Pourquoi la ludification est-elle essentielle pour améliorer la sécurité des logiciels ?
Au cours de ma carrière dans le développement logiciel et la sécurité, j'ai eu l'occasion de collaborer avec de nombreux responsables de la sécurité des applications, directeurs de la sécurité de l'information, directeurs informatiques et experts en cybersécurité, qui travaillent dans diverses entreprises à travers le monde.
Dans ce monde numérique en constante évolution, quelle que soit leur situation, l'expérience de leur équipe ou le temps écoulé, une question demeure inchangée : ils ont rarement l'occasion de participer activement au développement de l'équipe en matière de sécurité. La sécurité reste un sujet sensible, source de conflits entre les équipes et véritable source de difficultés pour le secteur.
Cependant, la sécurité logicielle revêt une importance trop capitale dans notre approche globale pour que nous continuions dans cette voie. Nous devons nous efforcer de modifier notre mode de communication afin que la sécurité devienne un élément indispensable du quotidien professionnel de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
La situation actuelle
Lorsque les développeurs quittent l'université, ils possèdent peu de connaissances pratiques en matière de code sécurisé, et les postes qu'ils occupent accordent rarement la priorité à la formation à la sécurité (si tel est le cas, celle-ci fait généralement partie de vidéos obligatoires sur la conformité en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne s'intéresse au codage sécurisé).Souvent, leur première expérience en matière de sécurité consiste à auditer ou à tester un rapport d'erreurs qui interrompt soudainement une future publication et devient immédiatement la priorité absolue de leur réflexion créative. Ils se retrouvent alors en désaccord avec les personnes chargées des rapports de sécurité, si bien que dans leur esprit, « sécurité » devient synonyme de « critique ».
Honnêtement, il est regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, les meilleurs souvenirs de ma carrière sont liés à l'apprentissage de la sécurité logicielle. Au début de ma carrière de hacker, j'ai participé à des conférences où j'ai non seulement pu tester mes compétences avec mes pairs (et, pour être franc, m'exhiber un peu), mais aussi rencontrer des personnes partageant les mêmes idées que moi, qui aimaient autant que moi détruire des logiciels, et passer de bons moments avec elles.
BruCon, DefCon, BlackHat... Ces événements offrent à des personnes comme moi la possibilité de mettre en pratique nos compétences dans le cadre de compétitions amicales. Bien que je n'aie jamais admis avoir participé à de telles activités, certains démontrent leurs compétences en matière de piratage informatique en accédant aux téléphones portables d'autres participants et en affichant leurs informations sur l'écran de démonstration à la vue de tous. Cela devient un jeu qui consiste à identifier ces vulnérabilités, à les exploiter et à les corriger afin d'améliorer les logiciels.Il y a quelques années, j'ai eu l'opportunité de rencontrer des centaines d'enfants du Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens notamment d'une élève de huit ans qui apprenait le craquage de mots de passe et le codage base64 tout en jouant à un jeu.
La ludification est également utilisée pour enseigner les compétences en programmation. Des établissements d'enseignement du monde entier utilisent cette méthode pour enseigner la programmation aux jeunes enfants, et ce jusqu'au niveau secondaire. Aujourd'hui, des enfants âgés de seulement quatre ans participent régulièrement à des événements tels que CodeCamp, et il existe denombreux programmes en ligne de qualité qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté un outil de programmation sans écran, le Cubetto, pourma fille de quatre ans.
Cependant, malgré tous ces avantages et progrès, il existe encore des lacunes. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Bien... Presque personne. Il y a quelques années, j'ai réalisé que nous devions renouveler notre inspiration en matière de sécurité, afin de vraiment motiver les développeurs à s'impliquer et à se lancer dans l'aventure.
Gamification : une direction simple à suivre.
J'ai une motivation profonde pour améliorer et renforcer les connaissances des développeurs en matière de sécurité, et c'est cette passion qui m'a poussé à créer Secure Code Warrior. La sécurité des logiciels est extrêmement importante et vraiment passionnante.
Je ne suis pas seul.
La ludification peut rendre les tâches les plus banales plus intéressantes et maintenir un niveau d'engagement suffisant pour que les gens aient envie de continuer à jouer, de gagner et de progresser. Il suffit de voir le chemin parcouru par Pokémon ! Même les personnes les plus paresseuses quittent leur canapé pour partir à la recherche de créatures fictives, ou encore FitBit qui fait de l'atteinte d'un certain nombre de pas l'objectif quotidien de nombreuses personnes... Si ces objectifs ne sont pas atteints, si la série de victoires prend fin ou si les badges ne sont pas obtenus, cela peut générer un sentiment de déception très réel.
