au code sécurisé, proposant une grande variété de défis dans de nombreux langages et frameworks. Le système encourage le jeu répété et, surtout, il est instantanément personnalisable pour offrir le bon environnement pour un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, un apprentissage efficace ne se produit que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leurs propres cadres de référence individuels.
Imaginez qu'un développeur reçoive une liste de failles de sécurité provenant de programmes Bug Bounty, d'outils SAST ou de logiciels de suivi des bogues. Ils peuvent être perplexes, voire bouleversés, s'ils n'ont jamais découvert ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité de créer des liens directs vers des formations pratiques sur les vulnérabilités issues des programmes Bug Bounty, des outils SAST, des logiciels de suivi des bogues et des rapports de tests d'intrusion. Les développeurs peuvent immédiatement comprendre les bases et apprendre de bonnes recettes de codage pour leur framework particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur les concepts au moment où ils sont les plus pertinents, et ils ont beaucoup plus de chances de conserver ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, un contexte immédiat avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passez moins de temps en « mode étude » ou, pire encore, à devoir revenir sur des choses que vous avez déjà « apprises » lorsque vous avez besoin d'une réponse à quelque chose.
L'un des principes de la formation contextuelle est la capacité à tirer parti des connaissances pour que chaque composante de la formation s'ajoute à la précédente, ce qui permet de suivre un processus par étapes qui donne aux participants un chemin vers la maîtrise. Encore une fois, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceinture similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence avec une ceinture blanche, avant de passer à la ceinture noire tant convoitée, ou au niveau de « champion de la sécurité » après avoir passé les heures nécessaires à s'entraîner et à participer à des tournois. Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous souhaitez conserver les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils nécessaires pour réussir.
Malheureusement, à l'heure actuelle, les développeurs soucieux de la sécurité et les spécialistes de la sécurité des applications constituent une ressource rare (mais vitale). Ils sont également notoirement difficiles à conserver.
Cybrary a mené une enquête auprès de 3 100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'investir dans leur formation était un élément clé pour fidéliser de précieux employés. Leurs résultats montrent que les entreprises qui fournissent les outils et les formations nécessaires pour développer leurs compétences internes en matière de sécurité ont réussi à fidéliser les professionnels de la sécurité 60 % de plus que celles qui ne le faisaient pas, et 65 % des personnes interrogées ont préféré que cette formation soit pratique. C'est chouette, non ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de disposer d'une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Eh bien, je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour créer une culture de sécurité positive, améliorer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils adorent et protéger votre organisation des méchants. Demandez une démo et nous vous en montrerons plus.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Je suis désolée, je dois vous annoncer une mauvaise nouvelle.
L'entraînement traditionnel est mort.
Eh bien, d'accord, ce n'est pas le cas... mais ça devrait probablement l'être. À maintes reprises, des études ont montré que le fait de placer un groupe de personnes dans une classe pour qu'elles apprennent quelque chose de nouveau, accomplissent une tâche de conformité ou suivent une nouvelle formation est l'un des moyens les plus inefficaces pour les personnes de recevoir une éducation. Et en ce qui concerne la formation en entreprise, ces statistiques ne s'améliorent pas. La Harvard Business Review a publié une étude sur l'efficacité de la formation en classe pour les nouveaux employés des grandes entreprises, constatant que cette méthode d'apprentissage nécessitait en moyenne huit à douze mois pour que les nouveaux employés soient opérationnels et productifs. C'est un très beaucoup de temps pour utiliser pleinement les compétences d'une personne (et beaucoup de temps pour se mettre à l'aise, si vous êtes la nouvelle recrue). De nos jours, la plupart des entreprises ne disposent pas de ce temps ; inévitablement, les coûts sont réduits, les personnes ne reçoivent pas la formation dont elles ont besoin et une entreprise perd une grande partie de la valeur qu'elle pourrait atteindre bien plus tôt.
