Contexte

Envestnet, Inc. est une société de technologie financière cotée en bourse avec 5,3 billions de dollars d'actifs et plus de 18,5 millions de comptes d'investisseurs. La mission d'Envestnet est de fournir aux conseillers et aux prestataires de services financiers des technologies, des solutions et des informations innovantes afin de faire du bien-être financier une réalité pour tous. Envestnet s'est imposé comme l'un des leaders du marché des technologies de gestion de patrimoine grâce à sa plateforme de conseil phare qui intègre les services et les logiciels utilisés par les conseillers financiers dans le domaine de la gestion de patrimoine à travers le monde.

L'engagement d'Envestnet en faveur des meilleures pratiques de gestion des données comprend la surveillance continue de sa plateforme de gestion de fortune via des mesures de conformité continues basées sur les risques qui permettent d'identifier et de résoudre rapidement tout problème de conformité ou toute défaillance potentielle. Envestnet ouvre la voie en matière de protection des données de ses clients en adoptant des mesures de sécurité de premier ordre dans la fourniture de ses services.

Découvrez comment Derek Fisher, responsable de la sécurité des produits chez Envestnet et auteur de »Le manuel de sécurité des applications», a travaillé avec Secure Code Warrior pour développer une approche holistique visant à réduire les vulnérabilités grâce à une activation agile du code sécurisé pour ses équipes de développeurs. Derek travaille dans le domaine de la sécurité des applications depuis plus de dix ans, où il a été témoin de nombreux succès et échecs en matière de sécurité, et apporte son expertise unique dans le développement d'un environnement d'apprentissage de code sécurisé pour les développeurs d'Envestnet.

Situation

Lorsque Derek a pris ses fonctions dans le domaine de la sécurité des applications pour la première fois, il voulait aller au-delà du top 10 de l'OWASP et de la formation de base en matière de conformité. Ils disposaient de certains processus Secure SDLC, mais ils étaient principalement axés sur la détection des vulnérabilités, sans nécessairement les corriger à la source.

Selon Derek, « Nous connaissons tous assez bien la formation annuelle sur la conformité à laquelle nous sommes tous soumis dans toutes les organisations. Il s'agit généralement de ce que j'appelle « la mort par PowerPoint », d'un tas de diapositives et peut-être d'une évaluation à la fin... C'est vraiment inefficace et prend beaucoup de temps. Nous avons suivi une formation, mais elle était basée sur la conformité habituelle, avec une formation spécifique à la sécurité basée sur des diapositives et des enregistrements audio. Nous avons remarqué que les développeurs n'étaient pas très engagés et n'apprenaient pas beaucoup à partir du matériel. Nous avons donc dû modifier notre stratégie. »

Cette stratégie traditionnelle consistant à simplement former les développeurs par le biais d'une formation passive axée sur la conformité axée sur l'OWASP a été particulièrement pénible pour Derek et son équipe car
ils n'ont pas pu mesurer l'impact de la formation et ont donc dû consacrer de plus en plus de temps à la gestion des vulnérabilités.



Derek a reconnu qu'il était important d'examiner la source des vulnérabilités, à savoir le code non sécurisé mis en production par les développeurs, et que le simple fait d'y ajouter des outils supplémentaires ne serait pas la solution.

Derek et son équipe se sont plutôt concentrés en 2020 sur l'atténuation des vulnérabilités, dans le but d'écrire du code plus sécurisé dès le départ. Derek et son équipe ont adopté une stratégie de « virage vers la gauche » pour traiter et corriger les vulnérabilités bien plus tôt dans le SDLC, alors que les coûts de correction étaient nettement inférieurs.

Mais tout d'abord, ils devaient faire face à un engagement historiquement faible de la part des développeurs pour l'App Sectraining existant. Il voulait éviter de simplement mettre en œuvre une mentalité de « case à cocher » dans sa stratégie d'apprentissage sécurisé du code et fournir une expérience d'apprentissage plus efficace et plus agile pour le code sécurisé aux développeurs d'Envestnet.