Par conséquent, revenons à la formation à la sécurité. Nous avons démontré à de nombreux clients que la ludification est essentielle pour transformer véritablement la culture de sécurité au sein de leur organisation, établir des ponts entre les équipes AppSec et développement, et les aider globalement à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité absolue des développeurs. En ajoutant des éléments conviviaux, compétitifs et captivants à la méthode d'entraînement, vous les incitez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre des records, devenir plus précis et défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie se présente comme suit :
- Les développeurs peuvent travailler avec du code réel et leur propre langage/cadre.
- Le défi est court et couvre toutes les failles de sécurité courantes.
- Les défis sont en constante évolution et actualisation, ce qui permet aux développeurs de continuer à développer leurs compétences au fil du temps.
- Les défis présentent différents niveaux de complexité, ce qui permet aux développeurs expérimentés comme aux développeurs moins expérimentés de participer.
- Les développeurs et leurs responsables peuvent consulter les progrès réalisés, notamment les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau global de précision.
L'un de nos principaux clients a démontré la véritable puissance de la plateforme de gamification lors de son lancement, en fournissant aux développeurs des équipements thématiques pour leurs équipes, en offrant des récompenses exceptionnelles aux gagnants et en faisant de leur tournoi une journée mémorable. Depuis, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue de s'entraîner rigoureusement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption de la formation ludique pour lutter contre les codes de mauvaise qualité, en utilisant une approche véritablement innovante qui peut bouleverser la formation traditionnelle (ou ennuyeuse) - découvrez ce que nos clients leur ont fait subir lors du tournoi de niveau supérieur. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de modifier notre approche afin que la sécurité devienne une composante essentielle du travail de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
Nous devons nous efforcer de modifier notre approche afin que la sécurité devienne une composante essentielle du travail de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Au cours de ma carrière dans le développement logiciel et la sécurité, j'ai eu l'occasion de collaborer avec de nombreux responsables de la sécurité des applications, directeurs de la sécurité de l'information, directeurs informatiques et experts en cybersécurité, qui travaillent dans diverses entreprises à travers le monde.
Dans ce monde numérique en constante évolution, quelle que soit leur situation, l'expérience de leur équipe ou le temps écoulé, une question demeure inchangée : ils ont rarement l'occasion de participer activement au développement de l'équipe en matière de sécurité. La sécurité reste un sujet sensible, source de conflits entre les équipes et véritable source de difficultés pour le secteur.
Cependant, la sécurité logicielle revêt une importance trop capitale dans notre approche globale pour que nous continuions dans cette voie. Nous devons nous efforcer de modifier notre mode de communication afin que la sécurité devienne un élément indispensable du quotidien professionnel de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
La situation actuelle
Lorsque les développeurs quittent l'université, ils possèdent peu de connaissances pratiques en matière de code sécurisé, et les postes qu'ils occupent accordent rarement la priorité à la formation à la sécurité (si tel est le cas, celle-ci fait généralement partie de vidéos obligatoires sur la conformité en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne s'intéresse au codage sécurisé).Souvent, leur première expérience en matière de sécurité consiste à auditer ou à tester un rapport d'erreurs qui interrompt soudainement une future publication et devient immédiatement la priorité absolue de leur réflexion créative. Ils se retrouvent alors en désaccord avec les personnes chargées des rapports de sécurité, si bien que dans leur esprit, « sécurité » devient synonyme de « critique ».
Honnêtement, il est regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, les meilleurs souvenirs de ma carrière sont liés à l'apprentissage de la sécurité logicielle. Au début de ma carrière de hacker, j'ai participé à des conférences où j'ai non seulement pu tester mes compétences avec mes pairs (et, pour être franc, m'exhiber un peu), mais aussi rencontrer des personnes partageant les mêmes idées que moi, qui aimaient autant que moi détruire des logiciels, et passer de bons moments avec elles.
