스태틱 대.동적 사이버 보안 교육: 충동적인 규정 준수, 향후 문제
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
규제 이니셔티브는 의심할 여지 없이 시간이 지남에 따라 개선되고 성장하겠지만, 조직이 이미 패닉 버튼을 누르고 지금 바로 교육에 뛰어든다면 미래를 위한 준비가 제대로 되어 있지 않을 수도 있습니다.
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
On a l'impression que la "conformité en matière de cybersécurité" est à la mode depuis des années, avec une multitude d'articles, d'initiatives et de comités qui discutent de la meilleure façon de s'attaquer à l'énorme bête aux multiples menaces qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait beaucoup de progrès. À l'échelle mondiale, le coût des violations de données n'a cessé de croître, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en l'espace de quelques décennies, de nombreuses entreprises ont dû se battre sans armure pour se mettre rapidement en ligne, ouvrir leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'un abus de confiance de la part de leurs clients.
Aujourd'hui, nous sommes incontestablement plus mûrs. Nous comprenons l'ampleur de la menace et en discutons longuement, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreux endroits cherchent activement à améliorer la sécurité des logiciels par le biais de formations sur la conformité, d'embauches qualifiées et, de plus en plus, d'initiatives DevSecOps. Malgré ces progrès considérables, nous ne sommes pas en train de gagner la bataille, loin s'en faut. Rien qu'en 2019, au moins quatre milliards d'enregistrements ont été volés dans le cadre de violations de données.
L'ingrédient manquant a été la lenteur de la diffusion (au niveau gouvernemental) des normes de cybersécurité, des attentes et des conséquences d'une violation. Avec l'avènement du GDPR , certaines têtes ont commencé à tomber, du moins en Europe, mais de nombreux organismes gouvernementaux ne font que rattraper leur retard, et la nécessité soudaine de se conformer rapidement à des initiatives de conformité nouvellement apparues pourrait avoir des effets indésirables à l'avenir.
Les imbéciles se précipitent (vers la mauvaise formation)
Des lignes directrices solides sous la forme du NIST, de nouvelles réglementations pour l'État de New York et la formation du Conseil de la cybersécurité du Royaume-Uni sont autant de victoires monumentales pour ceux qui se battent pour assurer la sécurité de nos données. Elles reconnaissent les problèmes liés au développement actuel des logiciels et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop ouverts à l'interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de la cybersécurité est le suivant :
"Créer une liste définie de certifications et un cadre facile à comprendre sur la manière dont elles s'articulent entre elles et sur les capacités qu'elles véhiculent, en s'appuyant sur le travail déjà entrepris en matière de parcours de carrière.
Il ne fait aucun doute que leurs initiatives s'amélioreront et se développeront au fil du temps, mais si les organisations appuient déjà sur le bouton de panique et se lancent dans la formation dès maintenant, elles risquent de se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que des solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage change plus vite qu'un cours traditionnel ne peut être mis à jour, ce qui fait que certains endroits tombent dans le piège de l'exercice de conformité "tick-the-box" ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas de formation adéquate, et nous nous retrouvons à nouveau dans une situation d'attente.
La formation statique et les outils statiques souffrent des mêmes problèmes
Les outils d'analyse statique font partie intégrante du cycle de développement du logiciel (SDLC). Ils jouent le rôle de cheval de bataille pour les spécialistes AppSec, rares et surchargés de travail, que l'on trouve dans la plupart des grandes organisations. Ils font du bon travail, mais il y a un défaut : aucun outil ne peut analyser toutes les vulnérabilités, en prenant en charge l'énorme gamme de cadres de programmation existants. C'est également un processus lent, et il suffit qu'un seul bogue de sécurité passe à travers les mailles du filet pour laisser une porte ouverte à un attaquant.
La formation statique pose un problème similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et unique, il est très peu probable qu'elle ait suivi l'évolution des problèmes de sécurité les plus courants au cours de cette période. Il s'agit d'un instantané de l'époque où il a été écrit, et il est rarement revisité suffisamment, dispensé dans le langage et le cadre préférés de l'étudiant, et il n'est pas contextuel aux vulnérabilités auxquelles il est susceptible d'être confronté dans son travail de tous les jours. Imaginez que vous essayez de vous souvenir d'une information pertinente tirée d'une vidéo que vous avez regardée il y a plusieurs mois, tout en essayant de respecter les délais de livraison et de sortir le code de la porte... Il est peu probable que cela se produise.
Les méthodes d'enseignement traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais en ce qui concerne la formation à la sécurité pour les développeurs, il suffit d'observer le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être imputées à des vulnérabilités que nous savons éviter en codant depuis des décennies, comme l'injection SQL) pour se rendre compte qu'il faut essayer une méthode différente.
Nous avons besoin d'une formation qui dépasse les limites d'un cours unique et linéaire et qui puisse s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
L'entraînement dynamique : la référence
En offrant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux mouvements généraux du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité à l'esprit et en agissant avec un état d'esprit conscient de la sécurité.
Une formation unique, qui n'est jamais réexaminée et qui n'est pas attrayante dès le départ, sera une véritable perte de temps, ce qui signifie malheureusement que vous pourriez finir par acheter un programme inefficace par souci de conformité. Il pourrait être dépassé avant même que vous ne le mettiez en place, ou à peine en rapport avec les besoins de leur travail quotidien.
La formation dynamique est un outil vivant, mis à jour en permanence, adapté aux besoins quotidiens, qui incite les utilisateurs à la réflexion critique et leur donne réellement les moyens d'acquérir des compétences et de résoudre des problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Ce sera le cas :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences en morceaux gérables qui sont bien plus faciles à mémoriser (et surtout à appliquer) que les longs dossiers de formation et les vidéos.
- C'est une question pertinente : Quelle est l'utilité d'une formation générique à la sécurité dont les exemples sont, par exemple, en C#, alors que le développeur code principalement en Java ? Toute formation devrait s'appliquer directement à son rôle, lui permettant de voir ce qu'il doit trouver et corriger (et, idéalement, éviter en premier lieu) lorsqu'il code.
- Actuel : Cela semble évident, mais ne l'est pas toujours. Le paysage de la cybersécurité évolue sans cesse, et l'augmentation du nombre de codes entraîne une plus grande responsabilité. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation qui reste à jour avec les meilleures pratiques de sécurité modernes.
- Engageant : Ce n'est un secret pour personne que les développeurs peuvent trouver que la "sécurité" est une corvée, surtout si elle interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir qu'ils détiennent dans la résolution des problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en instaurant une culture de la responsabilité et de la sensibilisation à la sécurité.
- Amusant : La formation dynamique est rarement ennuyeuse ; elle est censée être au moins quelque peu excitante de par sa conception. Pensez à ce que les développeurs aiment : résoudre des problèmes, se mesurer à leurs pairs et, comme beaucoup d'entre nous dans le monde du travail, obtenir des récompenses et de la reconnaissance. Jouez sur leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
L'époque est passionnante pour les ingénieurs en logiciel : ils jouent un rôle essentiel dans l'innovation numérique, contribuent à la création d'entreprises extraordinaires et peuvent même prendre le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises ayant pris conscience du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité des logiciels, il est important de les soutenir par des solutions de formation efficaces et dynamiques qui favorisent l'amour du codage sécurisé, et non pas un exercice bureaucratique consistant à cocher des cases.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
