Souhaitez-vous que vos développeurs codent en tenant compte de la sécurité ? Veuillez leur fournir une formation.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, responsables logiciels, unissons nos forces pour accomplir des prouesses et présenter à la société des produits numériques indispensables.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit d'un projet difficile, avec des défis à relever et des obstacles à surmonter. Même si cela peut être passionnant pendant un certain temps, l'épuisement professionnel est une réalité. En raison de la demande en logiciels, nous travaillons tous à un rythme effréné, en particulier les équipes de développement.
Imaginez maintenant qu'une autre tâche leur soit confiée. Il s'agit de la responsabilité de la sécurité des éléments du projet auxquels ils sont confrontés. Pour certaines personnes, cela pourrait entraîner, dans le pire des cas, l'effondrement de tout le système. Cependant, un scénario plus réaliste serait que les problèmes considérés comme plus urgents, sans priorité définie, soient traités en premier. Et si la plupart des développeurs ne sont pas formés au codage sécurisé (en particulier lorsque les responsables ne donnent pas la priorité à la sécurité), il n'est pas surprenant que les fréquentes fuites de données, les lancements d'applications défectueuses et les codes bogués atteignent un point critique parmi les experts en sécurité.
Les développeurs ont besoin de personnes qui soutiennent la sécurité des applications.
En examinant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop difficile » dans le processus de codage et pourquoi elle est confiée à l'équipe de sécurité. Les délais sont trop serrés, la formation insuffisante et il n'y a aucune raison de se soucier de la sécurité tout en menant à bien toutes les autres tâches.Cependant, pour maintenir cette situation, la demande en matière de code est trop importante. C'est précisément là que les développeurs de haut niveau se distinguent de leurs collègues, apprennent de nouvelles technologies et, surtout, peuvent créer un code plus sécurisé.
Cependant, il est important de noter que la gestion de la sécurité logicielle n'est pas la responsabilité des développeurs. Elle relève toujours de la compétence de l'équipe AppSec (ce qui permet de gagner du temps en évitant de corriger de manière répétitive les bogues courants lorsque l'on travaille avec des développeurs ayant une bonne connaissance de la sécurité). Pour que le processus DevSecOps fonctionne correctement, tous les membres de l'équipe doivent disposer du soutien et des outils nécessaires pour partager la responsabilité de la sécurité. Une formation adéquate est essentielle. Pour trouver le bon équilibre entre les outils appropriés et la formation, il est nécessaire de travailler en étroite collaboration avec les développeurs et de s'appuyer sur l'expertise des spécialistes AppSec pour inspirer et mener un changement positif.
Les formations destructives sont plus irritantes qu'efficaces, et il n'est pas efficace de causer du désagrément aux développeurs. Une solution alternative consiste à utiliser un IDE ou un outil de suivi des problèmes intégré, axé sur des connaissances simples, qui fournit aux utilisateurs les informations pertinentes au moment opportun.
Le principe de fonctionnement est le suivant.
Il ne s'agit pas d'une mesure préventive, mais d'une intervention opportune et appropriée.
L'apprentissage pratique adapté à la situation est sans aucun doute la méthode de formation la plus efficace, et les informations sont fournies au moment opportun, sous forme de petites doses. Cette approche, également appelée formation « juste à temps » (JIT), est particulièrement utile pour les développeurs qui apprennent le codage sécurisé.
Conformément aux principes de fabrication Lean de Toyota, la formation JIT est conçue pour être activée au moment le plus opportun, en fonction de la situation. Un développeur vient-il de créer un contenu qui semble inapproprié ? Que se passerait-il si une petite porte dérobée était ouverte et permettait à un attaquant d'exécuter du code à distance ?Il serait préférable que les développeurs puissent accéder aux informations dont ils ont besoin au moment opportun, plutôt que de rechercher des documents dans Confluence ou de rechercher sur Google des informations abordées dans le cadre de la formation.
Le « juste à temps » est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière approche soit la méthode la plus courante pour transmettre des connaissances, elle n'est pas la plus efficace. Nous devons faciliter l'accès des développeurs aux meilleures pratiques en matière de codage sécurisé et leur permettre de constater les avantages qu'ils peuvent en tirer tout en continuant à se concentrer sur leurs objectifs principaux et à progresser dans leur carrière.
Veuillez ne pas contraindre les développeurs à suivre des formations.