Il est vraiment ahurissant de constater que de nombreuses entreprises s'appuient encore sur des salles de classe, des manuels scolaires arides et des formations vidéo époustouflantes pour intégrer au mieux les meilleures pratiques de l'entreprise ou les nouvelles initiatives, en particulier lorsqu'il existe une méthode d'apprentissage bien meilleure, plus engageante et plus utile : la formation contextuelle. Il s'avère que nous, les humains, sommes bien mieux à même de conserver les informations lorsque nous mettons en pratique de nouvelles idées et de nouveaux processus.
Maintenant, en ce qui concerne les développeurs... nous sommes un groupe spécial. D'après ma propre expérience en tant que développeur, la formation traditionnelle ne met pas vraiment le feu à mon univers. Les développeurs ont tendance à résoudre les problèmes de manière créative et pleine de ressources et préfèrent utiliser les outils plutôt que de suivre des cours en classe ou de s'asseoir devant des vidéos interminables d'une tête parlante lorsqu'ils essaient d'apprendre de nouvelles informations. En ce qui concerne la formation à la sécurité en particulier, il semble y avoir un net décalage dans le paysage actuel : les développeurs ne parviennent pas à corriger les vulnérabilités courantes de leur code, ce qui pousse les professionnels de la sécurité des applications à s'arracher les cheveux lorsqu'ils sont confrontés aux mêmes problèmes faciles à résoudre à maintes reprises. Les relations entre ces équipes sont tendues et les développeurs ne disposent pas des bons outils ni de la formation nécessaires pour suivre les meilleures pratiques de développement sécurisé. Leur objectif principal est de créer des fonctionnalités, mais comme les cyberrisques augmentent rapidement pour toutes les entreprises, nous ne pouvons tout simplement plus nous permettre d'ignorer et de déprioriser les connaissances en matière de sécurité.
Et le meilleur ? Si les développeurs sont conscients de la sécurité, ces vulnérabilités courantes commencent à disparaître. Les risques sont réduits, de même que les coûts liés à la correction des bogues de stade avancé (et AppSec arrête de perdre ses cheveux par poignée).
Alors, à quoi ressemble exactement la participation des développeurs à une formation contextuelle ?
Les exemples du monde réel sont ridiculement puissants.
Imaginez si nous devions tous apprendre à conduire en regardant des vidéos sur YouTube. Bien que vous puissiez vous faire une idée générale du fonctionnement d'une voiture et de la séquence des événements qui sont déclenchés pour vous déplacer sur la route, il serait pratiquement impossible d'apprendre à bien conduire avant de monter dans une voiture et de l'essayer en personne.
La formation contextuelle est si précieuse parce qu'elle place l'étudiant aux commandes de tout ce qui est enseigné. Lorsque vous avez un contexte réel pour quelque chose, cela rend l'apprentissage beaucoup plus intéressant et significatif.
En ce qui concerne le codage sécurisé, tout le monde peut regarder une vidéo et comprendre les bases de l'injection SQL, mais les détails de la résolution du problème sont facilement oubliés lorsque les délais approchent et que la fourniture des fonctionnalités est prioritaire. Cependant, s'il était possible de passer en revue de vrais exemples de code, d'identifier l'injection et de la corriger dans le cadre d'un exercice d'entraînement, c'est-à-dire loin plus applicable au travail quotidien d'un développeur que d'essayer de conserver des informations à sens unique. C'est également plus facile pour un développeur. S'il voit un code similaire à ce qu'il écrit habituellement, il se lèvera et fera attention.
Sur le Secure Code Warrior plateforme, nous avons gamifié la formation au code sécurisé, proposant une grande variété de défis dans de nombreux langages et frameworks. Le système encourage le jeu répété et, surtout, il est instantanément personnalisable pour offrir le bon environnement pour un véritable apprentissage contextuel.
Fournir des connaissances au moment où elles sont le plus utiles
Selon la théorie de l'apprentissage contextuel, un apprentissage efficace ne se produit que lorsque les étudiants traitent les nouvelles informations ou connaissances de manière à ce qu'elles aient un sens pour eux, dans leurs propres cadres de référence individuels.
