Champions contre entraîneurs : pourquoi chaque équipe de développement a besoin des deux

Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.


