Souhaitez-vous que les développeurs codent en tenant compte de la sécurité ? Veuillez leur proposer une formation.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, professionnels du logiciel, nous réunissons pour réaliser des prouesses et livrer tous les produits numériques indispensables à la société.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit généralement d'une quête à accomplir et d'un défi à relever pour vaincre le dragon. C'est agréable pendant un certain temps, mais le syndrome d'épuisement professionnel est bien réel et, en raison de la demande en logiciels, nous travaillons tous, en particulier l'équipe de développement, à un rythme effréné au moment le plus opportun.
Imaginez maintenant qu'ils se voient confier une autre tâche à accomplir, à savoir la responsabilité de la sécurité dans les éléments du projet auxquels ils participent. Dans le pire des cas, cela pourrait entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que les problèmes qui ne sont pas classés par ordre de priorité et qui semblent plus urgents seront traités en priorité. De plus, si la plupart des développeurs n'ont pas reçu de formation au codage sécurisé (en particulier si les responsables ne donnent pas la priorité à la sécurité),il n'est pas surprenant que les fuites de données fréquentes, la publication d'applications défectueuses et l'avalanche de codes bogués parmi les experts en sécurité aient atteint un point critique.
Les développeurs ont besoin du soutien des partisans de la sécurité des applications.
En intégrant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop complexe » pendant le processus de codage et pourquoi elle est confiée à l'équipe de sécurité pour être résolue. Il y a trop de délais concurrents, la formation est insuffisante et, avec toutes les autres tâches à accomplir, il n'y a aucune raison valable de se préoccuper de la sécurité.Cependant, pour maintenir cette situation, la demande en matière de code est trop élevée. C'est là que les développeurs d'élite se distinguent des autres développeurs, acquièrent de nouvelles compétences et, surtout, sont capables de créer un code plus sécurisé.
Il est important de noter que la gestion de la sécurité logicielle n'incombe pas entièrement aux développeurs. Elle relève toujours de la responsabilité de l'équipe AppSec (en collaborant avec des développeurs soucieux de la sécurité, vous pouvez travailler de manière plus sereine, sans avoir à corriger sans cesse les mêmes bogues). Pour que le processus DevSecOps soit efficace, il est impératif que tous les membres de l'équipe disposent du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et que la formation appropriée soit une priorité absolue. Trouver le juste équilibre entre les outils et la formation nécessite la collaboration étroite des développeurs, ainsi que la perspicacité des professionnels de la sécurité des applications, qui doivent motiver les développeurs et promouvoir un changement positif.
Une formation disruptive est plus gênante qu'efficace, et tout ce qui est désagréable pour les développeurs ne fonctionne pas bien. Une solution intégrant un IDE ou un outil de suivi des incidents axé sur des connaissances concises est une option qui permet de fournir aux développeurs les informations appropriées au moment opportun.
Le fonctionnement réel est le suivant.
Il ne s'agit pas d'une mesure de précaution, mais d'une approche juste à temps.
Apprentissage pratique adapté à la situation. Il s'agit de la méthode de formation la plus efficace, car elle permet de fournir des informations concises au moment le plus opportun. Également appelée formation « juste à temps » (JIT), elle est particulièrement utile pour les développeurs qui souhaitent apprendre le codage sécurisé.
Les principes de fabrication allégée de Toyotasont à l'origine de la formation JiT, qui est conçue pour être suivie au moment le plus opportun, lorsque les connaissances sont nécessaires.Avez-vous déjà écrit quelque chose qui pourrait être considéré comme inapproprié par les développeurs ? Que se passerait-il si une petite porte dérobée permettant à un pirate d'exécuter du code à distance était ouverte ? Il serait beaucoup plus facile de mémoriser les informations si les développeurs pouvaient accéder immédiatement aux connaissances dont ils ont besoin, plutôt que de suivre les documents Confluence ou de rechercher sur Google ce qu'ils ont appris pendant la formation.