Imaginez qu'un développeur reçoive une liste de failles de sécurité provenant de programmes Bug Bounty, d'outils SAST ou de logiciels de suivi des bogues. Ils peuvent être perplexes, voire bouleversés, s'ils n'ont jamais découvert ces vulnérabilités auparavant. Pire encore, la plupart des rapports sont conçus pour les experts en sécurité des applications et non pour les développeurs. Les informations contenues dans les rapports sont difficiles à analyser et contiennent souvent des conseils génériques qui ne s'appliquent pas directement à un développeur.
Récemment, nous avons ajouté la possibilité de créer des liens directs vers des formations pratiques sur les vulnérabilités issues des programmes Bug Bounty, des outils SAST, des logiciels de suivi des bogues et des rapports de tests d'intrusion. Les développeurs peuvent immédiatement comprendre les bases et apprendre de bonnes recettes de codage pour leur framework particulier.
En apprenant de cette manière, les développeurs reçoivent des connaissances et une formation sur les concepts au moment où ils sont les plus pertinents, et ils ont beaucoup plus de chances de conserver ces informations à long terme.
Des résultats plus rapides, moins de perturbations, des campeurs plus heureux.
Quelle que soit la formation, un contexte immédiat avec vos activités quotidiennes sera bien plus efficace que d'essayer d'appliquer quelque chose de générique à votre travail. Vous passez moins de temps en « mode étude » ou, pire encore, à devoir revenir sur des choses que vous avez déjà « apprises » lorsque vous avez besoin d'une réponse à quelque chose.
L'un des principes de la formation contextuelle est la capacité à tirer parti des connaissances pour que chaque composante de la formation s'ajoute à la précédente, ce qui permet de suivre un processus par étapes qui donne aux participants un chemin vers la maîtrise. Encore une fois, c'est quelque chose que nous soutenons sur notre plateforme, avec un système de ceinture similaire à celui que l'on peut trouver dans un dojo de karaté. Tout le monde commence avec une ceinture blanche, avant de passer à la ceinture noire tant convoitée, ou au niveau de « champion de la sécurité » après avoir passé les heures nécessaires à s'entraîner et à participer à des tournois. Il s'agit d'une approche amusante avec une valeur réelle et une application pratique.
Vous souhaitez conserver les meilleurs talents et les sensibiliser à la sécurité ? Donnez-leur les outils nécessaires pour réussir.
Malheureusement, à l'heure actuelle, les développeurs soucieux de la sécurité et les spécialistes de la sécurité des applications constituent une ressource rare (mais vitale). Ils sont également notoirement difficiles à conserver.
Cybrary a mené une enquête auprès de 3 100 professionnels de l'informatique et de la sécurité en 2018, révélant qu'investir dans leur formation était un élément clé pour fidéliser de précieux employés. Leurs résultats montrent que les entreprises qui fournissent les outils et les formations nécessaires pour développer leurs compétences internes en matière de sécurité ont réussi à fidéliser les professionnels de la sécurité 60 % de plus que celles qui ne le faisaient pas, et 65 % des personnes interrogées ont préféré que cette formation soit pratique. C'est chouette, non ?
Cependant, les résultats de l'enquête ont également fourni une révélation plutôt alarmante : 80 % des personnes interrogées ne se sentent pas suffisamment préparées pour défendre leur organisation contre les cybermenaces. Ces menaces ne sont pas près de disparaître, et il est plus que jamais nécessaire de disposer d'une formation adéquate pour lutter contre le risque croissant de violations de données et d'attaques coûteuses. Eh bien, je suis peut-être partial, mais la plateforme Secure Code Warrior pourrait être l'outil dont vous avez besoin pour créer une culture de sécurité positive, améliorer les compétences et soutenir les développeurs grâce à la formation contextuelle qu'ils adorent et protéger votre organisation des méchants. Demandez une démo et nous vous en montrerons plus.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
