Une formation approfondie en matière de sécurité soulève des questions dans le domaine de l'enseignement

Depuis le début de notre mission en 2015, notre objectif a toujours été de proposer des formations de codage sécurisé amusantes, pertinentes et engageantes pour les développeurs. Nous reconnaissons depuis longtemps l'importance de fournir aux développeurs les connaissances et les outils nécessaires pour comprendre les meilleures pratiques en matière de sécurité, pourquoi elles sont importantes et comment ils peuvent aider à protéger les logiciels contre les attaques malveillantes au fur et à mesure de l'écriture du code.

Cependant, la formation à la sécurité n'est pas un concept nouveau. Nous n'avons certainement pas été les premiers à prendre cette initiative, et des mesures de sécurité adéquates sont prises en compte depuis longtemps dans le développement de logiciels. Bien sûr, certains types de formation sont plus efficaces que d'autres, mais l'accès à certaines formations en matière de sécurité est relativement facile à trouver, surtout aujourd'hui.

... alors pourquoi sommes-nous confrontés à tant de violations de données ? Au mois de septembre, plus de quatre milliards d'enregistrements ont été exposés à de multiples cyberattaques rien qu'en 2019.

De nombreuses organisations mènent actuellement une bataille perdue d'avance pour assurer la sécurité de leurs données de plus en plus précieuses. Il est devenu parfaitement clair pour les RSSI et les DSI du monde entier que le « virage vers la gauche » est encore trop tard ; nous devons démarrer s'est retrouvé avec la sécurité dans le SDLC, ce qui signifie que les développeurs doivent avoir les connaissances nécessaires en matière de sécurité pour corriger les failles bien avant que le code ne soit validé, et encore moins avant qu'il ne soit diffusé en public.

Les spécialistes de la sécurité des applications ne peuvent pas être les seuls gardiens des connaissances en matière de sécurité.

Dans le passé, la sécurité des logiciels était l'apanage d'un groupe très particulier de geeks intelligents, qui n'interagissaient quasiment pas avec les ingénieurs qui écrivaient le code. C'était leur travail de tester, de déchiffrer et d'empêcher le code non sécurisé de voir le jour. S'ils se croisaient, c'est probablement parce que le spécialiste de la sécurité a signalé des failles dans le code... ce qui ne manquera pas de susciter un accueil glacial de la part du développeur qui a asservi sa création.

Aujourd'hui, la situation est à peu près la même, sauf que maintenant, l'enjeu est bien plus important. Presque tous les aspects de notre vie sont numérisés... qu'il s'agisse d'albums photos sur les réseaux sociaux, de dossiers médicaux, de transactions bancaires ou de nos pièces d'identité les plus précieuses. Protéger principalement les logiciels et les systèmes d'exploitation autonomes hors ligne était une chose. C'en est une autre de devoir se défendre contre des menaces qui pèsent sur des milliards de lignes de code, avec des centaines de millions d'utilisateurs potentiellement en danger. Les enjeux sont tout simplement trop importants pour qu'un groupe de spécialistes puisse en assumer l'entière responsabilité. C'est pourquoi nous devons combler le fossé entre AppSec et l'équipe de développement. Ils doivent travailler ensemble, partager leurs connaissances et fonctionner comme une unité cohérente et soucieuse de la sécurité.

Il y a juste un problème à cela : les développeurs ont rarement l'occasion d'acquérir des compétences en matière de codage sécurisé de manière significative. La plupart de l'enseignement supérieur aborde à peine les meilleures pratiques en matière de sécurité, et la qualité de la formation en cours d'emploi varie énormément.

Faut-il s'étonner que nous soyons témoins de graves violations tous les deux jours ? Téléchargez notre liste de contrôle AppSec.

‍

Une « licence pour coder ».

Malgré le sombre paysage actuel, je suis optimiste quant à l'avenir de la sécurité. Il y a un changement dans l'air, et je suis très encouragé par le grand nombre d'organisations qui prennent le codage sécurisé au sérieux en ce moment.

Il est de plus en plus évident que les développeurs ont besoin d'accéder aux bons outils et aux bonnes connaissances pour atténuer les risques de sécurité, et qu'une culture florissante de sensibilisation à la sécurité est essentielle pour lutter contre les violations de données. Lorsque les développeurs assument la responsabilité de la sécurité au fur et à mesure de l'écriture du code, il devient beaucoup moins facile pour les attaquants d'exploiter de simples failles et d'obtenir les clés du château.

Certains développeurs ont toujours été plus attentifs à la sécurité que d'autres, ce qui représente un véritable défi pour les entreprises. Alors que les équipes de développement internes disposent souvent d'un certain degré de formation et de suivi des compétences, les choses deviennent très confuses lorsque vous introduisez des sous-traitants, des indépendants et de jeunes diplômés. Agissent-ils dans une optique de sécurité ? Parviendront-ils à éviter des failles séculaires telles que le cross-site scripting qui existe depuis des décennies ? C'est difficile à dire, mais ils sont souvent négligés sur des éléments essentiels de la conception d'un logiciel. Beurk.

Heureusement, nous assistons à une augmentation des normes non négociables pour les développeurs. Par exemple, certaines organisations utilisent Secure Code Warrior en tant qu'outil permettant d'évaluer les compétences en matière de développement et de délivrer une « licence de codage ». Sans réussir les évaluations fondamentales de codage sécurisé, ils ne sont pas en mesure de se mettre au travail sur aucun projet. Cela s'est avéré inestimable pour aider les diplômés et les stagiaires à perfectionner leurs compétences en matière de sécurité, tout en leur inculquant l'importance de coder en toute sécurité. Après tout, la sécurité doit être synonyme de qualité en matière de logiciels.