Le juste-à-temps est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière méthode soit plus courante pour transmettre des connaissances, elle n'est pas nécessairement la plus efficace. Il est important de faciliter l'adoption des meilleures pratiques en matière de codage sécurisé par les développeurs, tout en leur permettant de se concentrer sur leurs objectifs principaux actuels et de comprendre les avantages d'améliorer leurs compétences tout au long de leur carrière.
Veuillez éviter de demander aux développeurs de suivre des formations.
Nous sommes conscients que les tâches quotidiennes sont déjà trop nombreuses. Est-il donc nécessaire que les développeurs se précipitent en formation et suivent cinq étapes pour changer de contexte et suivre une formation statique basée sur la théorie ?
Le consensus général est que, quelle que soit l'ampleur des vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique clairement que 43 % des fuites de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas de formation efficace. Ni dans l'enseignement supérieur, ni dans le cadre de mesures de perfectionnement des compétences sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que les injections SQL et les vulnérabilités traditionnelles ne seraient pas exploitées pour générer d'importants revenus à partir des données, et le manque de compétences en cybersécurité ne deviendrait pas incontrôlable.
Alors, même si les développeurs sont conscients qu'ils évoluent dans un environnement où la sécurité est une priorité et qu'ils ont reçu une formation à ce sujet, pourquoi sont-ils surpris par ces mauvais résultats ? Offrir une expérience de formation plus fluide, plus intégrée et moins contraignante, accessible depuis l'espace de travail réel (Jira, GitHub, IDE, etc.), pourrait avoir un effet positif tant pour les développeurs que pour l'organisation.Le secteur doit simplement aller de l'avant et faciliter considérablement la sensibilisation à la sécurité dans un environnement qui n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs ayant une forte conscience de la sécurité sont très appréciés pour leurs compétences et pour la protection qu'ils peuvent apporter à l'organisation dès la phase de construction du code. La sécurité n'est plus une option. En particulier en raison des amendes prévues par le RGPD, des réglementations de conformité PCI-DSS, de la gouvernance du NIST... et du risque d'être poursuivi dans le cadre de recours collectifs pouvant atteindre plusieurs millions de dollars (comme dans le cas d'Equifax), la sécurité n'est plus une option.
Une approche intégrée peut permettre de former des développeurs sans confusion, ouvrir la voie à des cours plus approfondis, former des champions de la sécurité et encourager le partage des responsabilités nécessaires pour garantir la sécurité et l'intégrité des données dans le monde entier.
Téléchargez les outils d'intégration Jira et GitHub. Nous serions ravis de connaître votre avis.
Nous sommes conscients que les tâches quotidiennes sont déjà trop nombreuses. Est-il donc nécessaire que les développeurs se précipitent en formation et suivent cinq étapes pour changer de contexte et suivre une formation statique basée sur la théorie ?
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société, Sensei Security. Tout au long de sa carrière, Matias a dirigé plusieurs projets de recherche sur la sécurité des applications, qui ont abouti à la création de produits commerciaux et à l'obtention de plus de 10 brevets.Lorsqu'il n'est pas à son bureau, Matias enseigne dans le cadre de formations avancées sur la sécurité des applications et intervient régulièrement lors de conférences internationales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matthias a obtenu un doctorat en génie informatique à l'université de Gand, où il a étudié la sécurité des applications grâce à l'obfuscation des programmes visant à masquer le fonctionnement interne des applications.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, professionnels du logiciel, nous réunissons pour réaliser des prouesses et livrer tous les produits numériques indispensables à la société.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit généralement d'une quête à accomplir et d'un défi à relever pour vaincre le dragon. C'est agréable pendant un certain temps, mais le syndrome d'épuisement professionnel est bien réel et, en raison de la demande en logiciels, nous travaillons tous, en particulier l'équipe de développement, à un rythme effréné au moment le plus opportun.