« Une fois que j'ai vu SCW et ce qu'il peut faire, j'ai su qu'une approche plus pratique et plus interactive était la bonne solution pour nous. Je voulais que les ingénieurs et les développeurs sortent de cette formation avec une meilleure connaissance pratique des problèmes réels. Nous voulions développer cette mémoire musculaire : « Voici quelque chose que j'ai déjà vu à l'entraînement, je sais comment aborder ce problème de codage que je vois ». La plateforme Secure Code Warrior nous a permis de fournir ce type d'environnement dans lequel les ingénieurs et les développeurs peuvent intervenir et vraiment comprendre quelles sont les bonnes pratiques de codage sécurisé, à quoi ressemblent les mauvaises et comment résoudre rapidement les vulnérabilités. »

Derek Fisher, responsable de la sécurité des produits chez Envestnet

Action

Derek tenait particulièrement à mettre en œuvre une stratégie de ceinture récompensant les compétences en matière de code sécurisé par des certifications. Le programme à quatre niveaux viserait à établir une base solide de sensibilisation à la sécurité (niveaux 1 et 2), puis ouvrirait la voie aux développeurs pour qu'ils deviennent des champions de la sécurité (niveaux 3 et 4). Cela a résolu le problème de ne pas être en mesure de mesurer la manière dont les développeurs conservaient les concepts de code sécurisé tout en garantissant que les développeurs soucieux de la sécurité avaient un cheminement de carrière leur permettant de développer leurs compétences face à des défis de sécurité plus complexes.

Ils l'ont testé dans le cadre d'un petit projet pilote et ont sollicité les commentaires des développeurs concernés. Les commentaires ont été très positifs. Derek a noté :

« Ces éléments ne donnent pas toujours de bons résultats. Je ne saurais trop insister là-dessus chaque fois que vous recevez des commentaires positifs sur l'entraînement. C'est inhabituel. C'est un bon indicateur qu'il s'agit du bon outil. »

Envestnet a organisé son premier tournoi au printemps 2021 et a enregistré des résultats plus positifs du point de vue de l'engagement des développeurs. Derek a ensuite lancé une série de cours intégrés à son LMS pour les développeurs de bases de données, de front end, d'API et de cloud. Au moment où Envestnet a organisé son deuxième tournoi à l'automne 2021, le nombre total de développeurs participants avait doublé.

Selon Derek, Envestnet a connu un grand succès avec les tournois car,

« Nous savons tous que la compétition est une source de motivation. Nous voulons tous nous assurer que nos pairs reconnaissent nos bons résultats dans certains domaines et cela motive vraiment les gens à participer et à réussir dans ces tournois. Cela et l'intégration à nos outils de développement nous ont vraiment démontré la valeur de Secure Code Warrior. »

Derek et l'équipe ont également travaillé à l'intégration de Secure Code Warrior à Jira afin que, lorsque certaines vulnérabilités se reproduisent, le développeur puisse accéder à des conseils de remédiation immédiats directement dans son ticket Jira, sans quitter cet environnement familier. Cela a fourni aux développeurs un contexte précieux ainsi qu'une formation instantanée et à la demande sur la manière de remédier à cette vulnérabilité, là où elle était nécessaire et au point d'impact. L'équipe de Derek a également travaillé avec Secure Code Warrior pour sponsoriser une journée de la sécurité, ce qui a permis d'obtenir un soutien plus large des PDG et de renforcer l'importance du rôle de l'ingénierie et de la sécurité dans le succès d'Envestnet. Grâce à ce type d'adhésion des dirigeants et des développeurs, Envestnet a pu étendre son programme à ce qu'il est aujourd'hui. À présent, Envestnet a inscrit tous ses champions de sécurité identifiés au programme et 60 % de l'ensemble de l'équipe a obtenu sa certification de niveau 1 ou 2.

Résultats

L'un des moyens utilisés par Envestnet pour mesurer son succès était d'examiner les équipes qui avaient suivi l'expérience d'apprentissage SCW et de déterminer si elles produisaient moins de vulnérabilités et/ou corrigeaient les vulnérabilités plus rapidement. Ce qu'ils ont trouvé était impressionnant :

• Les développeurs formés au SCW ont corrigé 2,7 fois plus de vulnérabilités que leurs pairs
• 100 développeurs formés au SCW ont corrigé 450 vulnérabilités en peu de temps
• 1 200 développeurs formés au SCW ont permis à Envestnet d'augmenter les mesures correctives de 120 % dans leur file d'attente respective
• En un an, sur deux gammes de produits, les développeurs formés au SCW ont résolu des problèmes liés à des vulnérabilités à un taux de 4,5 par développeur, contre seulement 1,82 par développeur pour leurs pairs
• Tous les champions de la sécurité ont suivi leur programme de certification en 2022
• Plus de 60 % des développeurs Security Aware sont passés par les niveaux 1 et 2


Principaux points à retenir

Derek propose ces conseils à ceux qui débutent leur parcours d'apprentissage sécurisé du code :

