Pourquoi l'apprentissage par le scaffolding permet de former des développeurs plus compétents en matière de sécurité
Il suffit de quelques minutes de lecture des actualités technologiques pour se rendre compte à quel point l'environnement des menaces est devenu dangereux. Chaque jour, de nombreux rapports font état de violations de sécurité majeures, de nouvelles vulnérabilités ou de menaces d'exploitation active par des cybercriminels et des pirates informatiques. Presque tous les indicateurs et rapports du secteur soulignent l'augmentation du nombre de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, le personnel de sécurité informatique travaillant en première ligne est épuisé et en sous-effectif.Malgré des salaires élevés et leur rôle quasi indispensable dans toutes les entreprises et organisations, les professionnels de la sécurité disponibles sont loin d'être suffisants. Selon une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'un manque de compétences en cybersécurité, et 71 % ont déclaré que ce manque de compétences avait causé des dommages directs et mesurables à leur organisation.Le rapport indique que plus de 520 000 postes dans le domaine de la cybersécurité ne sont pas pourvus, sur un total d'environ 940 000 emplois dans ce secteur aux États-Unis.
À l'échelle mondiale, environ 3,5 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Cela signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir les meilleurs talents éprouvent des difficultés à trouver des candidats qualifiés. En moyenne, le processus de recrutement prend environ 21 % plus de temps. Renforcer la cybersécurité peut être plus exigeant que n'importe quel autre poste, surtout si l'on vise les postes les plus élevés.
Le soutien aux développeurs a été négligé pendant trop longtemps.
Comme mentionné précédemment, il est possible de faire appel aux développeurs pour combler certaines lacunes importantes en matière de défense de la cybersécurité. Cependant, traditionnellement, les développeurs n'ont pas reçu de formation en cybersécurité. Leurs performances professionnelles étaient presque exclusivement basées sur la vitesse et le temps de déploiement. De plus, l'équipe AppSec était responsable de la sécurité.
Malheureusement, il ne suffit pas simplement de changer d'orientation et de demander aux développeurs d'ajouter soudainement des mesures de sécurité aux applications et aux programmes. Même si la plupart des personnes interrogées dans le cadre de l'enquête se disent prêtes à appliquer ces changements, une formation reste nécessaire pour les mettre en œuvre. L'encouragement et le soutien de la haute direction sont également indispensables, mais le premier obstacle, et souvent le plus important, est de permettre un apprentissage significatif.
Il existe une raison pour laquelle des millions de postes hautement rémunérés et très sécurisés dans le domaine de la sécurité informatique ne sont toujours pas pourvus à travers le monde. Si cela était facile, tout le monde se serait lancé dans ce domaine. Apprendre à faire face aux menaces et à éliminer les vulnérabilités dans le code est difficile, et l'environnement des menaces est en constante évolution. Même pour les développeurs relativement compétents en technologie, les tentatives d'enseignement de la cybersécurité sont rapides, peu mémorables et ont un impact positif limité. Cela est d'autant plus vrai lorsque ces exigences s'ajoutent à des calendriers déjà surchargés.
Veuillez créer un tremplin pour atteindre des sommets plus élevés.
Enseigner les techniques de cybersécurité à l'aide de méthodes traditionnelles revient à construire un gratte-ciel sans quitter le sol. Cela est impossible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine aussi complexe que la cybersécurité. Pour pallier cela, on peut recourir à l'apprentissage par échafaudage, qui repose sur les concepts suivants.
Lorsque l'on utilise une approche par étapes ou « hiérarchisée » pour améliorer les compétences, les thèmes plus vastes sont généralement divisés en expériences d'apprentissage individuelles ou en concepts. Cela permet aux élèves de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, et de bénéficier de tout le soutien nécessaire pour chaque composante.Tout comme un échafaudage physique est construit à mesure que le bâtiment s'élève, des concepts plus nouveaux et plus avancés s'ajoutent aux concepts déjà maîtrisés. De cette manière, les élèves peuvent atteindre un niveau de compréhension et d'acquisition de compétences plus élevé que ce qu'ils pourraient acquérir sans aide.
Tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, et à mesure que les élèves deviennent de plus en plus compétents, la responsabilité qui leur incombe augmente également.