Imaginez maintenant qu'ils se voient confier une autre tâche à accomplir, à savoir la responsabilité de la sécurité dans les éléments du projet auxquels ils participent. Dans le pire des cas, cela pourrait entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que les problèmes qui ne sont pas classés par ordre de priorité et qui semblent plus urgents seront traités en priorité. De plus, si la plupart des développeurs n'ont pas reçu de formation au codage sécurisé (en particulier si les responsables ne donnent pas la priorité à la sécurité),il n'est pas surprenant que les fuites de données fréquentes, la publication d'applications défectueuses et l'avalanche de codes bogués parmi les experts en sécurité aient atteint un point critique.
Les développeurs ont besoin du soutien des partisans de la sécurité des applications.
En intégrant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop complexe » pendant le processus de codage et pourquoi elle est confiée à l'équipe de sécurité pour être résolue. Il y a trop de délais concurrents, la formation est insuffisante et, avec toutes les autres tâches à accomplir, il n'y a aucune raison valable de se préoccuper de la sécurité.Cependant, pour maintenir cette situation, la demande en matière de code est trop élevée. C'est là que les développeurs d'élite se distinguent des autres développeurs, acquièrent de nouvelles compétences et, surtout, sont capables de créer un code plus sécurisé.
Il est important de noter que la gestion de la sécurité logicielle n'incombe pas entièrement aux développeurs. Elle relève toujours de la responsabilité de l'équipe AppSec (en collaborant avec des développeurs soucieux de la sécurité, vous pouvez travailler de manière plus sereine, sans avoir à corriger sans cesse les mêmes bogues). Pour que le processus DevSecOps soit efficace, il est impératif que tous les membres de l'équipe disposent du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et que la formation appropriée soit une priorité absolue. Trouver le juste équilibre entre les outils et la formation nécessite la collaboration étroite des développeurs, ainsi que la perspicacité des professionnels de la sécurité des applications, qui doivent motiver les développeurs et promouvoir un changement positif.
Une formation disruptive est plus gênante qu'efficace, et tout ce qui est désagréable pour les développeurs ne fonctionne pas bien. Une solution intégrant un IDE ou un outil de suivi des incidents axé sur des connaissances concises est une option qui permet de fournir aux développeurs les informations appropriées au moment opportun.
Le fonctionnement réel est le suivant.
Il ne s'agit pas d'une mesure de précaution, mais d'une approche juste à temps.
Apprentissage pratique adapté à la situation. Il s'agit de la méthode de formation la plus efficace, car elle permet de fournir des informations concises au moment le plus opportun. Également appelée formation « juste à temps » (JIT), elle est particulièrement utile pour les développeurs qui souhaitent apprendre le codage sécurisé.
Les principes de fabrication allégée de Toyotasont à l'origine de la formation JiT, qui est conçue pour être suivie au moment le plus opportun, lorsque les connaissances sont nécessaires.Avez-vous déjà écrit quelque chose qui pourrait être considéré comme inapproprié par les développeurs ? Que se passerait-il si une petite porte dérobée permettant à un pirate d'exécuter du code à distance était ouverte ? Il serait beaucoup plus facile de mémoriser les informations si les développeurs pouvaient accéder immédiatement aux connaissances dont ils ont besoin, plutôt que de suivre les documents Confluence ou de rechercher sur Google ce qu'ils ont appris pendant la formation.
Le juste-à-temps est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière méthode soit plus courante pour transmettre des connaissances, elle n'est pas nécessairement la plus efficace. Il est important de faciliter l'adoption des meilleures pratiques en matière de codage sécurisé par les développeurs, tout en leur permettant de se concentrer sur leurs objectifs principaux actuels et de comprendre les avantages d'améliorer leurs compétences tout au long de leur carrière.
Veuillez éviter de demander aux développeurs de suivre des formations.
Nous sommes conscients que les tâches quotidiennes sont déjà trop nombreuses. Est-il donc nécessaire que les développeurs se précipitent en formation et suivent cinq étapes pour changer de contexte et suivre une formation statique basée sur la théorie ?