Nous sommes conscients que nos horaires de travail sont déjà très chargés. Dans ce contexte, quels incitatifs seraient nécessaires pour encourager les développeurs à se rendre en salle de cours ou à suivre cinq étapes pour accéder à une formation théorique statique via un changement de contexte ?
Il est généralement admis que, quel que soit le nombre de vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas une formation adéquate. Ils ne bénéficient pas d'une formation supérieure ni de mesures de perfectionnement professionnel dans le cadre de leur travail. On peut citer comme exemples de vulnérabilités courantes les injections SQL, les techniques traditionnelles, etc. La navigation dans les chemins d'accès ne devrait pas entraîner de pertes de données importantes et le manque de compétences en cybersécurité ne devrait pas être incontrôlable.
Pourquoi sommes-nous surpris des résultats médiocres obtenus, alors que nous savons que les développeurs sont formés et sensibilisés à la sécurité dans leur environnement actuel ? Offrir une expérience de formation plus fluide, intégrée et moins intrusive, accessible dans l'espace de travail réel, tel que Jira, GitHub ou IDE, peut avoir un impact positif tant pour les développeurs que pour les organisations. Il suffit à l'industrie d'aller de l'avant dans un environnement qui n'est plus un luxe et de faciliter considérablement la sensibilisation à la sécurité.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui maîtrisent la sécurité sont hautement appréciés pour les compétences et les fonctionnalités de protection qu'ils peuvent apporter à l'organisation dès la phase de rédaction du code. La sécurité n'est plus une option. En effet, les amendes liées au RGPD, les réglementations de conformité PCI-DSS, la gouvernance NIST... et le risque accru de poursuites judiciaires dans le cadre de recours collectifs de plusieurs millions de dollars, comme celui contre Equifax, ont rendu la sécurité incontournable.
Une approche intégrée peut servir de catalyseur pour attirer l'attention des développeurs grâce à un apprentissage sans interruption. Elle permet de créer des parcours de formation approfondis, de former des experts en sécurité et de promouvoir la responsabilité collective nécessaire pour protéger les données à l'échelle mondiale. Veuillez télécharger les outils intégrés pour
sur Jira et GitHub et nous faire part de vos commentaires.
Nous sommes conscients que nos horaires de travail sont déjà très chargés. Dans ce contexte, quels incitatifs seraient nécessaires pour encourager les développeurs à se rendre en salle de cours ou à suivre cinq étapes pour accéder à une formation théorique statique via un changement de contexte ?
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, responsables logiciels, unissons nos forces pour accomplir des prouesses et présenter à la société des produits numériques indispensables.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit d'un projet difficile, avec des défis à relever et des obstacles à surmonter. Même si cela peut être passionnant pendant un certain temps, l'épuisement professionnel est une réalité. En raison de la demande en logiciels, nous travaillons tous à un rythme effréné, en particulier les équipes de développement.
Imaginez maintenant qu'une autre tâche leur soit confiée. Il s'agit de la responsabilité de la sécurité des éléments du projet auxquels ils sont confrontés. Pour certaines personnes, cela pourrait entraîner, dans le pire des cas, l'effondrement de tout le système. Cependant, un scénario plus réaliste serait que les problèmes considérés comme plus urgents, sans priorité définie, soient traités en premier. Et si la plupart des développeurs ne sont pas formés au codage sécurisé (en particulier lorsque les responsables ne donnent pas la priorité à la sécurité), il n'est pas surprenant que les fréquentes fuites de données, les lancements d'applications défectueuses et les codes bogués atteignent un point critique parmi les experts en sécurité.
Les développeurs ont besoin de personnes qui soutiennent la sécurité des applications.
En examinant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop difficile » dans le processus de codage et pourquoi elle est confiée à l'équipe de sécurité. Les délais sont trop serrés, la formation insuffisante et il n'y a aucune raison de se soucier de la sécurité tout en menant à bien toutes les autres tâches.Cependant, pour maintenir cette situation, la demande en matière de code est trop importante. C'est précisément là que les développeurs de haut niveau se distinguent de leurs collègues, apprennent de nouvelles technologies et, surtout, peuvent créer un code plus sécurisé.
Cependant, il est important de noter que la gestion de la sécurité logicielle n'est pas la responsabilité des développeurs. Elle relève toujours de la compétence de l'équipe AppSec (ce qui permet de gagner du temps en évitant de corriger de manière répétitive les bogues courants lorsque l'on travaille avec des développeurs ayant une bonne connaissance de la sécurité). Pour que le processus DevSecOps fonctionne correctement, tous les membres de l'équipe doivent disposer du soutien et des outils nécessaires pour partager la responsabilité de la sécurité. Une formation adéquate est essentielle. Pour trouver le bon équilibre entre les outils appropriés et la formation, il est nécessaire de travailler en étroite collaboration avec les développeurs et de s'appuyer sur l'expertise des spécialistes AppSec pour inspirer et mener un changement positif.