Le scaffolding learning est principalement utilisé pour réduire les sentiments négatifs et la perception de soi que les étudiants peuvent éprouver lorsqu'ils tentent de réaliser des tâches difficiles sans aide, ce qui peut entraîner frustration, peur ou découragement. Cependant, il peut également être utile lorsqu'il s'agit d'aborder des concepts très complexes, tels que la cybersécurité moderne. Loin de traiter les développeurs comme des enfants, cela peut être extrêmement utile si l'expérience au sein de l'équipe de sécurité peut entraîner les mêmes résultats de frustration et de découragement. En particulier lorsque leurs efforts sont contrariés par des corrections de bogues et de nouvelles critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (généralement à partir du Top 10 de l'OWASP), , il est possible de vérifier directement comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment les résoudre avant d'entrer en phase de production. Cela permet d'acquérir de l'expérience pratique dans la résolution de vulnérabilités plus complexes et l'application de corrections efficaces, et ainsi d'élargir ses connaissances. Les niveaux progressent petit à petit, et en ce qui concerne les problèmes de sécurité avancés tels que les architectures logicielles non sécurisées ou la modélisation des menaces, ces avancées ne sont pas particulièrement intimidantes et peuvent être résolues avec précision.
Dans le secteur, il ne faut pas s'attendre à ce que les développeurs deviennent des experts en sécurité. Cependant, les organisations peuvent produire des logiciels de meilleure qualité en adoptant de nouvelles normes pour soutenir les développeurs. Pour les organisations disposant d'un département d'ingénierie hautement qualifié, chaque étape ou niveau de formation se traduit directement par une amélioration de la cybersécurité tout au long du processus d'apprentissage. Il n'est pas nécessaire d'attendre la fin du programme de formation pour constater les résultats.
Apprendre la cybersécurité est une tâche complexe, et sans aide ni conseils appropriés, il est pratiquement impossible de la maîtriser parfaitement. En combinant l'apprentissage par étapes avec l'utilisation d'un programme de sécurité, vous pouvez constater les avantages presque immédiatement et ainsi tirer le meilleur parti du programme. Les améliorations sont visibles presque instantanément et continueront de s'améliorer au fil du temps.
Commencez à développer des développeurs hautement sécurisés avec notre entreprise. Veuillez consulter notre site.
Cours de formation
Mission
Formation des développeurs
... Et bien plus encore !
Il est important de noter que l'industrie ne doit pas attendre des développeurs qu'ils deviennent des experts en sécurité. Cependant, les organisations peuvent adopter de nouvelles normes pour soutenir les développeurs et ainsi produire des logiciels de meilleure qualité.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il suffit de quelques minutes de lecture des actualités technologiques pour se rendre compte à quel point l'environnement des menaces est devenu dangereux. Chaque jour, de nombreux rapports font état de violations de sécurité majeures, de nouvelles vulnérabilités ou de menaces d'exploitation active par des cybercriminels et des pirates informatiques. Presque tous les indicateurs et rapports du secteur soulignent l'augmentation du nombre de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, le personnel de sécurité informatique travaillant en première ligne est épuisé et en sous-effectif.Malgré des salaires élevés et leur rôle quasi indispensable dans toutes les entreprises et organisations, les professionnels de la sécurité disponibles sont loin d'être suffisants. Selon une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'un manque de compétences en cybersécurité, et 71 % ont déclaré que ce manque de compétences avait causé des dommages directs et mesurables à leur organisation.Le rapport indique que plus de 520 000 postes dans le domaine de la cybersécurité ne sont pas pourvus, sur un total d'environ 940 000 emplois dans ce secteur aux États-Unis.
À l'échelle mondiale, environ 3,5 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Cela signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir les meilleurs talents éprouvent des difficultés à trouver des candidats qualifiés. En moyenne, le processus de recrutement prend environ 21 % plus de temps. Renforcer la cybersécurité peut être plus exigeant que n'importe quel autre poste, surtout si l'on vise les postes les plus élevés.
Le soutien aux développeurs a été négligé pendant trop longtemps.
Comme mentionné précédemment, il est possible de faire appel aux développeurs pour combler certaines lacunes importantes en matière de défense de la cybersécurité. Cependant, traditionnellement, les développeurs n'ont pas reçu de formation en cybersécurité. Leurs performances professionnelles étaient presque exclusivement basées sur la vitesse et le temps de déploiement. De plus, l'équipe AppSec était responsable de la sécurité.
Malheureusement, il ne suffit pas simplement de changer d'orientation et de demander aux développeurs d'ajouter soudainement des mesures de sécurité aux applications et aux programmes. Même si la plupart des personnes interrogées dans le cadre de l'enquête se disent prêtes à appliquer ces changements, une formation reste nécessaire pour les mettre en œuvre. L'encouragement et le soutien de la haute direction sont également indispensables, mais le premier obstacle, et souvent le plus important, est de permettre un apprentissage significatif.
