Frappez d'abord, frappez fort : pourquoi des cours de codage sécurisés organisés avec soin n'accordent aucune importance aux cybermenaces
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Table des matières
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