« Notre travail en matière de sécurité consiste à réduire les risques au sein de l'organisation. C'est notre vrai Nord et c'est ce que nous recherchons toujours. Il se peut qu'une vulnérabilité critique ne représente pas le risque le plus élevé ou qu'elle n'ait pas le plus d'impact sur votre organisation. Il peut s'agir de deux médiums, un bas et un haut cousus ensemble pour créer une chaîne beaucoup plus percutante. Plus les vulnérabilités s'accumulent au fil du temps, plus le risque augmente. Avec Secure Code Warrior, vous pouvez garder une longueur d'avance et adopter une approche proactive pour atténuer cette chaîne de vulnérabilités potentielle grâce à un apprentissage agile du code sécurisé. »

• Ne vous contentez pas de tester les vulnérabilités et de les signaler, cela finit par faire du bruit pour vos développeurs
• AppSec doit plutôt être un partenaire des développeurs et s'assurer de leur adhésion avant de mettre en œuvre une stratégie d'apprentissage de code sécurisée
• Rome ne s'est pas construite en un jour. Votre programme devra évoluer en fonction de l'évolution de votre profil de risque, de l'évolution de votre entreprise et de l'évolution de votre technologie et de vos outils
• La stratégie à long terme la plus efficace consiste à améliorer le QI de sécurité des personnes qui vous entourent afin de réduire le nombre total de vulnérabilités créées

Contexte

Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.

Situation

Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :

« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »

Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »

Action

Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :

« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »

Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :

Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :

« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »

Résultats

Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :

« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »

Principaux points à retenir

Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.

Le quoi, le quand et le pourquoi vous devriez inclure davantage vos développeurs.

‍

IAG Group est à l'origine de nombreuses compagnies d'assurance de premier plan de la région Asie-Pacifique, qui souscrit des polices pour des millions de clients à hauteur d'environ 11,4 milliards de dollars australiens de primes par an. Bianca Wirth est responsable de la formation et de la sensibilisation à la sécurité d'entreprise pour le groupe IAG. Très consciente de la nécessité d'une sensibilisation et de pratiques strictes en matière de sécurité au sein de l'équipe de développement, elle a entrepris de créer un environnement véritablement innovant et optimal dans lequel l'équipe pourrait apprendre des techniques de codage sécurisé vitales.

ENTREZ : Game of Codes

Le défi

Les développeurs sont souvent pressés par le temps, avec de multiples livrables et projets en ébullition. Cependant, il est de la plus haute importance pour toute organisation de se tenir au courant des meilleures pratiques en matière de sécurité, sans parler des millions de profils de données clients sensibles à protéger contre les pirates informatiques. Bianca et son équipe se sont fixé des objectifs clairs pour renforcer leurs initiatives en matière de cybersécurité. Ils ont déterminé que la priorité était de minimiser la surface d'attaque des applications développées par IAG, et ils aborderaient cette question en formant les développeurs à identifier et à corriger les vulnérabilités critiques et à haut risque. De longs cours de formation au codage sécurisé existent certes, mais ils peuvent être laborieux et fastidieux et empêcher le personnel clé de se consacrer à des projets de développement dont les délais de livraison sont stricts, ce qui crée une pression sur l'ensemble de l'entreprise. La nécessité d'améliorer rapidement les compétences de l'équipe de développement, avec un impact minimal sur la charge de travail et les opérations, est devenue évidente. Et avec des développeurs en Australie et en Nouvelle-Zélande travaillant chacun sur des systèmes qui n'étaient pas nécessairement les mêmes, ce n'était pas une mince affaire.

« Cette année, j'ai apporté une modification à notre code source qui a supprimé une vulnérabilité d'injection SQL. Pour leur connaissance de cela, je donne le mérite à Game of Codes. Il est même utile de garder le codage sécurisé à l'esprit. Le concours est un bon moyen de pousser les gens à faire de leur mieux... Parce que, avouons-le, la sécurité n'est pas le sujet le plus intéressant pour tout le monde. C'est donc un bon moyen de faire participer les gens. » Développeur R, IAG

La mise en œuvre

Bianca a élaboré une stratégie de déploiement d'une expérience d'entraînement ludique, en collaborant avec son équipe et Secure Code Warrior à la mise en œuvre de tournois et de formations visant à promouvoir les compétences de leurs développeurs internes. Pour cela, il était essentiel de mettre en place une stratégie de communication solide, ainsi que de prendre en compte les différentes motivations et personnalités des collaborateurs qui adoptent une toute nouvelle plateforme et l'utilisent à son plein potentiel :

