Frappez d'abord, frappez fort : pourquoi des cours de codage sécurisés organisés avec soin n'accordent aucune importance aux cybermenaces
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
