Statique contre Formation dynamique à la cybersécurité : conformité impulsive, problèmes futurs
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
Bien que les initiatives réglementaires s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
On dirait que la « conformité en matière de cybersécurité » est à la mode depuis des années, avec une infinité d'articles, d'initiatives et de comités discutant de la meilleure façon dont le monde devrait lutter contre l'énorme bête multimenace qu'est la cybercriminalité.
Le problème, c'est que nous ne semblons pas avoir fait cette de nombreux progrès. À l'échelle mondiale, le coût des violations de données n'a cessé d'augmenter, augmentant de 12 % en cinq ans pour s'établir à environ 3,92 millions de dollars américains par violation en 2019. Alors que notre utilisation d'Internet a explosé en quelques décennies à peine, de nombreuses entreprises ont dû se battre sans armes pour se lancer rapidement en ligne, créer leur boutique et faire face aux conséquences de logiciels non sécurisés, de ressources AppSec limitées et, dans certains cas, d'abus de confiance des clients.
De nos jours, nous sommes irréfutablement plus mûrs. Nous comprenons et discutons longuement de l'ampleur de la menace, les entreprises sont bien conscientes de l'impact qu'une cyberattaque peut avoir sur le sentiment des clients, leur réputation et leurs résultats, et de nombreuses entreprises cherchent activement à améliorer la sécurité des logiciels grâce à des formations à la conformité, à des recrutements qualifiés et, de plus en plus, à des initiatives DevSecOps. Malgré ces énormes avancées, nous ne sommes pas en train de gagner le combat, même pas de près. Il y a eu au moins quatre milliards de disques volés en matière de violations de données rien qu'en 2019.
L'un des ingrédients manquants était une répercussion quelque peu lente (au niveau gouvernemental) sur les normes de cybersécurité, les attentes et les conséquences d'une violation. L'avènement de GDPR a connu un certain essor, du moins en Europe, mais de nombreux organismes gouvernementaux sont en train de rattraper leur retard, et la nécessité soudaine de se conformer rapidement à de nouvelles initiatives de conformité pourrait avoir des effets indésirables à l'avenir.
Des imbéciles se précipitent (vers le mauvais entraînement)
Des directives robustes sous la forme de NIST, de nouvelles réglementations pour État de New York et la création du Conseil britannique de cybersécurité ont toutes été des victoires monumentales pour ceux qui mènent le bon combat pour assurer la sécurité de nos données. Ils reconnaissent les problèmes liés au développement logiciel actuel et prennent des mesures pour guider les organisations sur les normes qu'elles doivent désormais respecter pour être considérées comme éthiques et conformes, en termes de meilleures pratiques de sécurité.
Malheureusement, à ce stade, certains des éléments les plus importants sont un peu trop sujets à interprétation. Par exemple, l'un des mandats de la législation du Conseil britannique de cybersécurité est le suivant :
« Créer une liste définie de certifications et un cadre facile à comprendre expliquant comment elles sont toutes liées entre elles et quelles sont les capacités qu'elles véhiculent, en s'appuyant sur les cheminements de carrière déjà entrepris ».
Bien que leurs initiatives s'amélioreront et se développeront sans aucun doute au fil du temps, si les organisations sont déjà en train d'appuyer sur le bouton de panique et de se lancer dans la formation dès maintenant, elles pourraient bien se retrouver mal équipées pour l'avenir.
Les exigences d'une organisation en matière de cybersécurité évoluent rapidement, et il est peu probable que les solutions de formation statiques puissent endiguer le flux de logiciels non sécurisés au rythme requis. Le paysage évolue plus rapidement qu'un cours traditionnel ne peut être mis à jour, ce qui peut entraîner des difficultés à certains endroits dans le piège des exercices de conformité à cocher ; les développeurs, les sous-traitants et les autres professionnels de la sécurité ne reçoivent pas une formation adéquate, et nous sommes redevenus des cibles faciles.
L'entraînement statique et les outils statiques présentent les mêmes problèmes
Les outils d'analyse statique font partie intégrante du SDLC et font leur travail en analysant des outils de pointe pour les spécialistes AppSec rares et surchargés de travail que l'on trouve dans la plupart des grandes entreprises. Ils font un excellent travail, mais il y a un défaut : aucun outil ne peut détecter toutes les vulnérabilités, prenant en charge la vaste gamme de frameworks de programmation disponibles. C'est également un processus lent, et il suffit d'un bogue de sécurité pour passer entre les mailles du filet pour laisser une porte ouverte à un attaquant.