La formation extrascolaire met les universités sur le devant de la scène.

Pour changer la conversation autour du codage sécurisé, il ne suffit pas d'un article ici, d'un discours liminaire là-bas. Il doit s'agir d'un mouvement à l'échelle de la communauté, et c'est formidable de voir autant d'organisations de premier plan en prendre note et élaborer des programmes de sécurité de haut niveau répondant à des normes enviables. HSBC est l'une de ces entreprises, dont le formidable programme vise à faire en sorte que les jeunes diplômés et les nouveaux employés soient sur la bonne voie dès que possible. En tant que directeur de l'Académie des technologies de HSBC en Inde, Sekhar Babu Tatavarti a estimé qu'une formation approfondie en matière de sécurité était indispensable :

« À Technologie HSBC, nous voulions nous assurer que notre communauté de développeurs comprend l'importance d'un codage sécurisé pour protéger la banque des vulnérabilités. Dans le cadre du programme de formation des diplômés que nous avons organisé cette année, nous avons pensé que c'était une formidable opportunité de les aider à apprendre par eux-mêmes et à intégrer les meilleures pratiques de codage sécurisé avant qu'ils ne se lancent dans le codage et ne commencent à coder dans leurs projets respectifs.

Nous avons choisi la plateforme Secure Code Warrior pour sa merveilleuse méthode de gamification d'apprentissage pour les diplômés, et elle n'a pas démenti nos attentes. Nous sommes ravis que chacun d'entre eux ait participé avec enthousiasme au tournoi en plus d'avoir obtenu la certification White Belt dans différentes technologies », a-t-il déclaré.

De plus en plus d'organisations, comme HSBC, considèrent que les capacités de codage sécurisé sont essentielles au niveau des développeurs. En fait, cela a permis de mettre en lumière l'enseignement supérieur dans son ensemble. Les RSSI et les DSI commencent à se demander pourquoi les ingénieurs récemment diplômés terminent leur formation sans aucune formation solide en matière de sécurité.

L'innovation dans l'enseignement supérieur.

Alors que le codage sécurisé doit devenir une composante obligatoire du génie logiciel au niveau de l'enseignement supérieur, certaines universités jouent un rôle de premier plan en proposant une formation de premier ordre et en donnant la priorité à la sécurité dans le processus de développement dès le début, plutôt que dans le domaine des rares spécialistes de la sécurité des applications sur le terrain.

Au Université du Queensland en Australie, le professeur Ryan Ko fait des progrès importants dans la préparation de la prochaine vague de développeurs afin de nous protéger de l'inévitable assaut des cyberattaques :

« La plupart vulnérabilités logicielles sont introduits au stade du codage, donc si nous pouvions résoudre ce problème à la source (c'est-à-dire au programmeur), nous serions en mesure d'éradiquer la plupart des problèmes récurrents rencontrés dans la liste CVE aujourd'hui. Étant donné que les logiciels influent sur la vie et les moyens de subsistance de la majeure partie de notre société moderne, les universités et les établissements de formation ont la responsabilité morale et sociale d'enseigner à tous les programmeurs débutants comment coder en toute sécurité », a-t-il déclaré.

Il s'agit d'une évolution intéressante par rapport aux cours standard, qui n'offrent que très peu de connaissances et de compétences en matière de sécurité. Et c'est un « virus » qui ne me dérangerait pas de propager davantage. Pour mon plus grand plaisir, Université Macquarie inculque également à ses étudiants un état d'esprit axé sur la sécurité, grâce aux efforts de personnes comme Christophe Doche :

« Lancé en 2016, le Centre de cybersécurité de l'université Optus Macquarie est la première initiative de ce type en Australie, mettant en relation des universitaires en sécurité de l'information, des affaires, de la criminologie, du renseignement, du droit et de la psychologie avec des experts en cybersécurité de l'industrie et du gouvernement.

Notre mission est de positionner l'Australie en tant que leader mondial de la cybersécurité grâce à l'éducation, à la recherche et à des partenariats. L'un des aspects importants à cet égard est de combler le déficit de compétences bien documenté en matière de cybersécurité, les projections indiquant que 1,8 million d'emplois ne seront probablement pas pourvus dans le monde en 2022.

Combler ce déficit de compétences nécessite une approche à plusieurs volets, qui implique le renforcement et la requalification de la main-d'œuvre existante ainsi que la formation d'une nouvelle génération de spécialistes de la cybersécurité », a-t-il déclaré.

Leur approche est incroyable, offrant un apprentissage précis et hautement engageant qui aide à combler les écarts entre les services et à créer une dynamique de sensibilisation à la sécurité. Ils profitent de microlearning dans leur stratégie, en proposant des modules d'apprentissage ludiques et de petite taille avec un taux élevé de rétention, d'engagement et de répétition. Je suis particulièrement fière que nous puissions les aider à impliquer leurs étudiants de manière créative :

« Le partenariat avec Secure Code Warrior est un excellent exemple de cet engagement. Après un tournoi organisé par Secure Code Warrior et le Cyber Security Hub en août 2019, nous envisageons maintenant d'intégrer la plateforme Secure Code Warrior à notre programme, en particulier dans notre nouvelle unité sur le développement d'applications sécurisées », a déclaré Christophe.

Des initiatives telles que celles de l'université Macquarie et de l'université du Queensland constituent une véritable innovation en matière de codage sécurisé dans le domaine de l'enseignement. En tant que professionnels de la sécurité des applications, développeurs et communauté de sécurité au sens large, notre objectif doit être d'intégrer la sécurité dans tout ce que nous faisons et de poursuivre notre engagement à partir de la gauche.