BruCon, DefCon, BlackHat... Ces événements offrent à des personnes comme moi la possibilité de mettre en pratique nos compétences dans le cadre de compétitions amicales. Bien que je n'aie jamais admis avoir participé à de telles activités, certains démontrent leurs compétences en matière de piratage informatique en accédant aux téléphones portables d'autres participants et en affichant leurs informations sur l'écran de démonstration à la vue de tous. Cela devient un jeu qui consiste à identifier ces vulnérabilités, à les exploiter et à les corriger afin d'améliorer les logiciels.Il y a quelques années, j'ai eu l'opportunité de rencontrer des centaines d'enfants du Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens notamment d'une élève de huit ans qui apprenait le craquage de mots de passe et le codage base64 tout en jouant à un jeu.
La ludification est également utilisée pour enseigner les compétences en programmation. Des établissements d'enseignement du monde entier utilisent cette méthode pour enseigner la programmation aux jeunes enfants, et ce jusqu'au niveau secondaire. Aujourd'hui, des enfants âgés de seulement quatre ans participent régulièrement à des événements tels que CodeCamp, et il existe denombreux programmes en ligne de qualité qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté un outil de programmation sans écran, le Cubetto, pourma fille de quatre ans.
Cependant, malgré tous ces avantages et progrès, il existe encore des lacunes. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Bien... Presque personne. Il y a quelques années, j'ai réalisé que nous devions renouveler notre inspiration en matière de sécurité, afin de vraiment motiver les développeurs à s'impliquer et à se lancer dans l'aventure.
Gamification : une direction simple à suivre.
J'ai une motivation profonde pour améliorer et renforcer les connaissances des développeurs en matière de sécurité, et c'est cette passion qui m'a poussé à créer Secure Code Warrior. La sécurité des logiciels est extrêmement importante et vraiment passionnante.
Je ne suis pas seul.
La ludification peut rendre les tâches les plus banales plus intéressantes et maintenir un niveau d'engagement suffisant pour que les gens aient envie de continuer à jouer, de gagner et de progresser. Il suffit de voir le chemin parcouru par Pokémon ! Même les personnes les plus paresseuses quittent leur canapé pour partir à la recherche de créatures fictives, ou encore FitBit qui fait de l'atteinte d'un certain nombre de pas l'objectif quotidien de nombreuses personnes... Si ces objectifs ne sont pas atteints, si la série de victoires prend fin ou si les badges ne sont pas obtenus, cela peut générer un sentiment de déception très réel.
Par conséquent, revenons à la formation à la sécurité. Nous avons démontré à de nombreux clients que la ludification est essentielle pour transformer véritablement la culture de sécurité au sein de leur organisation, établir des ponts entre les équipes AppSec et développement, et les aider globalement à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité absolue des développeurs. En ajoutant des éléments conviviaux, compétitifs et captivants à la méthode d'entraînement, vous les incitez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre des records, devenir plus précis et défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie se présente comme suit :
- Les développeurs peuvent travailler avec du code réel et leur propre langage/cadre.
- Le défi est court et couvre toutes les failles de sécurité courantes.
- Les défis sont en constante évolution et actualisation, ce qui permet aux développeurs de continuer à développer leurs compétences au fil du temps.
- Les défis présentent différents niveaux de complexité, ce qui permet aux développeurs expérimentés comme aux développeurs moins expérimentés de participer.
- Les développeurs et leurs responsables peuvent consulter les progrès réalisés, notamment les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau global de précision.
L'un de nos principaux clients a démontré la véritable puissance de la plateforme de gamification lors de son lancement, en fournissant aux développeurs des équipements thématiques pour leurs équipes, en offrant des récompenses exceptionnelles aux gagnants et en faisant de leur tournoi une journée mémorable. Depuis, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue de s'entraîner rigoureusement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption de la formation ludique pour lutter contre les codes de mauvaise qualité, en utilisant une approche véritablement innovante qui peut bouleverser la formation traditionnelle (ou ennuyeuse) - découvrez ce que nos clients leur ont fait subir lors du tournoi de niveau supérieur. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de modifier notre approche afin que la sécurité devienne une composante essentielle du travail de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
Au cours de ma carrière dans le développement logiciel et la sécurité, j'ai eu l'occasion de collaborer avec de nombreux responsables de la sécurité des applications, directeurs de la sécurité de l'information, directeurs informatiques et experts en cybersécurité, qui travaillent dans diverses entreprises à travers le monde.
