Pourquoi la gamification est la clé pour améliorer la sécurité de vos logiciels
Des responsables de la sécurité des applications, des RSSI, des DSI, des experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises du monde entier - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement en matière de sécurité. La sécurité reste le gros mot, la source de conflits entre les équipes et la véritable difficulté du secteur.
Cependant, la sécurité logicielle est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture de code sécurisé. Ils occupent des emplois où la formation à la sécurité est rarement une priorité (et quand c'est le cas, elle fait généralement partie des vidéos de conformité obligatoires en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne se soucierait du codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport de bogue d'audit ou de test qui interrompt soudainement une future version, perturbant instantanément leur esprit créatif. Ils se trouvent en désaccord avec les responsables des rapports de sécurité, de sorte que « sécurité » devient synonyme de « critique » dans leur esprit. Beurk.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité logicielle. J'ai passé mes premières journées en matière de piratage informatique à assister à des conférences, où je pouvais non seulement tester mes compétences (et pour être honnête, me montrer un peu) par rapport à mes pairs, mais aussi m'amuser énormément à rencontrer des personnes partageant les mêmes idées qui aimaient autant que moi casser des logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi d'utiliser leurs compétences lors de compétitions amicales. Je n'admettrais jamais avoir participé à de telles activités antisociales, mais certains démontreraient même leurs prouesses en matière de piratage informatique en s'introduisant dans les téléphones des autres participants et en affichant leurs informations sur les écrans de présentation à la vue de tous. C'est devenu un jeu, trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de rencontrer des centaines d'enfants du Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait le forçage brut des mots de passe et l'encodage base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage aux très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants d'à peine quatre ans participent désormais régulièrement à des initiatives de vacances telles que Code Camp, et il existe de nombreux programmes en ligne fantastiques qui enseignent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a un écart. Personne n'a pensé à la possibilité de tirer parti de la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, je me suis rendu compte que nous devions redonner de l'inspiration à la sécurité et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la solution la plus simple.
Je suis profondément déterminé à aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a amené à créer Secure Code Warrior. La sécurité des logiciels est très importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser.
La gamification peut rendre les tâches les plus banales encore plus amusantes et permet aux joueurs de rester suffisamment motivés pour continuer à jouer, à gagner et à progresser. Il suffit de regarder la façon dont Pokemon Go est joué ! a permis à la personne la plus paresseuse de se lever du canapé, de sortir à la recherche de créatures imaginaires, ou de découvrir comment FitBit se donne pour objectif quotidien d'atteindre le nombre de pas... Si ces objectifs ne sont pas atteints, si les séries sont interrompues et que les badges ne sont pas gagnés, un véritable sentiment de déception se manifeste.
Revenons donc à la formation en matière de sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour réellement transformer la culture de sécurité de leurs organisations, en établissant des liens entre les équipes AppSec et les équipes de développement, et en les aidant généralement à créer des logiciels répondant à des normes plus élevées.
À l'heure actuelle, la sécurité n'est pas la priorité des développeurs. En ajoutant un élément amical, compétitif et engageant à vos méthodes d'entraînement, vous les motivez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre les meilleurs scores, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs sont capables de travailler en code réel et dans leurs propres langages/frameworks
- Les défis sont courts et couvrent toutes les failles de sécurité courantes
- Les défis sont constamment étendus et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps
- Les défis varient en complexité, ils sont donc intéressants à la fois pour les développeurs expérimentés et pour les développeurs moins expérimentés
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, notamment les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a démontré la véritable magie d'une plateforme gamifiée lors de son déploiement, en proposant à ses développeurs du matériel d'équipe thématique, en offrant des prix incroyables aux gagnants des jeux et en faisant de son tournoi une journée inoubliable. Depuis, ils proposent des compétitions internationales et toute leur équipe continue de s'entraîner sérieusement à ce jour.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de regarder ce que notre client a fait avec son tournoi de niveau supérieur. Es-tu prêt à Améliorez votre équipe avec nous ?
Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Des responsables de la sécurité des applications, des RSSI, des DSI, des experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises du monde entier - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement en matière de sécurité. La sécurité reste le gros mot, la source de conflits entre les équipes et la véritable difficulté du secteur.
