Pieter Danhieux, PDG et cofondateur de Secure Code Warrior : « Tout le monde doit comprendre et accepter le rôle qu'il joue en matière de cybersécurité »
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
Questions-réponses sur CyberNews avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