Dans ce monde numérique en constante évolution, quelle que soit leur situation, l'expérience de leur équipe ou le temps écoulé, une question demeure inchangée : ils ont rarement l'occasion de participer activement au développement de l'équipe en matière de sécurité. La sécurité reste un sujet sensible, source de conflits entre les équipes et véritable source de difficultés pour le secteur.
Cependant, la sécurité logicielle revêt une importance trop capitale dans notre approche globale pour que nous continuions dans cette voie. Nous devons nous efforcer de modifier notre mode de communication afin que la sécurité devienne un élément indispensable du quotidien professionnel de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
La situation actuelle
Lorsque les développeurs quittent l'université, ils possèdent peu de connaissances pratiques en matière de code sécurisé, et les postes qu'ils occupent accordent rarement la priorité à la formation à la sécurité (si tel est le cas, celle-ci fait généralement partie de vidéos obligatoires sur la conformité en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne s'intéresse au codage sécurisé).Souvent, leur première expérience en matière de sécurité consiste à auditer ou à tester un rapport d'erreurs qui interrompt soudainement une future publication et devient immédiatement la priorité absolue de leur réflexion créative. Ils se retrouvent alors en désaccord avec les personnes chargées des rapports de sécurité, si bien que dans leur esprit, « sécurité » devient synonyme de « critique ».
Honnêtement, il est regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, les meilleurs souvenirs de ma carrière sont liés à l'apprentissage de la sécurité logicielle. Au début de ma carrière de hacker, j'ai participé à des conférences où j'ai non seulement pu tester mes compétences avec mes pairs (et, pour être franc, m'exhiber un peu), mais aussi rencontrer des personnes partageant les mêmes idées que moi, qui aimaient autant que moi détruire des logiciels, et passer de bons moments avec elles.
BruCon, DefCon, BlackHat... Ces événements offrent à des personnes comme moi la possibilité de mettre en pratique nos compétences dans le cadre de compétitions amicales. Bien que je n'aie jamais admis avoir participé à de telles activités, certains démontrent leurs compétences en matière de piratage informatique en accédant aux téléphones portables d'autres participants et en affichant leurs informations sur l'écran de démonstration à la vue de tous. Cela devient un jeu qui consiste à identifier ces vulnérabilités, à les exploiter et à les corriger afin d'améliorer les logiciels.Il y a quelques années, j'ai eu l'opportunité de rencontrer des centaines d'enfants du Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens notamment d'une élève de huit ans qui apprenait le craquage de mots de passe et le codage base64 tout en jouant à un jeu.
La ludification est également utilisée pour enseigner les compétences en programmation. Des établissements d'enseignement du monde entier utilisent cette méthode pour enseigner la programmation aux jeunes enfants, et ce jusqu'au niveau secondaire. Aujourd'hui, des enfants âgés de seulement quatre ans participent régulièrement à des événements tels que CodeCamp, et il existe denombreux programmes en ligne de qualité qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté un outil de programmation sans écran, le Cubetto, pourma fille de quatre ans.
Cependant, malgré tous ces avantages et progrès, il existe encore des lacunes. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Bien... Presque personne. Il y a quelques années, j'ai réalisé que nous devions renouveler notre inspiration en matière de sécurité, afin de vraiment motiver les développeurs à s'impliquer et à se lancer dans l'aventure.
Gamification : une direction simple à suivre.
J'ai une motivation profonde pour améliorer et renforcer les connaissances des développeurs en matière de sécurité, et c'est cette passion qui m'a poussé à créer Secure Code Warrior. La sécurité des logiciels est extrêmement importante et vraiment passionnante.
Je ne suis pas seul.
La ludification peut rendre les tâches les plus banales plus intéressantes et maintenir un niveau d'engagement suffisant pour que les gens aient envie de continuer à jouer, de gagner et de progresser. Il suffit de voir le chemin parcouru par Pokémon ! Même les personnes les plus paresseuses quittent leur canapé pour partir à la recherche de créatures fictives, ou encore FitBit qui fait de l'atteinte d'un certain nombre de pas l'objectif quotidien de nombreuses personnes... Si ces objectifs ne sont pas atteints, si la série de victoires prend fin ou si les badges ne sont pas obtenus, cela peut générer un sentiment de déception très réel.