Les formations destructives sont plus irritantes qu'efficaces, et il n'est pas efficace de causer du désagrément aux développeurs. Une solution alternative consiste à utiliser un IDE ou un outil de suivi des problèmes intégré, axé sur des connaissances simples, qui fournit aux utilisateurs les informations pertinentes au moment opportun.
Le principe de fonctionnement est le suivant.
Il ne s'agit pas d'une mesure préventive, mais d'une intervention opportune et appropriée.
L'apprentissage pratique adapté à la situation est sans aucun doute la méthode de formation la plus efficace, et les informations sont fournies au moment opportun, sous forme de petites doses. Cette approche, également appelée formation « juste à temps » (JIT), est particulièrement utile pour les développeurs qui apprennent le codage sécurisé.
Conformément aux principes de fabrication Lean de Toyota, la formation JIT est conçue pour être activée au moment le plus opportun, en fonction de la situation. Un développeur vient-il de créer un contenu qui semble inapproprié ? Que se passerait-il si une petite porte dérobée était ouverte et permettait à un attaquant d'exécuter du code à distance ?Il serait préférable que les développeurs puissent accéder aux informations dont ils ont besoin au moment opportun, plutôt que de rechercher des documents dans Confluence ou de rechercher sur Google des informations abordées dans le cadre de la formation.
Le « juste à temps » est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière approche soit la méthode la plus courante pour transmettre des connaissances, elle n'est pas la plus efficace. Nous devons faciliter l'accès des développeurs aux meilleures pratiques en matière de codage sécurisé et leur permettre de constater les avantages qu'ils peuvent en tirer tout en continuant à se concentrer sur leurs objectifs principaux et à progresser dans leur carrière.
Veuillez ne pas contraindre les développeurs à suivre des formations.
Nous sommes conscients que nos horaires de travail sont déjà très chargés. Dans ce contexte, quels incitatifs seraient nécessaires pour encourager les développeurs à se rendre en salle de cours ou à suivre cinq étapes pour accéder à une formation théorique statique via un changement de contexte ?
Il est généralement admis que, quel que soit le nombre de vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas une formation adéquate. Ils ne bénéficient pas d'une formation supérieure ni de mesures de perfectionnement professionnel dans le cadre de leur travail. On peut citer comme exemples de vulnérabilités courantes les injections SQL, les techniques traditionnelles, etc. La navigation dans les chemins d'accès ne devrait pas entraîner de pertes de données importantes et le manque de compétences en cybersécurité ne devrait pas être incontrôlable.
Pourquoi sommes-nous surpris des résultats médiocres obtenus, alors que nous savons que les développeurs sont formés et sensibilisés à la sécurité dans leur environnement actuel ? Offrir une expérience de formation plus fluide, intégrée et moins intrusive, accessible dans l'espace de travail réel, tel que Jira, GitHub ou IDE, peut avoir un impact positif tant pour les développeurs que pour les organisations. Il suffit à l'industrie d'aller de l'avant dans un environnement qui n'est plus un luxe et de faciliter considérablement la sensibilisation à la sécurité.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui maîtrisent la sécurité sont hautement appréciés pour les compétences et les fonctionnalités de protection qu'ils peuvent apporter à l'organisation dès la phase de rédaction du code. La sécurité n'est plus une option. En effet, les amendes liées au RGPD, les réglementations de conformité PCI-DSS, la gouvernance NIST... et le risque accru de poursuites judiciaires dans le cadre de recours collectifs de plusieurs millions de dollars, comme celui contre Equifax, ont rendu la sécurité incontournable.
Une approche intégrée peut servir de catalyseur pour attirer l'attention des développeurs grâce à un apprentissage sans interruption. Elle permet de créer des parcours de formation approfondis, de former des experts en sécurité et de promouvoir la responsabilité collective nécessaire pour protéger les données à l'échelle mondiale. Veuillez télécharger les outils intégrés pour
sur Jira et GitHub et nous faire part de vos commentaires.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, responsables logiciels, unissons nos forces pour accomplir des prouesses et présenter à la société des produits numériques indispensables.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit d'un projet difficile, avec des défis à relever et des obstacles à surmonter. Même si cela peut être passionnant pendant un certain temps, l'épuisement professionnel est une réalité. En raison de la demande en logiciels, nous travaillons tous à un rythme effréné, en particulier les équipes de développement.