Cependant, la sécurité logicielle est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture de code sécurisé. Ils occupent des emplois où la formation à la sécurité est rarement une priorité (et quand c'est le cas, elle fait généralement partie des vidéos de conformité obligatoires en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne se soucierait du codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport de bogue d'audit ou de test qui interrompt soudainement une future version, perturbant instantanément leur esprit créatif. Ils se trouvent en désaccord avec les responsables des rapports de sécurité, de sorte que « sécurité » devient synonyme de « critique » dans leur esprit. Beurk.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité logicielle. J'ai passé mes premières journées en matière de piratage informatique à assister à des conférences, où je pouvais non seulement tester mes compétences (et pour être honnête, me montrer un peu) par rapport à mes pairs, mais aussi m'amuser énormément à rencontrer des personnes partageant les mêmes idées qui aimaient autant que moi casser des logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi d'utiliser leurs compétences lors de compétitions amicales. Je n'admettrais jamais avoir participé à de telles activités antisociales, mais certains démontreraient même leurs prouesses en matière de piratage informatique en s'introduisant dans les téléphones des autres participants et en affichant leurs informations sur les écrans de présentation à la vue de tous. C'est devenu un jeu, trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de rencontrer des centaines d'enfants du Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait le forçage brut des mots de passe et l'encodage base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage aux très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants d'à peine quatre ans participent désormais régulièrement à des initiatives de vacances telles que Code Camp, et il existe de nombreux programmes en ligne fantastiques qui enseignent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a un écart. Personne n'a pensé à la possibilité de tirer parti de la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, je me suis rendu compte que nous devions redonner de l'inspiration à la sécurité et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la solution la plus simple.
Je suis profondément déterminé à aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a amené à créer Secure Code Warrior. La sécurité des logiciels est très importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser.
La gamification peut rendre les tâches les plus banales encore plus amusantes et permet aux joueurs de rester suffisamment motivés pour continuer à jouer, à gagner et à progresser. Il suffit de regarder la façon dont Pokemon Go est joué ! a permis à la personne la plus paresseuse de se lever du canapé, de sortir à la recherche de créatures imaginaires, ou de découvrir comment FitBit se donne pour objectif quotidien d'atteindre le nombre de pas... Si ces objectifs ne sont pas atteints, si les séries sont interrompues et que les badges ne sont pas gagnés, un véritable sentiment de déception se manifeste.
Revenons donc à la formation en matière de sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour réellement transformer la culture de sécurité de leurs organisations, en établissant des liens entre les équipes AppSec et les équipes de développement, et en les aidant généralement à créer des logiciels répondant à des normes plus élevées.
À l'heure actuelle, la sécurité n'est pas la priorité des développeurs. En ajoutant un élément amical, compétitif et engageant à vos méthodes d'entraînement, vous les motivez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre les meilleurs scores, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs sont capables de travailler en code réel et dans leurs propres langages/frameworks
- Les défis sont courts et couvrent toutes les failles de sécurité courantes
- Les défis sont constamment étendus et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps
- Les défis varient en complexité, ils sont donc intéressants à la fois pour les développeurs expérimentés et pour les développeurs moins expérimentés
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, notamment les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a démontré la véritable magie d'une plateforme gamifiée lors de son déploiement, en proposant à ses développeurs du matériel d'équipe thématique, en offrant des prix incroyables aux gagnants des jeux et en faisant de son tournoi une journée inoubliable. Depuis, ils proposent des compétitions internationales et toute leur équipe continue de s'entraîner sérieusement à ce jour.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de regarder ce que notre client a fait avec son tournoi de niveau supérieur. Es-tu prêt à Améliorez votre équipe avec nous ?
Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Des responsables de la sécurité des applications, des RSSI, des DSI, des experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises du monde entier - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement en matière de sécurité. La sécurité reste le gros mot, la source de conflits entre les équipes et la véritable difficulté du secteur.
Cependant, la sécurité logicielle est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture de code sécurisé. Ils occupent des emplois où la formation à la sécurité est rarement une priorité (et quand c'est le cas, elle fait généralement partie des vidéos de conformité obligatoires en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne se soucierait du codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport de bogue d'audit ou de test qui interrompt soudainement une future version, perturbant instantanément leur esprit créatif. Ils se trouvent en désaccord avec les responsables des rapports de sécurité, de sorte que « sécurité » devient synonyme de « critique » dans leur esprit. Beurk.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité logicielle. J'ai passé mes premières journées en matière de piratage informatique à assister à des conférences, où je pouvais non seulement tester mes compétences (et pour être honnête, me montrer un peu) par rapport à mes pairs, mais aussi m'amuser énormément à rencontrer des personnes partageant les mêmes idées qui aimaient autant que moi casser des logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi d'utiliser leurs compétences lors de compétitions amicales. Je n'admettrais jamais avoir participé à de telles activités antisociales, mais certains démontreraient même leurs prouesses en matière de piratage informatique en s'introduisant dans les téléphones des autres participants et en affichant leurs informations sur les écrans de présentation à la vue de tous. C'est devenu un jeu, trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de rencontrer des centaines d'enfants du Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait le forçage brut des mots de passe et l'encodage base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage aux très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants d'à peine quatre ans participent désormais régulièrement à des initiatives de vacances telles que Code Camp, et il existe de nombreux programmes en ligne fantastiques qui enseignent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a un écart. Personne n'a pensé à la possibilité de tirer parti de la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, je me suis rendu compte que nous devions redonner de l'inspiration à la sécurité et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la solution la plus simple.