Le consensus général est que, quelle que soit l'ampleur des vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique clairement que 43 % des fuites de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas de formation efficace. Ni dans l'enseignement supérieur, ni dans le cadre de mesures de perfectionnement des compétences sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que les injections SQL et les vulnérabilités traditionnelles ne seraient pas exploitées pour générer d'importants revenus à partir des données, et le manque de compétences en cybersécurité ne deviendrait pas incontrôlable.
Alors, même si les développeurs sont conscients qu'ils évoluent dans un environnement où la sécurité est une priorité et qu'ils ont reçu une formation à ce sujet, pourquoi sont-ils surpris par ces mauvais résultats ? Offrir une expérience de formation plus fluide, plus intégrée et moins contraignante, accessible depuis l'espace de travail réel (Jira, GitHub, IDE, etc.), pourrait avoir un effet positif tant pour les développeurs que pour l'organisation.Le secteur doit simplement aller de l'avant et faciliter considérablement la sensibilisation à la sécurité dans un environnement qui n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs ayant une forte conscience de la sécurité sont très appréciés pour leurs compétences et pour la protection qu'ils peuvent apporter à l'organisation dès la phase de construction du code. La sécurité n'est plus une option. En particulier en raison des amendes prévues par le RGPD, des réglementations de conformité PCI-DSS, de la gouvernance du NIST... et du risque d'être poursuivi dans le cadre de recours collectifs pouvant atteindre plusieurs millions de dollars (comme dans le cas d'Equifax), la sécurité n'est plus une option.
Une approche intégrée peut permettre de former des développeurs sans confusion, ouvrir la voie à des cours plus approfondis, former des champions de la sécurité et encourager le partage des responsabilités nécessaires pour garantir la sécurité et l'intégrité des données dans le monde entier.
Téléchargez les outils d'intégration Jira et GitHub. Nous serions ravis de connaître votre avis.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, professionnels du logiciel, nous réunissons pour réaliser des prouesses et livrer tous les produits numériques indispensables à la société.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit généralement d'une quête à accomplir et d'un défi à relever pour vaincre le dragon. C'est agréable pendant un certain temps, mais le syndrome d'épuisement professionnel est bien réel et, en raison de la demande en logiciels, nous travaillons tous, en particulier l'équipe de développement, à un rythme effréné au moment le plus opportun.
Imaginez maintenant qu'ils se voient confier une autre tâche à accomplir, à savoir la responsabilité de la sécurité dans les éléments du projet auxquels ils participent. Dans le pire des cas, cela pourrait entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que les problèmes qui ne sont pas classés par ordre de priorité et qui semblent plus urgents seront traités en priorité. De plus, si la plupart des développeurs n'ont pas reçu de formation au codage sécurisé (en particulier si les responsables ne donnent pas la priorité à la sécurité),il n'est pas surprenant que les fuites de données fréquentes, la publication d'applications défectueuses et l'avalanche de codes bogués parmi les experts en sécurité aient atteint un point critique.
Les développeurs ont besoin du soutien des partisans de la sécurité des applications.
En intégrant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop complexe » pendant le processus de codage et pourquoi elle est confiée à l'équipe de sécurité pour être résolue. Il y a trop de délais concurrents, la formation est insuffisante et, avec toutes les autres tâches à accomplir, il n'y a aucune raison valable de se préoccuper de la sécurité.Cependant, pour maintenir cette situation, la demande en matière de code est trop élevée. C'est là que les développeurs d'élite se distinguent des autres développeurs, acquièrent de nouvelles compétences et, surtout, sont capables de créer un code plus sécurisé.