Imaginez maintenant qu'une autre tâche leur soit confiée. Il s'agit de la responsabilité de la sécurité des éléments du projet auxquels ils sont confrontés. Pour certaines personnes, cela pourrait entraîner, dans le pire des cas, l'effondrement de tout le système. Cependant, un scénario plus réaliste serait que les problèmes considérés comme plus urgents, sans priorité définie, soient traités en premier. Et si la plupart des développeurs ne sont pas formés au codage sécurisé (en particulier lorsque les responsables ne donnent pas la priorité à la sécurité), il n'est pas surprenant que les fréquentes fuites de données, les lancements d'applications défectueuses et les codes bogués atteignent un point critique parmi les experts en sécurité.
Les développeurs ont besoin de personnes qui soutiennent la sécurité des applications.
En examinant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop difficile » dans le processus de codage et pourquoi elle est confiée à l'équipe de sécurité. Les délais sont trop serrés, la formation insuffisante et il n'y a aucune raison de se soucier de la sécurité tout en menant à bien toutes les autres tâches.Cependant, pour maintenir cette situation, la demande en matière de code est trop importante. C'est précisément là que les développeurs de haut niveau se distinguent de leurs collègues, apprennent de nouvelles technologies et, surtout, peuvent créer un code plus sécurisé.
Cependant, il est important de noter que la gestion de la sécurité logicielle n'est pas la responsabilité des développeurs. Elle relève toujours de la compétence de l'équipe AppSec (ce qui permet de gagner du temps en évitant de corriger de manière répétitive les bogues courants lorsque l'on travaille avec des développeurs ayant une bonne connaissance de la sécurité). Pour que le processus DevSecOps fonctionne correctement, tous les membres de l'équipe doivent disposer du soutien et des outils nécessaires pour partager la responsabilité de la sécurité. Une formation adéquate est essentielle. Pour trouver le bon équilibre entre les outils appropriés et la formation, il est nécessaire de travailler en étroite collaboration avec les développeurs et de s'appuyer sur l'expertise des spécialistes AppSec pour inspirer et mener un changement positif.
Les formations destructives sont plus irritantes qu'efficaces, et il n'est pas efficace de causer du désagrément aux développeurs. Une solution alternative consiste à utiliser un IDE ou un outil de suivi des problèmes intégré, axé sur des connaissances simples, qui fournit aux utilisateurs les informations pertinentes au moment opportun.
Le principe de fonctionnement est le suivant.
Il ne s'agit pas d'une mesure préventive, mais d'une intervention opportune et appropriée.
L'apprentissage pratique adapté à la situation est sans aucun doute la méthode de formation la plus efficace, et les informations sont fournies au moment opportun, sous forme de petites doses. Cette approche, également appelée formation « juste à temps » (JIT), est particulièrement utile pour les développeurs qui apprennent le codage sécurisé.
Conformément aux principes de fabrication Lean de Toyota, la formation JIT est conçue pour être activée au moment le plus opportun, en fonction de la situation. Un développeur vient-il de créer un contenu qui semble inapproprié ? Que se passerait-il si une petite porte dérobée était ouverte et permettait à un attaquant d'exécuter du code à distance ?Il serait préférable que les développeurs puissent accéder aux informations dont ils ont besoin au moment opportun, plutôt que de rechercher des documents dans Confluence ou de rechercher sur Google des informations abordées dans le cadre de la formation.
Le « juste à temps » est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière approche soit la méthode la plus courante pour transmettre des connaissances, elle n'est pas la plus efficace. Nous devons faciliter l'accès des développeurs aux meilleures pratiques en matière de codage sécurisé et leur permettre de constater les avantages qu'ils peuvent en tirer tout en continuant à se concentrer sur leurs objectifs principaux et à progresser dans leur carrière.
Veuillez ne pas contraindre les développeurs à suivre des formations.
Nous sommes conscients que nos horaires de travail sont déjà très chargés. Dans ce contexte, quels incitatifs seraient nécessaires pour encourager les développeurs à se rendre en salle de cours ou à suivre cinq étapes pour accéder à une formation théorique statique via un changement de contexte ?