Je suis profondément déterminé à aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a amené à créer Secure Code Warrior. La sécurité des logiciels est très importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser.
La gamification peut rendre les tâches les plus banales encore plus amusantes et permet aux joueurs de rester suffisamment motivés pour continuer à jouer, à gagner et à progresser. Il suffit de regarder la façon dont Pokemon Go est joué ! a permis à la personne la plus paresseuse de se lever du canapé, de sortir à la recherche de créatures imaginaires, ou de découvrir comment FitBit se donne pour objectif quotidien d'atteindre le nombre de pas... Si ces objectifs ne sont pas atteints, si les séries sont interrompues et que les badges ne sont pas gagnés, un véritable sentiment de déception se manifeste.
Revenons donc à la formation en matière de sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour réellement transformer la culture de sécurité de leurs organisations, en établissant des liens entre les équipes AppSec et les équipes de développement, et en les aidant généralement à créer des logiciels répondant à des normes plus élevées.
À l'heure actuelle, la sécurité n'est pas la priorité des développeurs. En ajoutant un élément amical, compétitif et engageant à vos méthodes d'entraînement, vous les motivez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre les meilleurs scores, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs sont capables de travailler en code réel et dans leurs propres langages/frameworks
- Les défis sont courts et couvrent toutes les failles de sécurité courantes
- Les défis sont constamment étendus et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps
- Les défis varient en complexité, ils sont donc intéressants à la fois pour les développeurs expérimentés et pour les développeurs moins expérimentés
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, notamment les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a démontré la véritable magie d'une plateforme gamifiée lors de son déploiement, en proposant à ses développeurs du matériel d'équipe thématique, en offrant des prix incroyables aux gagnants des jeux et en faisant de son tournoi une journée inoubliable. Depuis, ils proposent des compétitions internationales et toute leur équipe continue de s'entraîner sérieusement à ce jour.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de regarder ce que notre client a fait avec son tournoi de niveau supérieur. Es-tu prêt à Améliorez votre équipe avec nous ?
Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Des responsables de la sécurité des applications, des RSSI, des DSI, des experts en cybersécurité - j'ai parlé à beaucoup d'entre eux, travaillant dans toutes sortes d'entreprises du monde entier - au cours de ma propre carrière dans le développement de logiciels et la sécurité.
Quelle que soit leur situation, l'expérience de leur équipe ou le temps qui passe dans ce monde numérique en constante évolution, un problème reste le même : ils sont rarement en mesure d'impliquer positivement leur équipe de développement en matière de sécurité. La sécurité reste le gros mot, la source de conflits entre les équipes et la véritable difficulté du secteur.
Cependant, la sécurité logicielle est tout simplement trop importante pour que notre état d'esprit général continue dans cette voie. Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Le paysage actuel
Les développeurs quittent l'université avec très peu de connaissances pratiques sur la fourniture de code sécurisé. Ils occupent des emplois où la formation à la sécurité est rarement une priorité (et quand c'est le cas, elle fait généralement partie des vidéos de conformité obligatoires en matière de santé et de sécurité, qui sont si ennuyeuses que personne ne se soucierait du codage sécurisé). Très souvent, leur première expérience en matière de sécurité est un rapport de bogue d'audit ou de test qui interrompt soudainement une future version, perturbant instantanément leur esprit créatif. Ils se trouvent en désaccord avec les responsables des rapports de sécurité, de sorte que « sécurité » devient synonyme de « critique » dans leur esprit. Beurk.
Il est vraiment dommage que cette perception négative de la sécurité des logiciels soit si répandue. Après tout, certains des meilleurs souvenirs que je garde de ma carrière sont liés à l'apprentissage de la sécurité logicielle. J'ai passé mes premières journées en matière de piratage informatique à assister à des conférences, où je pouvais non seulement tester mes compétences (et pour être honnête, me montrer un peu) par rapport à mes pairs, mais aussi m'amuser énormément à rencontrer des personnes partageant les mêmes idées qui aimaient autant que moi casser des logiciels.
BruCon, DefCon, BlackHat... ces événements ont permis à des personnes comme moi d'utiliser leurs compétences lors de compétitions amicales. Je n'admettrais jamais avoir participé à de telles activités antisociales, mais certains démontreraient même leurs prouesses en matière de piratage informatique en s'introduisant dans les téléphones des autres participants et en affichant leurs informations sur les écrans de présentation à la vue de tous. C'est devenu un jeu, trouver ces failles, les exploiter et les corriger, afin d'améliorer les logiciels. Il y a quelques années, j'ai eu le privilège de rencontrer des centaines d'enfants du Moyen-Orient pour leur enseigner la cybersécurité. Je me souviens encore d'une fillette de huit ans parmi mes élèves, qui apprenait le forçage brut des mots de passe et l'encodage base64 tout en jouant à des jeux.