Il existe une raison pour laquelle des millions de postes hautement rémunérés et très sécurisés dans le domaine de la sécurité informatique ne sont toujours pas pourvus à travers le monde. Si cela était facile, tout le monde se serait lancé dans ce domaine. Apprendre à faire face aux menaces et à éliminer les vulnérabilités dans le code est difficile, et l'environnement des menaces est en constante évolution. Même pour les développeurs relativement compétents en technologie, les tentatives d'enseignement de la cybersécurité sont rapides, peu mémorables et ont un impact positif limité. Cela est d'autant plus vrai lorsque ces exigences s'ajoutent à des calendriers déjà surchargés.
Veuillez créer un tremplin pour atteindre des sommets plus élevés.
Enseigner les techniques de cybersécurité à l'aide de méthodes traditionnelles revient à construire un gratte-ciel sans quitter le sol. Cela est impossible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine aussi complexe que la cybersécurité. Pour pallier cela, on peut recourir à l'apprentissage par échafaudage, qui repose sur les concepts suivants.
Lorsque l'on utilise une approche par étapes ou « hiérarchisée » pour améliorer les compétences, les thèmes plus vastes sont généralement divisés en expériences d'apprentissage individuelles ou en concepts. Cela permet aux élèves de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, et de bénéficier de tout le soutien nécessaire pour chaque composante.Tout comme un échafaudage physique est construit à mesure que le bâtiment s'élève, des concepts plus nouveaux et plus avancés s'ajoutent aux concepts déjà maîtrisés. De cette manière, les élèves peuvent atteindre un niveau de compréhension et d'acquisition de compétences plus élevé que ce qu'ils pourraient acquérir sans aide.
Tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, et à mesure que les élèves deviennent de plus en plus compétents, la responsabilité qui leur incombe augmente également.
Le scaffolding learning est principalement utilisé pour réduire les sentiments négatifs et la perception de soi que les étudiants peuvent éprouver lorsqu'ils tentent de réaliser des tâches difficiles sans aide, ce qui peut entraîner frustration, peur ou découragement. Cependant, il peut également être utile lorsqu'il s'agit d'aborder des concepts très complexes, tels que la cybersécurité moderne. Loin de traiter les développeurs comme des enfants, cela peut être extrêmement utile si l'expérience au sein de l'équipe de sécurité peut entraîner les mêmes résultats de frustration et de découragement. En particulier lorsque leurs efforts sont contrariés par des corrections de bogues et de nouvelles critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (généralement à partir du Top 10 de l'OWASP), , il est possible de vérifier directement comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment les résoudre avant d'entrer en phase de production. Cela permet d'acquérir de l'expérience pratique dans la résolution de vulnérabilités plus complexes et l'application de corrections efficaces, et ainsi d'élargir ses connaissances. Les niveaux progressent petit à petit, et en ce qui concerne les problèmes de sécurité avancés tels que les architectures logicielles non sécurisées ou la modélisation des menaces, ces avancées ne sont pas particulièrement intimidantes et peuvent être résolues avec précision.
Dans le secteur, il ne faut pas s'attendre à ce que les développeurs deviennent des experts en sécurité. Cependant, les organisations peuvent produire des logiciels de meilleure qualité en adoptant de nouvelles normes pour soutenir les développeurs. Pour les organisations disposant d'un département d'ingénierie hautement qualifié, chaque étape ou niveau de formation se traduit directement par une amélioration de la cybersécurité tout au long du processus d'apprentissage. Il n'est pas nécessaire d'attendre la fin du programme de formation pour constater les résultats.
Apprendre la cybersécurité est une tâche complexe, et sans aide ni conseils appropriés, il est pratiquement impossible de la maîtriser parfaitement. En combinant l'apprentissage par étapes avec l'utilisation d'un programme de sécurité, vous pouvez constater les avantages presque immédiatement et ainsi tirer le meilleur parti du programme. Les améliorations sont visibles presque instantanément et continueront de s'améliorer au fil du temps.
Commencez à développer des développeurs hautement sécurisés avec notre entreprise. Veuillez consulter notre site.
Cours de formation
Mission
Formation des développeurs
... Et bien plus encore !
