Frappez d'abord, frappez fort : pourquoi des cours de codage sécurisés organisés avec soin n'accordent aucune importance aux cybermenaces
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