Il est généralement admis que, quel que soit le nombre de vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas une formation adéquate. Ils ne bénéficient pas d'une formation supérieure ni de mesures de perfectionnement professionnel dans le cadre de leur travail. On peut citer comme exemples de vulnérabilités courantes les injections SQL, les techniques traditionnelles, etc. La navigation dans les chemins d'accès ne devrait pas entraîner de pertes de données importantes et le manque de compétences en cybersécurité ne devrait pas être incontrôlable.
Pourquoi sommes-nous surpris des résultats médiocres obtenus, alors que nous savons que les développeurs sont formés et sensibilisés à la sécurité dans leur environnement actuel ? Offrir une expérience de formation plus fluide, intégrée et moins intrusive, accessible dans l'espace de travail réel, tel que Jira, GitHub ou IDE, peut avoir un impact positif tant pour les développeurs que pour les organisations. Il suffit à l'industrie d'aller de l'avant dans un environnement qui n'est plus un luxe et de faciliter considérablement la sensibilisation à la sécurité.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui maîtrisent la sécurité sont hautement appréciés pour les compétences et les fonctionnalités de protection qu'ils peuvent apporter à l'organisation dès la phase de rédaction du code. La sécurité n'est plus une option. En effet, les amendes liées au RGPD, les réglementations de conformité PCI-DSS, la gouvernance NIST... et le risque accru de poursuites judiciaires dans le cadre de recours collectifs de plusieurs millions de dollars, comme celui contre Equifax, ont rendu la sécurité incontournable.
Une approche intégrée peut servir de catalyseur pour attirer l'attention des développeurs grâce à un apprentissage sans interruption. Elle permet de créer des parcours de formation approfondis, de former des experts en sécurité et de promouvoir la responsabilité collective nécessaire pour protéger les données à l'échelle mondiale. Veuillez télécharger les outils intégrés pour
sur Jira et GitHub et nous faire part de vos commentaires.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Le cycle de vie du développement logiciel (SDLC) semble tout à fait inoffensif. Il s'agit d'un processus au cours duquel nous, responsables logiciels, unissons nos forces pour accomplir des prouesses et présenter à la société des produits numériques indispensables.
Cependant, si vous avez déjà participé à un projet de développement logiciel, vous savez qu'il s'agit d'un projet difficile, avec des défis à relever et des obstacles à surmonter. Même si cela peut être passionnant pendant un certain temps, l'épuisement professionnel est une réalité. En raison de la demande en logiciels, nous travaillons tous à un rythme effréné, en particulier les équipes de développement.
Imaginez maintenant qu'une autre tâche leur soit confiée. Il s'agit de la responsabilité de la sécurité des éléments du projet auxquels ils sont confrontés. Pour certaines personnes, cela pourrait entraîner, dans le pire des cas, l'effondrement de tout le système. Cependant, un scénario plus réaliste serait que les problèmes considérés comme plus urgents, sans priorité définie, soient traités en premier. Et si la plupart des développeurs ne sont pas formés au codage sécurisé (en particulier lorsque les responsables ne donnent pas la priorité à la sécurité), il n'est pas surprenant que les fréquentes fuites de données, les lancements d'applications défectueuses et les codes bogués atteignent un point critique parmi les experts en sécurité.
Les développeurs ont besoin de personnes qui soutiennent la sécurité des applications.
En examinant le scénario ci-dessus, on comprend pourquoi la sécurité est considérée comme « trop difficile » dans le processus de codage et pourquoi elle est confiée à l'équipe de sécurité. Les délais sont trop serrés, la formation insuffisante et il n'y a aucune raison de se soucier de la sécurité tout en menant à bien toutes les autres tâches.Cependant, pour maintenir cette situation, la demande en matière de code est trop importante. C'est précisément là que les développeurs de haut niveau se distinguent de leurs collègues, apprennent de nouvelles technologies et, surtout, peuvent créer un code plus sécurisé.
Cependant, il est important de noter que la gestion de la sécurité logicielle n'est pas la responsabilité des développeurs. Elle relève toujours de la compétence de l'équipe AppSec (ce qui permet de gagner du temps en évitant de corriger de manière répétitive les bogues courants lorsque l'on travaille avec des développeurs ayant une bonne connaissance de la sécurité). Pour que le processus DevSecOps fonctionne correctement, tous les membres de l'équipe doivent disposer du soutien et des outils nécessaires pour partager la responsabilité de la sécurité. Une formation adéquate est essentielle. Pour trouver le bon équilibre entre les outils appropriés et la formation, il est nécessaire de travailler en étroite collaboration avec les développeurs et de s'appuyer sur l'expertise des spécialistes AppSec pour inspirer et mener un changement positif.
