Pour aider les développeurs à éliminer la bête de la cybercriminalité, la formation est une quête en deux parties
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans DevOps.com. Il a été mis à jour et diffusé ici.
Les règles du jeu entre les héros et les méchants en matière de cybersécurité sont notoirement injustes. Les données sensibles sont la nouvelle monnaie d'or, et les attaquants s'adaptent rapidement pour contourner les défenses, en exploitant les failles de sécurité, petites ou grandes, à des fins potentiellement rentables.
Le volume de code produit est trop important pour que les experts en sécurité, de plus en plus rares, puissent y faire face, et la hausse du coût des violations de données prouve que quelque chose doit donner. Heureusement, dans l'intérêt de notre sécurité numérique et de la santé mentale des RSSI du monde entier, le mouvement DevSecOps aide les développeurs à s'engager dans la voie de la sécurité dès le début du processus de développement logiciel. Ils sont reconnus comme la première ligne de défense contre les cyberattaques, avec le pouvoir d'éliminer les vulnérabilités courantes à portée de main.
Cependant, leurs capacités défensives dépendent de l'entraînement qu'ils reçoivent, ce qui représente un défi de plus pour les équipes de sécurité. Pour de nombreux développeurs qui suivent une formation au codage sécurisé en cours d'emploi, leur principal défi est de rester éveillés lors d'activités paralysantes qui ne sont ni efficaces ni incitant à garder la sécurité à l'esprit. Les cours vidéo sans âme ne nous permettent pas d'y parvenir, les événements annuels symboliques « à cocher » sont une perte de temps, et personne n'est en train de gagner face à un acteur malveillant potentiel qui attend de sauter sur une petite fenêtre d'opportunité.
À ce stade de notre secteur, nous avons découvert qu'une formation contextuelle et pratique dispensée dans des langages de programmation et des frameworks pertinents, avec des défis qui imitent ceux qu'un développeur pourrait rencontrer dans le monde réel, constitue une approche beaucoup plus engageante.
Il s'agit de la première phase de la quête d'un développeur visant à aider les gourous de l'AppSec à éliminer les vulnérabilités courantes, mais la deuxième phase est celle où les scénarios doivent devenir réalité pour une force défensive surdimensionnée et consciente de la sécurité.
L'apprentissage par échafaudage est essentiel dans l'éducation des adultes
Lorsqu'il s'agit de cours extrascolaires ou de formation en cours d'emploi, on oublie souvent que les adultes apportent un certain niveau d'expérience et de connaissances existantes. Une formation de qualité vient renforcer cette base et est structurée de manière à permettre une meilleure compréhension et une autonomie plus rapide dans le processus d'apprentissage.
L'enseignement par échafaudage est une méthode d'apprentissage puissante et positive qui vise à activer et à améliorer les expériences antérieures, tout en continuant à acquérir de nouvelles compétences, par étapes gérables, qui permettent au tuteur d'aborder des tâches de plus en plus difficiles avec plus de confiance. En général, il s'agit d'une méthodologie mieux adaptée avec des parties saines de démonstration, des aides visuelles et une exploration dirigée par les étudiants.
Si nous associons cette approche à la formation à la sécurité des développeurs, il n'est pas surprenant que la méthode dynamique d'apprentissage par la pratique ait longtemps été préférée à la corvée qu'est l'apprentissage statique basé sur la théorie. Ils sont libres d'être les maîtres de leur domaine et devraient veiller à ce que leur temps soit bien dépensé.
En ce sens, il est essentiel d'apprendre à coder en toute sécurité dans un environnement contextuel hyperpertinent, mais pour « passer au niveau supérieur » à partir de cette étape, vous pourrez voir un exploit de code vulnérable en action. Le contexte des vues frontend et backend côte à côte, il existe un lien tangible entre les actions entreprises pendant le processus de codage et ce qu'un attaquant peut potentiellement faire en cas de raccourcis, de mauvaises configurations ou d'accidents non détectés et corrigés.
Passez du rappel à l'application pour une approche de sécurité véritablement préventive
L'expérience directe de l'impact des failles de sécurité est une pièce essentielle du puzzle éducatif, et c'est assez rare, même avec les options de formation en matière de sécurité les plus modernes pour les développeurs. Le travail de base consacré au perfectionnement des compétences en matière de détection et de correction des vulnérabilités, et le rappel de cette expérience pour éliminer les mêmes bogues dans le code au moment de son écriture sont extrêmement importants, mais ce n'est pas une vue d'ensemble. À voir comment l'exploitation d'un code vulnérable par un acteur malveillant ajoute une puissante couche de contexte, qui met réellement en évidence l'importance de sécuriser le code et d'appliquer des connaissances en matière de sécurité durement acquises pour fermer toutes les opportunités.
Il est généralement admis que les développeurs n'aiment pas la sécurité et qu'ils ont encore moins d'affection pour la formation à la sécurité. Leurs expériences avec les spécialistes de la sécurité des applications peuvent être très difficiles, et les retouches provoquées par le fait que l'équipe de sécurité renvoie le code vulnérable aux développeurs pour qu'il y remédie sont le fléau de leur existence. Pour une équipe d'ingénieurs déjà dispersée, la sécurité est le problème de quelqu'un d'autre, et non sa priorité, et elle constitue un obstacle à sa créativité naturelle et à son objectif principal de création d'éléments. Cependant, il y a tout simplement trop de code, trop de violations et trop de risques pour les données mondiales pour que cet état d'esprit perdure.
Un processus DevSecOps fonctionnel permet aux développeurs de travailler en harmonie avec les équipes de sécurité dès le début du SDLC, et la possibilité de bénéficier d'un apprentissage appliqué leur permettant d'interagir avec un exploit simulé et de constater l'impact d'un code mal sécurisé contribue grandement à mettre les développeurs sur la même longueur d'onde que ces embêtants utilisateurs d'AppSec (qui ne sont pas si mal après tout).
L'apprentissage interactif prépare les développeurs au combat contre les boss
Au moment de la rédaction de cet article, deux violations majeures avaient été signalées sur une période de 7 jours : Razer a annoncé que plus de 100 000 enregistrements de données sensibles avaient été exposés, tandis que la chaîne de fournitures de bureau Staples a également signalé une fuite de données similaire. Plus d'un milliard de données sensibles ont été exposées à ce jour en 2020, et cette tendance inquiétante ne montre aucun signe de ralentissement. En termes simples, les acteurs malveillants ont le dessus, et les développeurs soucieux de la sécurité sont indispensables pour servir de première ligne de défense.
Les défis interactifs qui se concentrent sur la simulation de telles violations empêchent les développeurs d'abandonner le rappel passif, à l'application de compétences qui ont un impact sur le véritable combat contre un boss : arrêter les attaquants sur leur lancée.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