Par conséquent, revenons à la formation à la sécurité. Nous avons démontré à de nombreux clients que la ludification est essentielle pour transformer véritablement la culture de sécurité au sein de leur organisation, établir des ponts entre les équipes AppSec et développement, et les aider globalement à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité absolue des développeurs. En ajoutant des éléments conviviaux, compétitifs et captivants à la méthode d'entraînement, vous les incitez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre des records, devenir plus précis et défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie se présente comme suit :
- Les développeurs peuvent travailler avec du code réel et leur propre langage/cadre.
- Le défi est court et couvre toutes les failles de sécurité courantes.
- Les défis sont en constante évolution et actualisation, ce qui permet aux développeurs de continuer à développer leurs compétences au fil du temps.
- Les défis présentent différents niveaux de complexité, ce qui permet aux développeurs expérimentés comme aux développeurs moins expérimentés de participer.
- Les développeurs et leurs responsables peuvent consulter les progrès réalisés, notamment les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau global de précision.
L'un de nos principaux clients a démontré la véritable puissance de la plateforme de gamification lors de son lancement, en fournissant aux développeurs des équipements thématiques pour leurs équipes, en offrant des récompenses exceptionnelles aux gagnants et en faisant de leur tournoi une journée mémorable. Depuis, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue de s'entraîner rigoureusement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption de la formation ludique pour lutter contre les codes de mauvaise qualité, en utilisant une approche véritablement innovante qui peut bouleverser la formation traditionnelle (ou ennuyeuse) - découvrez ce que nos clients leur ont fait subir lors du tournoi de niveau supérieur. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de modifier notre approche afin que la sécurité devienne une composante essentielle du travail de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Au cours de ma carrière dans le développement logiciel et la sécurité, j'ai eu l'occasion de collaborer avec de nombreux responsables de la sécurité des applications, directeurs de la sécurité de l'information, directeurs informatiques et experts en cybersécurité, qui travaillent dans diverses entreprises à travers le monde.
Dans ce monde numérique en constante évolution, quelle que soit leur situation, l'expérience de leur équipe ou le temps écoulé, une question demeure inchangée : ils ont rarement l'occasion de participer activement au développement de l'équipe en matière de sécurité. La sécurité reste un sujet sensible, source de conflits entre les équipes et véritable source de difficultés pour le secteur.
Cependant, la sécurité logicielle revêt une importance trop capitale dans notre approche globale pour que nous continuions dans cette voie. Nous devons nous efforcer de modifier notre mode de communication afin que la sécurité devienne un élément indispensable du quotidien professionnel de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
La situation actuelle
Lorsque les développeurs quittent l'université, ils possèdent peu de connaissances pratiques en matière de code sécurisé, et les postes qu'ils occupent accordent rarement la priorité à la formation à la sécurité (si tel est le cas, celle-ci fait généralement partie de vidéos obligatoires sur la conformité en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne s'intéresse au codage sécurisé).Souvent, leur première expérience en matière de sécurité consiste à auditer ou à tester un rapport d'erreurs qui interrompt soudainement une future publication et devient immédiatement la priorité absolue de leur réflexion créative. Ils se retrouvent alors en désaccord avec les personnes chargées des rapports de sécurité, si bien que dans leur esprit, « sécurité » devient synonyme de « critique ».
Honnêtement, il est regrettable que cette perception négative de la sécurité logicielle soit si répandue. Après tout, les meilleurs souvenirs de ma carrière sont liés à l'apprentissage de la sécurité logicielle. Au début de ma carrière de hacker, j'ai participé à des conférences où j'ai non seulement pu tester mes compétences avec mes pairs (et, pour être franc, m'exhiber un peu), mais aussi rencontrer des personnes partageant les mêmes idées que moi, qui aimaient autant que moi détruire des logiciels, et passer de bons moments avec elles.
BruCon, DefCon, BlackHat... Ces événements offrent à des personnes comme moi la possibilité de mettre en pratique nos compétences dans le cadre de compétitions amicales. Bien que je n'aie jamais admis avoir participé à de telles activités, certains démontrent leurs compétences en matière de piratage informatique en accédant aux téléphones portables d'autres participants et en affichant leurs informations sur l'écran de démonstration à la vue de tous. Cela devient un jeu qui consiste à identifier ces vulnérabilités, à les exploiter et à les corriger afin d'améliorer les logiciels.Il y a quelques années, j'ai eu l'opportunité de rencontrer des centaines d'enfants du Moyen-Orient et de leur enseigner la cybersécurité. Je me souviens notamment d'une élève de huit ans qui apprenait le craquage de mots de passe et le codage base64 tout en jouant à un jeu.