« Nous avons conçu un plan de communication indiquant comment nous allons communiquer au personnel et aux principales parties prenantes les points à connaître, les messages clés et les incitations que nous leur donnons pour qu'ils répondent également. La plupart des gens apprécient vraiment l'expérience gamifiée. Tout dépend de leur personnalité, de leur motivation et de ce qui les anime. C'est pourquoi nous essayons de répondre à un tout autre éventail de motivations pour les gens. Pour certains, ils adorent les prix, pour d'autres, l'aspect réussite en lui-même est suffisant. » elle a dit

Bianca et IAG ont présenté de manière experte la plateforme d'apprentissage gamifiée de Secure Code Warrior, transformant leur tournoi en une expérience de compétition amusante surnommée le « Jeu des codes », avec des membres du personnel placés dans des maisons à thème médiéval (avec des articles de marque pour les joueurs) s'affrontant dans une bataille digne de l'homonyme produit par HBO.

Le tournoi a même été porté sur la scène internationale, avec un prochain match entre l'Australie et la Nouvelle-Zélande qui sera bientôt lancé. Cela donne à IAG l'occasion d'identifier les principaux champions de la sécurité dans les deux pays et de s'assurer que les équipes renforcent leurs compétences ensemble.

Le résultat

Game of Codes est en fait un programme d'entraînement spécialisé. Son déploiement sous la forme d'un tournoi interactif et amusant a permis au personnel de rester impliqué de différentes manières, mais l'aspect pratique de base de l'exercice est resté : donner aux développeurs les compétences nécessaires pour identifier et neutraliser les vulnérabilités à haut risque dans les applications développées par IAG.

En veillant à ce que les développeurs et les équipes de sécurité travaillent dans une optique axée sur la sécurité, et en étant équipés non seulement pour identifier, mais aussi pour corriger les vulnérabilités dès le début, IAG prévoit une réduction des exercices de tests d'intrusion coûteux et de la pression sur l'équipe qui les réalise.

Outre cette compétence vitale qui continue d'être développée, Game of Codes a également contribué à l'établissement de relations, en insufflant un sentiment de camaraderie et de compétitivité amicale entre les équipes impliquées, tout en aidant les joueurs à avoir plus confiance en leurs capacités de codage sécurisé lorsqu'elles étaient mesurées dans un environnement de tournoi de pointage.

Bianca a déclaré que le soutien interne au programme était immense, avec un accueil positif de la part de la suite exécutive. Cela a également conduit à un programme d'ambassadeurs, dans le cadre duquel des personnes désireuses de promouvoir le programme et de défendre la sécurité au sein de l'organisation pouvaient participer :

« Cela a été une exposition fantastique pour certains développeurs et une excellente promotion de leurs compétences. Ils en bénéficient également dans leur propre travail, ce qui est important à voir. »

Loin d'être « un simple jeu » ou simplement un moyen plus agréable pour les chefs de service de suivre une formation à la conformité, Game of Codes propose une solution attrayante et fidélisante qui transforme rapidement les novices en champions de la sécurité, ce qui est essentiel pour minimiser le risque d'une violation à grande échelle.

Et le dernier conseil, de la part de Bianca elle-même :

« Si vous déployez un programme et que vous vous attendez à ce que les gens l'utilisent, il ne fonctionnera pas. Vous devez concevoir un programme en fonction de cela dans le cadre duquel vous initiez et motivez un changement de comportement. Ce que nous avons créé était essentiellement un programme de gestion du changement pour les développeurs, axé sur la sécurité. »

« Après avoir suivi les sessions de formation sur Game of Codes, je me suis rendu compte que je suis davantage intéressée par la sécurité et que je pense à la sécurité lors de la création de tests d'automatisation. Je suis testeur senior au sein d'une équipe agile et ces sessions de formation m'ont motivée à en savoir plus sur les tests de sécurité et à y penser comme une spécialisation possible. » A, testeur senior IAG

FAITS RAPIDES

• Outre l'apprentissage gamifié, IAG utilise également Secure Code Warrior comme outil de test de compétences pour le recrutement de développeurs.
• Ils sont en train de déployer le programme auprès de 100 % de leur équipe de développement, 55 % d'entre eux étant déjà actifs dans le système.
• Ils ont développé un ensemble clé de paramètres internes leur permettant de mesurer le succès du programme en termes de minimisation des risques et de réduction des coûts au fil du temps.
  ‍

‍

‍