Développeurs soucieux de la sécurité : AppSec a besoin de vous !
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Les développeurs sont bien placés pour faire un saut lucratif dans AppSec.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Bien que cela puisse sembler contre-intuitif pour quiconque travaille en dehors du développement logiciel, de nombreux professionnels employés dans le domaine de la sécurité des applications au fil des ans ont occupé ces postes critiques avec peu ou pas d'expérience en programmation. Ces professionnels de la sécurité des applications font partie de l'équipe chargée de s'assurer qu'aucune vulnérabilité ne s'infiltre dans les applications qui sont devenues la pierre angulaire de nombreux secteurs et organisations. Pourtant, peu d'entre eux peuvent évaluer directement ou corriger le code eux-mêmes.
Au lieu d'avoir une formation en programmation, de nombreux professionnels de la sécurité abordent leurs rôles du point de vue des connaissances clés concernant les vecteurs d'attaque, les menaces, les exploits et les risques commerciaux ; ils ont une vision limitée du code. Bien que tous les experts de la sécurité des applications ne possèdent pas les mêmes compétences, une journée typique consiste pour beaucoup à travailler avec des réviseurs de code et des outils d'analyse pour s'assurer que les programmes et les systèmes sont sécurisés conformément aux normes organisationnelles ou aux cadres industriels et gouvernementaux pertinents. Ils rédigent ensuite des rapports sur leurs découvertes et renvoient des informations sur le vecteur d'attaque susceptible de déchiffrer le code. Il appartient ensuite aux développeurs d'apporter les correctifs nécessaires, même si cela perturbe le travail en cours.
Si la situation a évolué de cette façon, c'est parce que la logique qui a prévalu au fil des ans était que la tâche de protéger les réseaux et les applications était si vaste qu'il n'était pas logique de s'attendre à ce que tous les acteurs de la cybersécurité jouent tous les rôles. Des compétences approfondies en matière de codage ont été laissées aux développeurs, et peu d'importance a été accordée à la capacité d'écrire ou de modifier du code plus loin dans le pipeline de développement.
Cet état d'esprit évolue rapidement, ce qui représente une opportunité unique pour les développeurs de faire le saut lucratif et de réorienter leur carrière dans l'AppSec. Tous les développeurs ne voudront pas adopter ce que l'on appelle le côté obscur, et de nombreux développeurs n'ont pas une opinion particulièrement positive à l'égard des équipes AppSec. Mais pour ceux qui le font, il n'y a jamais eu de meilleur moment pour s'emparer de cette bague en laiton de plus en plus tentante.
DevSecOps est au cœur de presque tous les secteurs
L'un des principaux facteurs qui contribuent à augmenter la valeur des programmeurs et des développeurs soucieux de la sécurité dans toute organisation est la tendance quasi universelle à adopter des pratiques de développement plus agiles. comme DevSecOps. Lorsque le développement, la sécurité et les opérations sont combinés, la cybersécurité devient une responsabilité partagée intégrée au développement de nouveaux logiciels de bout en bout. Dans cet environnement, la capacité à coder est de plus en plus considérée comme un atout précieux à tous les niveaux, et cela est particulièrement vrai pour les ingénieurs qui comprennent également la sécurité de manière inhérente.
Un professionnel de la sécurité des applications qui comprend non seulement la cybersécurité à un niveau élevé, mais aussi le code qui fait que tout fonctionne, est intrinsèquement plus précieux pour toute organisation qu'une personne dont les connaissances sont concentrées sur la théorie. La capacité de découvrir et d'évaluer rapidement les vulnérabilités détectées dans le code, puis d'atténuer ces problèmes, est au cœur de la popularité de DevSecOps.
Les développeurs travaillant dans AppSec apportent également un autre avantage important à toute organisation qui les emploie. En venant du côté développement de la maison, ils peuvent facilement discuter avec les développeurs de la sécurité et des vulnérabilités. Cela permet également de devenir beaucoup plus facilement des entraîneurs pour les équipes de développement, les aidant ainsi à devenir de meilleurs codeurs. Au fil du temps, ils pourraient même être en mesure de supprimer la stigmatisation du « côté obscur » de l'AppSec et de contribuer à unifier les équipes chargées du développement logiciel au sein d'une organisation.
La pénurie de compétences en cybersécurité s'aggrave
Shakespeare pensait que c'est un vent mauvais qui ne souffle rien de bon pour personne. Ce qu'il voulait dire, c'est que même la situation la plus sombre profite probablement à quelqu'un. La pénurie de compétences en cybersécurité en est un excellent exemple.
La pénurie de personnel est ressentie de manière aiguë presque partout. Dans un enquête récente menée par le Center for Strategic and International Studies, 82 % des décideurs informatiques ont déclaré que leur organisation souffrait d'une pénurie de compétences en cybersécurité, et 71 % ont déclaré que cette pénurie avait entraîné des dommages directs et mesurables pour leurs organisations. Pour mettre cette crise dans une perspective encore meilleure, le rapport a souligné que rien qu'aux États-Unis, il y avait plus de 520 000 emplois vacants dans le domaine de la cybersécurité en 2020, dans un domaine où seulement 940 000 personnes environ sont employées.
La pénurie de personnel en cybersécurité est une mauvaise nouvelle pour les organisations qui tentent de protéger leur infrastructure, leurs activités et leurs données contre un paysage de menaces de plus en plus dangereux. Mais c'est une bonne opportunité pour les développeurs qui souhaitent se familiariser avec AppSec et la sécurité. Il y a de fortes chances que des postes en cybersécurité et en AppSec soient disponibles presque partout. Et avec des positions en matière de cybersécurité qui occupent en moyenne 21 % de temps en plus pour occuper ces journées, les salaires augmentent dans tous les domaines.
Passer à AppSec
Il n'y a peut-être jamais de meilleur moment pour les développeurs de faire le saut lucratif vers le côté ensoleillé de la sécurité. Les développeurs soucieux de la sécurité ne sont plus considérés comme faisant partie d'une méthode de sécurité provisoire, mais jouent plutôt un rôle à part entière et respecté en tant que défenseurs de la cybersécurité. Cela est particulièrement vrai pour les organisations qui ont adopté DevSecOps et d'autres méthodologies de développement plus agiles. Et la pénurie de talents en cybersécurité signifie que des postes sont disponibles dans presque toutes les entreprises, agences gouvernementales ou organisations. Les personnes possédant les compétences requises peuvent choisir l'endroit où elles souhaitent travailler.
Le passage à AppSec ne convient peut-être pas à tout le monde et, bien entendu, la plupart des développeurs continueront à se concentrer sur la création de fonctionnalités exceptionnelles. Mais pour ceux qui envisagent de faire le saut, investir dans une formation à la sécurité afin d'améliorer leurs compétences de codage existantes peut ouvrir de nombreuses portes. Les meilleurs spécialistes de l'AppSec sont issus de l'ingénierie, car ils comprennent parfaitement la technologie et ont de l'empathie pour le sort de leurs collègues développeurs. DevSecOps signifie que tout le monde est désormais responsable de la sécurité de toute façon, alors pourquoi ne pas profiter de la pénurie de compétences critique actuelle pour faire avancer votre carrière dans la sécurité des applications ? Il n'y a jamais eu de meilleur moment pour prendre une décision positive pour vous-même, votre famille et votre carrière.
Inhaltsverzeichnis
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.