Il suffit de quelques minutes de lecture des actualités technologiques pour se rendre compte à quel point l'environnement des menaces est devenu dangereux. Chaque jour, de nombreux rapports font état de violations de sécurité majeures, de nouvelles vulnérabilités ou de menaces d'exploitation active par des cybercriminels et des pirates informatiques. Presque tous les indicateurs et rapports du secteur soulignent l'augmentation du nombre de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, le personnel de sécurité informatique travaillant en première ligne est épuisé et en sous-effectif.Malgré des salaires élevés et leur rôle quasi indispensable dans toutes les entreprises et organisations, les professionnels de la sécurité disponibles sont loin d'être suffisants. Selon une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'un manque de compétences en cybersécurité, et 71 % ont déclaré que ce manque de compétences avait causé des dommages directs et mesurables à leur organisation.Le rapport indique que plus de 520 000 postes dans le domaine de la cybersécurité ne sont pas pourvus, sur un total d'environ 940 000 emplois dans ce secteur aux États-Unis.
À l'échelle mondiale, environ 3,5 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Cela signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir les meilleurs talents éprouvent des difficultés à trouver des candidats qualifiés. En moyenne, le processus de recrutement prend environ 21 % plus de temps. Renforcer la cybersécurité peut être plus exigeant que n'importe quel autre poste, surtout si l'on vise les postes les plus élevés.
Le soutien aux développeurs a été négligé pendant trop longtemps.
Comme mentionné précédemment, il est possible de faire appel aux développeurs pour combler certaines lacunes importantes en matière de défense de la cybersécurité. Cependant, traditionnellement, les développeurs n'ont pas reçu de formation en cybersécurité. Leurs performances professionnelles étaient presque exclusivement basées sur la vitesse et le temps de déploiement. De plus, l'équipe AppSec était responsable de la sécurité.
Malheureusement, il ne suffit pas simplement de changer d'orientation et de demander aux développeurs d'ajouter soudainement des mesures de sécurité aux applications et aux programmes. Même si la plupart des personnes interrogées dans le cadre de l'enquête se disent prêtes à appliquer ces changements, une formation reste nécessaire pour les mettre en œuvre. L'encouragement et le soutien de la haute direction sont également indispensables, mais le premier obstacle, et souvent le plus important, est de permettre un apprentissage significatif.
Il existe une raison pour laquelle des millions de postes hautement rémunérés et très sécurisés dans le domaine de la sécurité informatique ne sont toujours pas pourvus à travers le monde. Si cela était facile, tout le monde se serait lancé dans ce domaine. Apprendre à faire face aux menaces et à éliminer les vulnérabilités dans le code est difficile, et l'environnement des menaces est en constante évolution. Même pour les développeurs relativement compétents en technologie, les tentatives d'enseignement de la cybersécurité sont rapides, peu mémorables et ont un impact positif limité. Cela est d'autant plus vrai lorsque ces exigences s'ajoutent à des calendriers déjà surchargés.
Veuillez créer un tremplin pour atteindre des sommets plus élevés.
Enseigner les techniques de cybersécurité à l'aide de méthodes traditionnelles revient à construire un gratte-ciel sans quitter le sol. Cela est impossible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine aussi complexe que la cybersécurité. Pour pallier cela, on peut recourir à l'apprentissage par échafaudage, qui repose sur les concepts suivants.
Lorsque l'on utilise une approche par étapes ou « hiérarchisée » pour améliorer les compétences, les thèmes plus vastes sont généralement divisés en expériences d'apprentissage individuelles ou en concepts. Cela permet aux élèves de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, et de bénéficier de tout le soutien nécessaire pour chaque composante.Tout comme un échafaudage physique est construit à mesure que le bâtiment s'élève, des concepts plus nouveaux et plus avancés s'ajoutent aux concepts déjà maîtrisés. De cette manière, les élèves peuvent atteindre un niveau de compréhension et d'acquisition de compétences plus élevé que ce qu'ils pourraient acquérir sans aide.
Tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, et à mesure que les élèves deviennent de plus en plus compétents, la responsabilité qui leur incombe augmente également.