Il est important de noter que la gestion de la sécurité logicielle n'incombe pas entièrement aux développeurs. Elle relève toujours de la responsabilité de l'équipe AppSec (en collaborant avec des développeurs soucieux de la sécurité, vous pouvez travailler de manière plus sereine, sans avoir à corriger sans cesse les mêmes bogues). Pour que le processus DevSecOps soit efficace, il est impératif que tous les membres de l'équipe disposent du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et que la formation appropriée soit une priorité absolue. Trouver le juste équilibre entre les outils et la formation nécessite la collaboration étroite des développeurs, ainsi que la perspicacité des professionnels de la sécurité des applications, qui doivent motiver les développeurs et promouvoir un changement positif.
Une formation disruptive est plus gênante qu'efficace, et tout ce qui est désagréable pour les développeurs ne fonctionne pas bien. Une solution intégrant un IDE ou un outil de suivi des incidents axé sur des connaissances concises est une option qui permet de fournir aux développeurs les informations appropriées au moment opportun.
Le fonctionnement réel est le suivant.
Il ne s'agit pas d'une mesure de précaution, mais d'une approche juste à temps.
Apprentissage pratique adapté à la situation. Il s'agit de la méthode de formation la plus efficace, car elle permet de fournir des informations concises au moment le plus opportun. Également appelée formation « juste à temps » (JIT), elle est particulièrement utile pour les développeurs qui souhaitent apprendre le codage sécurisé.
Les principes de fabrication allégée de Toyotasont à l'origine de la formation JiT, qui est conçue pour être suivie au moment le plus opportun, lorsque les connaissances sont nécessaires.Avez-vous déjà écrit quelque chose qui pourrait être considéré comme inapproprié par les développeurs ? Que se passerait-il si une petite porte dérobée permettant à un pirate d'exécuter du code à distance était ouverte ? Il serait beaucoup plus facile de mémoriser les informations si les développeurs pouvaient accéder immédiatement aux connaissances dont ils ont besoin, plutôt que de suivre les documents Confluence ou de rechercher sur Google ce qu'ils ont appris pendant la formation.
Le juste-à-temps est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière méthode soit plus courante pour transmettre des connaissances, elle n'est pas nécessairement la plus efficace. Il est important de faciliter l'adoption des meilleures pratiques en matière de codage sécurisé par les développeurs, tout en leur permettant de se concentrer sur leurs objectifs principaux actuels et de comprendre les avantages d'améliorer leurs compétences tout au long de leur carrière.
Veuillez éviter de demander aux développeurs de suivre des formations.
Nous sommes conscients que les tâches quotidiennes sont déjà trop nombreuses. Est-il donc nécessaire que les développeurs se précipitent en formation et suivent cinq étapes pour changer de contexte et suivre une formation statique basée sur la théorie ?
Le consensus général est que, quelle que soit l'ampleur des vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique clairement que 43 % des fuites de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas de formation efficace. Ni dans l'enseignement supérieur, ni dans le cadre de mesures de perfectionnement des compétences sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que les injections SQL et les vulnérabilités traditionnelles ne seraient pas exploitées pour générer d'importants revenus à partir des données, et le manque de compétences en cybersécurité ne deviendrait pas incontrôlable.
Alors, même si les développeurs sont conscients qu'ils évoluent dans un environnement où la sécurité est une priorité et qu'ils ont reçu une formation à ce sujet, pourquoi sont-ils surpris par ces mauvais résultats ? Offrir une expérience de formation plus fluide, plus intégrée et moins contraignante, accessible depuis l'espace de travail réel (Jira, GitHub, IDE, etc.), pourrait avoir un effet positif tant pour les développeurs que pour l'organisation.Le secteur doit simplement aller de l'avant et faciliter considérablement la sensibilisation à la sécurité dans un environnement qui n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs ayant une forte conscience de la sécurité sont très appréciés pour leurs compétences et pour la protection qu'ils peuvent apporter à l'organisation dès la phase de construction du code. La sécurité n'est plus une option. En particulier en raison des amendes prévues par le RGPD, des réglementations de conformité PCI-DSS, de la gouvernance du NIST... et du risque d'être poursuivi dans le cadre de recours collectifs pouvant atteindre plusieurs millions de dollars (comme dans le cas d'Equifax), la sécurité n'est plus une option.