La ludification est également utilisée pour enseigner les compétences en programmation. Des établissements d'enseignement du monde entier utilisent cette méthode pour enseigner la programmation aux jeunes enfants, et ce jusqu'au niveau secondaire. Aujourd'hui, des enfants âgés de seulement quatre ans participent régulièrement à des événements tels que CodeCamp, et il existe denombreux programmes en ligne de qualité qui enseignent aux enfants à programmer en Python et dans d'autres langages. J'ai même acheté un outil de programmation sans écran, le Cubetto, pourma fille de quatre ans.
Cependant, malgré tous ces avantages et progrès, il existe encore des lacunes. Personne n'a envisagé la possibilité d'utiliser la gamification pour former les développeurs à l'écriture de code sécurisé.
Bien... Presque personne. Il y a quelques années, j'ai réalisé que nous devions renouveler notre inspiration en matière de sécurité, afin de vraiment motiver les développeurs à s'impliquer et à se lancer dans l'aventure.
Gamification : une direction simple à suivre.
J'ai une motivation profonde pour améliorer et renforcer les connaissances des développeurs en matière de sécurité, et c'est cette passion qui m'a poussé à créer Secure Code Warrior. La sécurité des logiciels est extrêmement importante et vraiment passionnante.
Je ne suis pas seul.
La ludification peut rendre les tâches les plus banales plus intéressantes et maintenir un niveau d'engagement suffisant pour que les gens aient envie de continuer à jouer, de gagner et de progresser. Il suffit de voir le chemin parcouru par Pokémon ! Même les personnes les plus paresseuses quittent leur canapé pour partir à la recherche de créatures fictives, ou encore FitBit qui fait de l'atteinte d'un certain nombre de pas l'objectif quotidien de nombreuses personnes... Si ces objectifs ne sont pas atteints, si la série de victoires prend fin ou si les badges ne sont pas obtenus, cela peut générer un sentiment de déception très réel.
Par conséquent, revenons à la formation à la sécurité. Nous avons démontré à de nombreux clients que la ludification est essentielle pour transformer véritablement la culture de sécurité au sein de leur organisation, établir des ponts entre les équipes AppSec et développement, et les aider globalement à créer des logiciels de meilleure qualité.
À l'heure actuelle, la sécurité n'est pas la priorité absolue des développeurs. En ajoutant des éléments conviviaux, compétitifs et captivants à la méthode d'entraînement, vous les incitez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre des records, devenir plus précis et défier leurs coéquipiers.
Nous savons déjà qu'une formation réussie se présente comme suit :
- Les développeurs peuvent travailler avec du code réel et leur propre langage/cadre.
- Le défi est court et couvre toutes les failles de sécurité courantes.
- Les défis sont en constante évolution et actualisation, ce qui permet aux développeurs de continuer à développer leurs compétences au fil du temps.
- Les défis présentent différents niveaux de complexité, ce qui permet aux développeurs expérimentés comme aux développeurs moins expérimentés de participer.
- Les développeurs et leurs responsables peuvent consulter les progrès réalisés, notamment les défis qu'ils ont relevés, leurs points forts et leurs points faibles, le temps consacré à la formation et leur niveau global de précision.
L'un de nos principaux clients a démontré la véritable puissance de la plateforme de gamification lors de son lancement, en fournissant aux développeurs des équipements thématiques pour leurs équipes, en offrant des récompenses exceptionnelles aux gagnants et en faisant de leur tournoi une journée mémorable. Depuis, ils ont organisé des compétitions internationales et, à ce jour, toute leur équipe continue de s'entraîner rigoureusement.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde de l'adoption de la formation ludique pour lutter contre les codes de mauvaise qualité, en utilisant une approche véritablement innovante qui peut bouleverser la formation traditionnelle (ou ennuyeuse) - découvrez ce que nos clients leur ont fait subir lors du tournoi de niveau supérieur. Êtes-vous prêt à faire passer votre équipe au niveau supérieur avec nous ?
Nous devons nous efforcer de modifier notre approche afin que la sécurité devienne une composante essentielle du travail de chaque développeur. Je considère que l'une des meilleures façons d'y parvenir consiste à responsabiliser les développeurs en matière de sécurité et à interagir avec eux, notamment par le biais de la ludification.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