Le scaffolding learning est principalement utilisé pour réduire les sentiments négatifs et la perception de soi que les étudiants peuvent éprouver lorsqu'ils tentent de réaliser des tâches difficiles sans aide, ce qui peut entraîner frustration, peur ou découragement. Cependant, il peut également être utile lorsqu'il s'agit d'aborder des concepts très complexes, tels que la cybersécurité moderne. Loin de traiter les développeurs comme des enfants, cela peut être extrêmement utile si l'expérience au sein de l'équipe de sécurité peut entraîner les mêmes résultats de frustration et de découragement. En particulier lorsque leurs efforts sont contrariés par des corrections de bogues et de nouvelles critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (généralement à partir du Top 10 de l'OWASP), , il est possible de vérifier directement comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment les résoudre avant d'entrer en phase de production. Cela permet d'acquérir de l'expérience pratique dans la résolution de vulnérabilités plus complexes et l'application de corrections efficaces, et ainsi d'élargir ses connaissances. Les niveaux progressent petit à petit, et en ce qui concerne les problèmes de sécurité avancés tels que les architectures logicielles non sécurisées ou la modélisation des menaces, ces avancées ne sont pas particulièrement intimidantes et peuvent être résolues avec précision.
Dans le secteur, il ne faut pas s'attendre à ce que les développeurs deviennent des experts en sécurité. Cependant, les organisations peuvent produire des logiciels de meilleure qualité en adoptant de nouvelles normes pour soutenir les développeurs. Pour les organisations disposant d'un département d'ingénierie hautement qualifié, chaque étape ou niveau de formation se traduit directement par une amélioration de la cybersécurité tout au long du processus d'apprentissage. Il n'est pas nécessaire d'attendre la fin du programme de formation pour constater les résultats.
Apprendre la cybersécurité est une tâche complexe, et sans aide ni conseils appropriés, il est pratiquement impossible de la maîtriser parfaitement. En combinant l'apprentissage par étapes avec l'utilisation d'un programme de sécurité, vous pouvez constater les avantages presque immédiatement et ainsi tirer le meilleur parti du programme. Les améliorations sont visibles presque instantanément et continueront de s'améliorer au fil du temps.
Commencez à développer des développeurs hautement sécurisés avec notre entreprise. Veuillez consulter notre site.
Cours de formation
Mission
Formation des développeurs
... Et bien plus encore !
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il suffit de quelques minutes de lecture des actualités technologiques pour se rendre compte à quel point l'environnement des menaces est devenu dangereux. Chaque jour, de nombreux rapports font état de violations de sécurité majeures, de nouvelles vulnérabilités ou de menaces d'exploitation active par des cybercriminels et des pirates informatiques. Presque tous les indicateurs et rapports du secteur soulignent l'augmentation du nombre de cybermenaces, et la plupart des experts prévoient que cette tendance se poursuivra dans les années à venir.
Pour faire face à ces nouvelles menaces, le personnel de sécurité informatique travaillant en première ligne est épuisé et en sous-effectif.Malgré des salaires élevés et leur rôle quasi indispensable dans toutes les entreprises et organisations, les professionnels de la sécurité disponibles sont loin d'être suffisants. Selon une récente enquête menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'un manque de compétences en cybersécurité, et 71 % ont déclaré que ce manque de compétences avait causé des dommages directs et mesurables à leur organisation.Le rapport indique que plus de 520 000 postes dans le domaine de la cybersécurité ne sont pas pourvus, sur un total d'environ 940 000 emplois dans ce secteur aux États-Unis.
À l'échelle mondiale, environ 3,5 millions de postes dans le domaine de la cybersécurité sont actuellement vacants. Cela signifie que même les organisations prêtes à investir des sommes considérables pour recruter et retenir les meilleurs talents éprouvent des difficultés à trouver des candidats qualifiés. En moyenne, le processus de recrutement prend environ 21 % plus de temps. Renforcer la cybersécurité peut être plus exigeant que n'importe quel autre poste, surtout si l'on vise les postes les plus élevés.
Le soutien aux développeurs a été négligé pendant trop longtemps.
Comme mentionné précédemment, il est possible de faire appel aux développeurs pour combler certaines lacunes importantes en matière de défense de la cybersécurité. Cependant, traditionnellement, les développeurs n'ont pas reçu de formation en cybersécurité. Leurs performances professionnelles étaient presque exclusivement basées sur la vitesse et le temps de déploiement. De plus, l'équipe AppSec était responsable de la sécurité.
Malheureusement, il ne suffit pas simplement de changer d'orientation et de demander aux développeurs d'ajouter soudainement des mesures de sécurité aux applications et aux programmes. Même si la plupart des personnes interrogées dans le cadre de l'enquête se disent prêtes à appliquer ces changements, une formation reste nécessaire pour les mettre en œuvre. L'encouragement et le soutien de la haute direction sont également indispensables, mais le premier obstacle, et souvent le plus important, est de permettre un apprentissage significatif.