Une approche intégrée peut permettre de former des développeurs sans confusion, ouvrir la voie à des cours plus approfondis, former des champions de la sécurité et encourager le partage des responsabilités nécessaires pour garantir la sécurité et l'intégrité des données dans le monde entier.
Téléchargez les outils d'intégration Jira et GitHub. Nous serions ravis de connaître votre avis.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société, Sensei Security. Tout au long de sa carrière, Matias a dirigé plusieurs projets de recherche sur la sécurité des applications, qui ont abouti à la création de produits commerciaux et à l'obtention de plus de 10 brevets.Lorsqu'il n'est pas à son bureau, Matias enseigne dans le cadre de formations avancées sur la sécurité des applications et intervient régulièrement lors de conférences internationales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matthias a obtenu un doctorat en génie informatique à l'université de Gand, où il a étudié la sécurité des applications grâce à l'obfuscation des programmes visant à masquer le fonctionnement interne des applications.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, professionnels du logiciel, nous réunissons pour réaliser des prouesses et livrer tous les produits numériques indispensables à la société.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit généralement d'une quête à accomplir et d'un défi à relever pour vaincre le dragon. C'est agréable pendant un certain temps, mais le syndrome d'épuisement professionnel est bien réel et, en raison de la demande en logiciels, nous travaillons tous, en particulier l'équipe de développement, à un rythme effréné au moment le plus opportun.
Imaginez maintenant qu'ils se voient confier une autre tâche à accomplir, à savoir la responsabilité de la sécurité dans les éléments du projet auxquels ils participent. Dans le pire des cas, cela pourrait entraîner l'effondrement du château de cartes pour certaines personnes, mais le scénario le plus réaliste est que les problèmes qui ne sont pas classés par ordre de priorité et qui semblent plus urgents seront traités en priorité. De plus, si la plupart des développeurs n'ont pas reçu de formation au codage sécurisé (en particulier si les responsables ne donnent pas la priorité à la sécurité),il n'est pas surprenant que les fuites de données fréquentes, la publication d'applications défectueuses et l'avalanche de codes bogués parmi les experts en sécurité aient atteint un point critique.
Les développeurs ont besoin du soutien des partisans de la sécurité des applications.
En intégrant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop complexe » pendant le processus de codage et pourquoi elle est confiée à l'équipe de sécurité pour être résolue. Il y a trop de délais concurrents, la formation est insuffisante et, avec toutes les autres tâches à accomplir, il n'y a aucune raison valable de se préoccuper de la sécurité.Cependant, pour maintenir cette situation, la demande en matière de code est trop élevée. C'est là que les développeurs d'élite se distinguent des autres développeurs, acquièrent de nouvelles compétences et, surtout, sont capables de créer un code plus sécurisé.
Il est important de noter que la gestion de la sécurité logicielle n'incombe pas entièrement aux développeurs. Elle relève toujours de la responsabilité de l'équipe AppSec (en collaborant avec des développeurs soucieux de la sécurité, vous pouvez travailler de manière plus sereine, sans avoir à corriger sans cesse les mêmes bogues). Pour que le processus DevSecOps soit efficace, il est impératif que tous les membres de l'équipe disposent du soutien et des outils nécessaires pour partager la responsabilité de la sécurité, et que la formation appropriée soit une priorité absolue. Trouver le juste équilibre entre les outils et la formation nécessite la collaboration étroite des développeurs, ainsi que la perspicacité des professionnels de la sécurité des applications, qui doivent motiver les développeurs et promouvoir un changement positif.
Une formation disruptive est plus gênante qu'efficace, et tout ce qui est désagréable pour les développeurs ne fonctionne pas bien. Une solution intégrant un IDE ou un outil de suivi des incidents axé sur des connaissances concises est une option qui permet de fournir aux développeurs les informations appropriées au moment opportun.