Avec l'entraînement statique, le problème est similaire. Si les développeurs reçoivent une formation à la sécurité sous la forme d'un cours rigide et « personnalisé », il est très peu probable qu'ils aient suivi le rythme des problèmes de sécurité les plus courants au cours de cette période. Il donne un aperçu de l'époque à laquelle il a été écrit, et il est rarement suffisamment revu, présenté dans la langue et le cadre préférés de l'étudiant, et il n'est pas non plus contextuel aux vulnérabilités auxquelles il est susceptible de faire face dans son travail quotidien. Imaginez que vous essayez de vous souvenir d'une information pertinente contenue dans une vidéo que vous avez regardée il y a des mois, tout en essayant de respecter les délais de livraison et de diffuser du code... il est peu probable que cela se produise.
Les méthodes de formation traditionnelles sont en train d'être réévaluées dans de nombreux secteurs, mais lorsqu'il s'agit de former les développeurs à la sécurité, il suffit de prendre en compte le volume considérable de violations de données que nous subissons encore (en particulier celles qui peuvent être attribuées à des vulnérabilités que nous savons comment éviter en matière de codage depuis des décennies) comme une injection SQL) pour réaliser que nous devons essayer une autre méthode.
Nous avons besoin d'une formation qui dépasse les limites d'un cours linéaire unique, capable de s'adapter aux besoins en constante évolution des meilleures pratiques en matière de cybersécurité.
Entraînement dynamique : la référence absolue
En proposant aux développeurs une solution de formation dynamique, qui peut être adaptée rapidement à l'entreprise, au niveau de compétence individuel et aux évolutions générales du secteur, vous leur fournissez les meilleures bases pour coder en toute sécurité, en gardant la sécurité au premier plan et en agissant dans un esprit conscient de la sécurité.
Une formation qui convient à tous, qui ne sera jamais revisitée et qui ne soit pas engageante au départ sera une perte de temps totale. Malheureusement, cela signifie que vous pourriez finir par acheter impulsivement un programme inefficace pour des raisons de conformité. Il peut être obsolète avant même que vous ne le déployez, ou à peine adapté aux besoins de leur travail quotidien.
L'entraînement dynamique est un outil vivant qui est constamment mis à jour, adapté aux besoins quotidiens, qui engage les utilisateurs à faire preuve d'esprit critique et leur permet réellement d'acquérir des compétences et de résoudre les problèmes.
Alors, à quoi ressemble un programme de formation dynamique dans un contexte de sécurité ?
Il s'agira de :
- De la taille d'une bouchée: Les développeurs peuvent acquérir des compétences par étapes faciles à gérer et beaucoup plus faciles à mémoriser (et surtout à appliquer) que de longs modules de formation et des vidéos
- Pertinent : À quoi sert une formation générique à la sécurité dont les exemples sont en C#, par exemple, lorsque le développeur code principalement en Java ? Toute formation doit s'appliquer directement à leur rôle, leur permettant de voir ce qu'ils doivent trouver et corriger (et, idéalement, éviter en premier lieu) pendant qu'ils codent.
- Actuel : Cela semble évident, mais ce n'est pas souvent le cas. Le paysage de la cybersécurité est en constante évolution, et l'augmentation du code entraîne une augmentation des responsabilités. Pour que les développeurs soient votre première ligne de défense, ils ont besoin d'une formation adaptée aux meilleures pratiques de sécurité modernes.
- Engagement : Ce n'est un secret pour personne que la « sécurité » peut être une corvée pour les développeurs, surtout si cela interfère avec leur flux créatif. Une formation adaptée leur montrera le pouvoir dont ils disposent pour résoudre les problèmes de sécurité quotidiens qui peuvent se transformer en risques énormes, en développant une culture de responsabilité et de sensibilisation à la sécurité.
- Amusant : L'entraînement dynamique est rarement ennuyeux ; il est censé être au moins un peu excitant de par sa conception. Pensez à ce que les développeurs adorent : résoudre des problèmes, rivaliser avec leurs pairs et, comme beaucoup d'entre nous sur le marché du travail, être récompensés et reconnus. Tirez parti de leurs points forts et concentrez-vous sur l'obtention des meilleurs résultats.
C'est une période passionnante pour les ingénieurs logiciels ; ils jouent un rôle essentiel dans l'innovation numérique, contribuent à créer des entreprises extraordinaires et prennent même le monde d'assaut avec leurs propres créations. Cependant, les organismes gouvernementaux et les grandes entreprises étant conscients du rôle qu'ils doivent jouer dans l'établissement de normes en matière de sécurité logicielle, il est important de les soutenir en leur proposant des solutions de formation efficaces et dynamiques qui favorisent l'amour pour le codage sécurisé, et non un exercice bureaucratique à cocher des cases.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