Il existe une raison pour laquelle des millions de postes hautement rémunérés et très sécurisés dans le domaine de la sécurité informatique ne sont toujours pas pourvus à travers le monde. Si cela était facile, tout le monde se serait lancé dans ce domaine. Apprendre à faire face aux menaces et à éliminer les vulnérabilités dans le code est difficile, et l'environnement des menaces est en constante évolution. Même pour les développeurs relativement compétents en technologie, les tentatives d'enseignement de la cybersécurité sont rapides, peu mémorables et ont un impact positif limité. Cela est d'autant plus vrai lorsque ces exigences s'ajoutent à des calendriers déjà surchargés.
Veuillez créer un tremplin pour atteindre des sommets plus élevés.
Enseigner les techniques de cybersécurité à l'aide de méthodes traditionnelles revient à construire un gratte-ciel sans quitter le sol. Cela est impossible, car les étudiants ne disposent pas des bases nécessaires pour maîtriser les nombreux concepts avancés d'un domaine aussi complexe que la cybersécurité. Pour pallier cela, on peut recourir à l'apprentissage par échafaudage, qui repose sur les concepts suivants.
Lorsque l'on utilise une approche par étapes ou « hiérarchisée » pour améliorer les compétences, les thèmes plus vastes sont généralement divisés en expériences d'apprentissage individuelles ou en concepts. Cela permet aux élèves de maîtriser chaque concept à l'aide d'exercices et d'instructions appropriés, et de bénéficier de tout le soutien nécessaire pour chaque composante.Tout comme un échafaudage physique est construit à mesure que le bâtiment s'élève, des concepts plus nouveaux et plus avancés s'ajoutent aux concepts déjà maîtrisés. De cette manière, les élèves peuvent atteindre un niveau de compréhension et d'acquisition de compétences plus élevé que ce qu'ils pourraient acquérir sans aide.
Tout comme le soutien physique, ce soutien est progressivement supprimé lorsqu'il n'est plus nécessaire, et à mesure que les élèves deviennent de plus en plus compétents, la responsabilité qui leur incombe augmente également.
Le scaffolding learning est principalement utilisé pour réduire les sentiments négatifs et la perception de soi que les étudiants peuvent éprouver lorsqu'ils tentent de réaliser des tâches difficiles sans aide, ce qui peut entraîner frustration, peur ou découragement. Cependant, il peut également être utile lorsqu'il s'agit d'aborder des concepts très complexes, tels que la cybersécurité moderne. Loin de traiter les développeurs comme des enfants, cela peut être extrêmement utile si l'expérience au sein de l'équipe de sécurité peut entraîner les mêmes résultats de frustration et de découragement. En particulier lorsque leurs efforts sont contrariés par des corrections de bogues et de nouvelles critiques.
Lorsque les développeurs disposent d'outils leur permettant de comprendre les principes fondamentaux du codage sécurisé (généralement à partir du Top 10 de l'OWASP), , il est possible de vérifier directement comment les bogues de sécurité se produisent, pourquoi ils sont dangereux et comment les résoudre avant d'entrer en phase de production. Cela permet d'acquérir de l'expérience pratique dans la résolution de vulnérabilités plus complexes et l'application de corrections efficaces, et ainsi d'élargir ses connaissances. Les niveaux progressent petit à petit, et en ce qui concerne les problèmes de sécurité avancés tels que les architectures logicielles non sécurisées ou la modélisation des menaces, ces avancées ne sont pas particulièrement intimidantes et peuvent être résolues avec précision.
Dans le secteur, il ne faut pas s'attendre à ce que les développeurs deviennent des experts en sécurité. Cependant, les organisations peuvent produire des logiciels de meilleure qualité en adoptant de nouvelles normes pour soutenir les développeurs. Pour les organisations disposant d'un département d'ingénierie hautement qualifié, chaque étape ou niveau de formation se traduit directement par une amélioration de la cybersécurité tout au long du processus d'apprentissage. Il n'est pas nécessaire d'attendre la fin du programme de formation pour constater les résultats.
Apprendre la cybersécurité est une tâche complexe, et sans aide ni conseils appropriés, il est pratiquement impossible de la maîtriser parfaitement. En combinant l'apprentissage par étapes avec l'utilisation d'un programme de sécurité, vous pouvez constater les avantages presque immédiatement et ainsi tirer le meilleur parti du programme. Les améliorations sont visibles presque instantanément et continueront de s'améliorer au fil du temps.
Commencez à développer des développeurs hautement sécurisés avec notre entreprise. Veuillez consulter notre site.
Cours de formation
Mission
Formation des développeurs
... Et bien plus encore !
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
