Statique contre Formation dynamique à la cybersécurité : conformité impulsive, problèmes futurs
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
Bien que les initiatives réglementaires s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