Le fonctionnement réel est le suivant.
Il ne s'agit pas d'une mesure de précaution, mais d'une approche juste à temps.
Apprentissage pratique adapté à la situation. Il s'agit de la méthode de formation la plus efficace, car elle permet de fournir des informations concises au moment le plus opportun. Également appelée formation « juste à temps » (JIT), elle est particulièrement utile pour les développeurs qui souhaitent apprendre le codage sécurisé.
Les principes de fabrication allégée de Toyotasont à l'origine de la formation JiT, qui est conçue pour être suivie au moment le plus opportun, lorsque les connaissances sont nécessaires.Avez-vous déjà écrit quelque chose qui pourrait être considéré comme inapproprié par les développeurs ? Que se passerait-il si une petite porte dérobée permettant à un pirate d'exécuter du code à distance était ouverte ? Il serait beaucoup plus facile de mémoriser les informations si les développeurs pouvaient accéder immédiatement aux connaissances dont ils ont besoin, plutôt que de suivre les documents Confluence ou de rechercher sur Google ce qu'ils ont appris pendant la formation.
Le juste-à-temps est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière méthode soit plus courante pour transmettre des connaissances, elle n'est pas nécessairement la plus efficace. Il est important de faciliter l'adoption des meilleures pratiques en matière de codage sécurisé par les développeurs, tout en leur permettant de se concentrer sur leurs objectifs principaux actuels et de comprendre les avantages d'améliorer leurs compétences tout au long de leur carrière.
Veuillez éviter de demander aux développeurs de suivre des formations.
Nous sommes conscients que les tâches quotidiennes sont déjà trop nombreuses. Est-il donc nécessaire que les développeurs se précipitent en formation et suivent cinq étapes pour changer de contexte et suivre une formation statique basée sur la théorie ?
Le consensus général est que, quelle que soit l'ampleur des vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique clairement que 43 % des fuites de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas de formation efficace. Ni dans l'enseignement supérieur, ni dans le cadre de mesures de perfectionnement des compétences sur le lieu de travail. Si tel était le cas, les vulnérabilités courantes telles que les injections SQL et les vulnérabilités traditionnelles ne seraient pas exploitées pour générer d'importants revenus à partir des données, et le manque de compétences en cybersécurité ne deviendrait pas incontrôlable.
Alors, même si les développeurs sont conscients qu'ils évoluent dans un environnement où la sécurité est une priorité et qu'ils ont reçu une formation à ce sujet, pourquoi sont-ils surpris par ces mauvais résultats ? Offrir une expérience de formation plus fluide, plus intégrée et moins contraignante, accessible depuis l'espace de travail réel (Jira, GitHub, IDE, etc.), pourrait avoir un effet positif tant pour les développeurs que pour l'organisation.Le secteur doit simplement aller de l'avant et faciliter considérablement la sensibilisation à la sécurité dans un environnement qui n'est plus un luxe.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs ayant une forte conscience de la sécurité sont très appréciés pour leurs compétences et pour la protection qu'ils peuvent apporter à l'organisation dès la phase de construction du code. La sécurité n'est plus une option. En particulier en raison des amendes prévues par le RGPD, des réglementations de conformité PCI-DSS, de la gouvernance du NIST... et du risque d'être poursuivi dans le cadre de recours collectifs pouvant atteindre plusieurs millions de dollars (comme dans le cas d'Equifax), la sécurité n'est plus une option.
Une approche intégrée peut permettre de former des développeurs sans confusion, ouvrir la voie à des cours plus approfondis, former des champions de la sécurité et encourager le partage des responsabilités nécessaires pour garantir la sécurité et l'intégrité des données dans le monde entier.
Téléchargez les outils d'intégration Jira et GitHub. Nous serions ravis de connaître votre avis.
Table des matières
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