La gamification est également utilisée pour enseigner les techniques de codage. Les établissements d'enseignement du monde entier utilisent cette approche pour enseigner le codage aux très jeunes enfants, même jusqu'à l'âge du lycée. Des enfants d'à peine quatre ans participent désormais régulièrement à des initiatives de vacances telles que Code Camp, et il existe de nombreux programmes en ligne fantastiques qui enseignent aux enfants à coder en Python et dans d'autres langages. J'ai même acheté l'incroyable outil de codage sans écran, Cubetto, pour ma fille de quatre ans.
Cependant, malgré tout ce plaisir et ces progrès, il y a un écart. Personne n'a pensé à la possibilité de tirer parti de la gamification pour former les développeurs à l'écriture de code sécurisé.
Eh bien... presque personne. Il y a quelques années, je me suis rendu compte que nous devions redonner de l'inspiration à la sécurité et motiver réellement les développeurs à s'impliquer et à commencer à jouer.
Gamification : la solution la plus simple.
Je suis profondément déterminé à aider les développeurs à acquérir des connaissances en matière de sécurité, et c'est cette passion qui m'a amené à créer Secure Code Warrior. La sécurité des logiciels est très importante, et elle peut vraiment être passionnante.
Je ne suis pas le seul à penser.
La gamification peut rendre les tâches les plus banales encore plus amusantes et permet aux joueurs de rester suffisamment motivés pour continuer à jouer, à gagner et à progresser. Il suffit de regarder la façon dont Pokemon Go est joué ! a permis à la personne la plus paresseuse de se lever du canapé, de sortir à la recherche de créatures imaginaires, ou de découvrir comment FitBit se donne pour objectif quotidien d'atteindre le nombre de pas... Si ces objectifs ne sont pas atteints, si les séries sont interrompues et que les badges ne sont pas gagnés, un véritable sentiment de déception se manifeste.
Revenons donc à la formation en matière de sécurité. Nous avons prouvé à de nombreux clients que la gamification est essentielle pour réellement transformer la culture de sécurité de leurs organisations, en établissant des liens entre les équipes AppSec et les équipes de développement, et en les aidant généralement à créer des logiciels répondant à des normes plus élevées.
À l'heure actuelle, la sécurité n'est pas la priorité des développeurs. En ajoutant un élément amical, compétitif et engageant à vos méthodes d'entraînement, vous les motivez non seulement à « jouer », mais aussi à revenir pour gagner plus de points, battre les meilleurs scores, devenir plus précis et défier les autres membres de l'équipe.
Nous savons déjà qu'une formation réussie ressemble à ceci :
- Les développeurs sont capables de travailler en code réel et dans leurs propres langages/frameworks
- Les défis sont courts et couvrent toutes les failles de sécurité courantes
- Les défis sont constamment étendus et mis à jour afin que les développeurs puissent continuer à développer leurs compétences au fil du temps
- Les défis varient en complexité, ils sont donc intéressants à la fois pour les développeurs expérimentés et pour les développeurs moins expérimentés
- Les développeurs et leurs responsables peuvent visualiser les progrès réalisés, notamment les défis qu'ils ont relevés, leurs forces et leurs faiblesses, le temps consacré à la formation et leur précision globale.
L'un de nos plus gros clients a démontré la véritable magie d'une plateforme gamifiée lors de son déploiement, en proposant à ses développeurs du matériel d'équipe thématique, en offrant des prix incroyables aux gagnants des jeux et en faisant de son tournoi une journée inoubliable. Depuis, ils proposent des compétitions internationales et toute leur équipe continue de s'entraîner sérieusement à ce jour.
Votre propre révolution logicielle commence ici. Le secteur bancaire australien est à l'avant-garde en adoptant la formation gamifiée pour lutter contre les mauvais codes, dans le cadre d'une approche véritablement innovante qui bouleverse la formation traditionnelle (ou ennuyeuse). Il suffit de regarder ce que notre client a fait avec son tournoi de niveau supérieur. Es-tu prêt à Améliorez votre équipe avec nous ?
Nous devons nous efforcer de changer la donne, de faire de la sécurité une partie intégrante de la vie professionnelle de chaque développeur. Et je pense que l'un des meilleurs moyens d'y parvenir est de responsabiliser les développeurs et de les impliquer en matière de sécurité par le biais, par exemple, de la gamification.
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