Les formations destructives sont plus irritantes qu'efficaces, et il n'est pas efficace de causer du désagrément aux développeurs. Une solution alternative consiste à utiliser un IDE ou un outil de suivi des problèmes intégré, axé sur des connaissances simples, qui fournit aux utilisateurs les informations pertinentes au moment opportun.
Le principe de fonctionnement est le suivant.
Il ne s'agit pas d'une mesure préventive, mais d'une intervention opportune et appropriée.
L'apprentissage pratique adapté à la situation est sans aucun doute la méthode de formation la plus efficace, et les informations sont fournies au moment opportun, sous forme de petites doses. Cette approche, également appelée formation « juste à temps » (JIT), est particulièrement utile pour les développeurs qui apprennent le codage sécurisé.
Conformément aux principes de fabrication Lean de Toyota, la formation JIT est conçue pour être activée au moment le plus opportun, en fonction de la situation. Un développeur vient-il de créer un contenu qui semble inapproprié ? Que se passerait-il si une petite porte dérobée était ouverte et permettait à un attaquant d'exécuter du code à distance ?Il serait préférable que les développeurs puissent accéder aux informations dont ils ont besoin au moment opportun, plutôt que de rechercher des documents dans Confluence ou de rechercher sur Google des informations abordées dans le cadre de la formation.
Le « juste à temps » est à l'opposé de l'apprentissage « au cas où ». Bien que cette dernière approche soit la méthode la plus courante pour transmettre des connaissances, elle n'est pas la plus efficace. Nous devons faciliter l'accès des développeurs aux meilleures pratiques en matière de codage sécurisé et leur permettre de constater les avantages qu'ils peuvent en tirer tout en continuant à se concentrer sur leurs objectifs principaux et à progresser dans leur carrière.
Veuillez ne pas contraindre les développeurs à suivre des formations.
Nous sommes conscients que nos horaires de travail sont déjà très chargés. Dans ce contexte, quels incitatifs seraient nécessaires pour encourager les développeurs à se rendre en salle de cours ou à suivre cinq étapes pour accéder à une formation théorique statique via un changement de contexte ?
Il est généralement admis que, quel que soit le nombre de vulnérabilités à l'origine des violations de données, la plupart des mesures prises par les organisations ne sont pas suffisamment efficaces. Le rapport 2020 de Verizon sur les violations de données indique que 43 % des violations de données peuvent être attribuées à des vulnérabilités Web. Les développeurs ne reçoivent pas une formation adéquate. Ils ne bénéficient pas d'une formation supérieure ni de mesures de perfectionnement professionnel dans le cadre de leur travail. On peut citer comme exemples de vulnérabilités courantes les injections SQL, les techniques traditionnelles, etc. La navigation dans les chemins d'accès ne devrait pas entraîner de pertes de données importantes et le manque de compétences en cybersécurité ne devrait pas être incontrôlable.
Pourquoi sommes-nous surpris des résultats médiocres obtenus, alors que nous savons que les développeurs sont formés et sensibilisés à la sécurité dans leur environnement actuel ? Offrir une expérience de formation plus fluide, intégrée et moins intrusive, accessible dans l'espace de travail réel, tel que Jira, GitHub ou IDE, peut avoir un impact positif tant pour les développeurs que pour les organisations. Il suffit à l'industrie d'aller de l'avant dans un environnement qui n'est plus un luxe et de faciliter considérablement la sensibilisation à la sécurité.
Êtes-vous prêt à sécuriser votre flux de travail de développement ?
Les développeurs qui maîtrisent la sécurité sont hautement appréciés pour les compétences et les fonctionnalités de protection qu'ils peuvent apporter à l'organisation dès la phase de rédaction du code. La sécurité n'est plus une option. En effet, les amendes liées au RGPD, les réglementations de conformité PCI-DSS, la gouvernance NIST... et le risque accru de poursuites judiciaires dans le cadre de recours collectifs de plusieurs millions de dollars, comme celui contre Equifax, ont rendu la sécurité incontournable.
Une approche intégrée peut servir de catalyseur pour attirer l'attention des développeurs grâce à un apprentissage sans interruption. Elle permet de créer des parcours de formation approfondis, de former des experts en sécurité et de promouvoir la responsabilité collective nécessaire pour protéger les données à l'échelle mondiale. Veuillez télécharger les outils intégrés pour
sur Jira et GitHub et nous faire part de vos commentaires.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
