Champions contre entraîneurs : pourquoi chaque équipe de développement a besoin des deux
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Les mots « champion » et « entraîneur » sont de plus en plus pertinents en dehors du domaine sportif, et ils sont très présents dans la plupart des contextes. Des coachs de vie, des coachs de bien-être, des coachs d'empathie et des « champions » sont couronnés dans de nombreuses organisations. Des titres tels que « champion de la sécurité » ou « champion de l'ambiance » sont de plus en plus courants et intégrés à l'esprit et à la culture de l'entreprise. Quand les choses se corsent, qui ne voudrait pas avoir un entraîneur ou un champion à ses côtés ?
Les institutions du secteur de la cybersécurité font appel depuis longtemps à des champions dans le but de diffuser la bonne parole en matière de sécurité au niveau du développement et de faire respecter des normes plus strictes en matière de sécurité logicielle. Le BSIMM les appelle les Groupe de satellites, tandis qu'OpenSAMM et Axway font partie des groupes pionniers qui soutiennent les champions de la sécurité en tant que concept et programme formalisé. Ces initiatives recoupent et soutiennent l'un des principaux objectifs du mouvement DevSecOps, qui consiste à partager la responsabilité de la sécurité entre les équipes et les fonctions, dès le début du processus de développement logiciel.
De nombreuses entreprises qui fixent des objectifs dans leur approche de la cybersécurité ont mis en place un programme officiel de champions de la sécurité, conférant des responsabilités clés en matière de sécurité, qu'il s'agisse de la liaison entre les équipes, du cheerleading général ou de la supervision des meilleures pratiques, aux personnes qui font preuve d'aptitude et de passion pour ce rôle.
Cependant, il est assez évident que le rôle du « champion de la sécurité » est en train de changer, et une entreprise avant-gardiste peut atteindre de nouveaux sommets en matière de meilleures pratiques de sécurité évolutives avec une équipe élargie, composée de passionnés clés soutenant des fonctions différentes mais tout aussi importantes.
Nous sommes en train de redéfinir et de dupliquer le champion de la sécurité afin d'avoir un impact réel dans le cadre d'un programme de sécurité évolutif. Êtes-vous prêt à créer votre prochaine équipe de rêve ?
Chaque grande équipe peut compter sur un entraîneur inspirant.
Quand on pense à Lionel Messi, Michael Jordan et Serena Williams, seuls les fans les plus inconditionnels sont généralement en mesure de raconter des informations sur leurs entraîneurs. Cependant, c'est ce soutien qui permet de perfectionner leurs compétences naturelles, leur talent et leur volonté d'atteindre leurs objectifs qui est à l'origine de l'immense succès que nous voyons sous les projecteurs.
Personne ne s'attend à ce que les développeurs gagnent un Grand Chelem ou marquent un but pour l'Argentine. Bon sang, personne ne devrait même s'attendre à ce que les développeurs soient des experts en sécurité (après tout, ils se sont inscrits pour créer des fonctionnalités intéressantes, et non pour se plonger dans le domaine de la sécurité), mais un excellent « coach » en sécurité est leur véritable champion au sein de l'équipe.
Un champion de la sécurité côté développeur correspond bien mieux à ce que nous considérons comme les principes fondamentaux d'un coach. Ils sont passionnés par la sécurité, connaissent leur métier et constituent un point de contact essentiel lorsqu'un développeur a un problème de sécurité à résoudre. Ils possèdent le savoir-faire pratique nécessaire pour les aider à corriger le problème et à tirer les leçons de leurs erreurs, tout en veillant à ce que l'équipe respecte les meilleures pratiques et valeurs fondamentales en matière de sécurité.
Le champion de l'AppSec voudrait-il se lever, s'il vous plaît ?
Un champion du côté d'AppSec est une pièce souvent absente du puzzle des programmes de sécurité. Ils sont absolument essentiels au succès d'une équipe de développement et, en tant que passerelle entre les cadres dirigeants et les développeurs, ils peuvent activement les défendre et les aider à disposer des outils dont ils ont besoin pour avoir un impact positif sur la réduction des vulnérabilités, la sécurité des logiciels, ainsi que la confiance et la satisfaction des clients.
Un grand champion de la sécurité des applications est reconnu comme un leader de la sécurité au sein de l'entreprise, et il devrait jouer un rôle important dans la formation à la sécurité entraîneurs directement, dans le but final d'améliorer les résultats et les relations entre les équipes, le tout dans un objectif commun : un code sécurisé et infaillible.
Invoquer votre supercoach.
Les champions et les meilleurs entraîneurs vont de pair et, ensemble, ils créent de la magie. Les programmes de promotion de la sécurité existants ont tendance à se concentrer sur le développeur, mais comme nous l'avons identifié, la véritable priorité devrait être accordée à l'AppSec, laissant aux développeurs les plus passionnés et les plus attentifs à la sécurité le soin de contribuer à l'excellence du codage sécurisé, pour le reste de l'équipe.
La découverte de l'entraîneur idéal reste un processus similaire à celui du champion traditionnel : le meilleur entraîneur est pas simplement la personne qui est « la meilleure » en matière de sécurité. La personne qui excelle dans l'art de coder en toute sécurité et de produire du code fortifié de haute qualité n'a peut-être aucun intérêt à assumer un rôle parascolaire, ou peut-être qu'elle n'est pas particulièrement enthousiasmée par la sécurité malgré ses aptitudes.
Au lieu de cela, votre coach pourrait être découvert si vous recherchez quelqu'un qui :
- S'intéresse vivement à la cybersécurité, qu'il s'agisse du codage pratique ou de la mise à jour des derniers incidents, outils et développements intéressants
- Possède de bonnes compétences interpersonnelles ; il aime aider les autres, se sentir comme la personne de référence (ou l'expert résident) et fait preuve d'un esprit d'équipe accessible
- Peut être proactif dans le plaidoyer auprès des développeurs ; ils savent ce qui est nécessaire pour aider l'équipe et peuvent travailler avec leur agent de liaison AppSec (leur champion) pour répondre aux besoins afin d'obtenir des résultats de sécurité mutuels.
Encouragez le poste d'entraîneur, qui que vous choisissiez volonté doivent assumer davantage de responsabilités et leur charge de travail devra être évaluée en conséquence. Bien que l'intérêt personnel et la progression de carrière puissent influencer la motivation d'un entraîneur potentiel, il est recommandé de voir où il peut être récompensé pour avoir marqué des buts. Peuvent-ils être envoyés à une conférence géniale ? Peuvent-ils bénéficier d'un congé supplémentaire ? Les cours et les certifications peuvent-ils être financés pour eux ? Le temps et l'argent consacrés dès maintenant à sécuriser le SDLC dès le départ permettent d'économiser beaucoup plus tard dans le cycle, ou pire encore, si une vulnérabilité est découverte en direct, et un bon coach maintiendra le niveau de sensibilisation élevé. Trouvez un moyen d'offrir des récompenses significatives.
Votre programme de champion de la sécurité de niveau supérieur.
En fin de compte, en tant qu'industrie, nous devons faire davantage pour soutenir les développeurs et les inciter à adopter la solution de sécurité cachée, tout en les motivant à comprendre qu'un code de qualité est un code sécurisé. Il est difficile de se soucier de quelque chose lorsque le temps et les efforts nécessaires pour éduquer et favoriser la réussite n'ont pas été consacrés, et malheureusement, cela a tendance à être le cas pour l'enseignement du codage sécurisé. Une formation pertinente et pratique, associée à un coach par les pairs et à un défenseur de la sécurité des applications, constitue vraiment le triple avantage nécessaire pour aider l'équipe de développement à libérer sa puissance défensive.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
