Il ne suffit pas de se déplacer vers la gauche : pourquoi commencer à gauche est la clé de l'excellence en matière de sécurité logicielle
Dans un monde régi par le numérique, nous sommes exposés à un risque croissant de vol de données. Les grandes organisations agissant en tant que gardiennes de nos précieuses informations, nombreuses sont celles qui reconnaissent la nécessité de mettre en œuvre des normes de sécurité strictes.
La plupart des initiatives visant à « basculer vers la gauche », c'est-à-dire à introduire la sécurité bien plus tôt dans le processus de développement, ne vont tout simplement pas assez loin. Cela implique que nous entamons toujours le processus dans le mauvais sens, en finissant par faire marche arrière pour obtenir un logiciel plus sécurisé. Nous devons commencer à gauche, en adoptant un changement culturel qui engage de manière positive les équipes de développement et leur fournit les connaissances qui leur font actuellement défaut. Cependant, toutes les formations et tous les outils ne sont pas identiques.
Dans cet article, nous explorons les moyens par lesquels des leaders clés tels que la sensibilisation à la sécurité et les responsables du développement peuvent réellement responsabiliser leur cohorte de développeurs, en les transformant en première ligne défensive contre les cyberattaques coûteuses.
Décaler vers la gauche par rapport à partir à gauche : une distinction importante.
À l'ère des violations de données fréquentes affectant certaines des organisations les plus fiables au monde, les dirigeants d'entreprises se sont tournés vers le secteur de la sécurité pour fournir des conseils sur la manière d'éviter le désastre financier, de réputation et de réputation qu'est une attaque réussie.
Depuis un certain temps, les spécialistes de la sécurité des applications (y compris moi-même) nous disent qu'il faut effectivement « basculer vers la gauche ». Conformément aux meilleures pratiques DevOps et à de meilleurs résultats en matière de sécurité logicielle, beaucoup d'entre nous ont indiqué que la partie sécurité d'une conception logicielle devait intervenir plus tôt dans le cycle de vie du développement logiciel (SDLC). Il ne faut pas qu'il s'agisse de l'étape finale et coûteuse, mais plutôt de se rapprocher du début du processus, en impliquant les équipes AppSec dès que les projets logiciels prennent vie.
Ce n'est pas mauvais des conseils, et c'est certainement mieux que l'ancienne méthode de travail (qui, si l'on se fie à la quantité de données volées et à l'âge des vulnérabilités utilisées pour les cambrioler en sont une indication, ne fonctionne pas de toute façon). Cependant, si nous commencé à gauche, les résultats en matière de sécurité seraient bien plus positifs.
Décaler à gauche, partir à gauche... quelle est la différence ? La différence réside dans la manière dont vous impliquez votre équipe de développement. Ils constituent véritablement la clé pour fournir des logiciels plus sécurisés, bien moins chers que ceux que peuvent gérer les chaînes d'outils des cycles ultérieurs et la révision manuelle du code. Dans un monde idéal, chaque développeur qui écrit un logiciel aurait les connaissances et les outils nécessaires pour coder en toute sécurité dès le début. Ils détecteraient les défauts potentiels et les atténueraient avant qu'ils ne soient commis (et donc beaucoup plus coûteux à éliminer et à corriger). Il y aurait une réduction spectaculaire des bogues de sécurité que nous observons depuis des décennies, ceux qui sont encore chargé d'autoriser les attaquants à entrer par la porte arrière. Ces opportunités, sous forme d'injection SQL, de script intersite et d'authentification défaillante, seraient fermées.
Cependant, à l'heure actuelle, l'accent n'est tout simplement pas assez mis sur la sécurité au niveau professionnel, et la formation au codage sécurisé en cours d'emploi varie énormément. Par conséquent, les développeurs disposent rarement de ce dont ils ont besoin pour permettre à une organisation de repartir du bon pied. Il est temps pour les personnes occupant des postes de direction de travailler ensemble et de plaider en faveur d'une sensibilisation accrue à la sécurité, grâce à leurs connaissances directes et à leurs contacts avec les développeurs, essentiels à la réussite des programmes. Après tout, les responsables du développement étaient autrefois assis à leur place, face aux outils et à l'espace de sécurité difficiles à naviguer dans le meilleur des cas.
Les développeurs n'aiment pas (encore) la sécurité... mais vous pouvez changer la donne.
Vous savez comment cela fonctionne : si vous parlez de « sécurité » à votre développeur habituel, vous risquez d'être au mieux surpris ou, au pire, perplexe. En général, tout ce qui touche à la sécurité est considéré comme le problème de quelqu'un d'autre.
Un développeur a la responsabilité première de créer un logiciel fonctionnel, doté de fonctionnalités innovantes et livré dans un délai de projet serré. La sécurité est rarement une priorité au niveau du codage et peut même être considérée comme un obstacle fastidieux à la rapidité des livraisons et à la créativité. AppSec a pour mission de vérifier méticuleusement le code, de le tester puis de signaler les mauvaises nouvelles : la présence de failles de sécurité dans du code qui est souvent déjà validé, et qui fonctionne plutôt bien sinon. Il s'agit d'un processus coûteux dans un environnement souvent sollicité en termes de ressources et de temps, dont la configuration ne peut que provoquer une rupture entre deux équipes qui ont finalement le même objectif, mais parlent des langues complètement différentes.
Dans ce climat, l'accueil réservé à la formation obligatoire en matière de sécurité risque d'être plutôt froid. Mais le pouvoir de susciter chez chaque développeur un état d'esprit en matière de sécurité n'est pas une chimère. Grâce à la formation et à l'assistance appropriées, ils peuvent commencer à intégrer la sécurité à leurs logiciels et assumer la responsabilité des résultats de sécurité qu'ils sont en mesure de contrôler. Si les développeurs peuvent eux-mêmes s'occuper des bogues courants, cela libère des spécialistes coûteux pour résoudre les problèmes vraiment complexes. Et si vous êtes en position de gérer une équipe de développement, vous pouvez contribuer à combler cette lacune et à aider votre équipe à en tirer les avantages.
Toutes les formations ne se valent pas.
À quand remonte la dernière fois que vous avez eu vraiment envie d'apprendre quelque chose de nouveau ? À l'époque où vous l'avez fait, des mots comme « obligatoire », « conformité » ou « dix-sept heures de vidéo » ne vous viendraient probablement pas à l'esprit.
Les développeurs ne sont pas différents. Ils sont intelligents, créatifs et adorent résoudre les problèmes. Il est peu probable que le fait de regarder des vidéos interminables sur les failles de sécurité les intéresse, que le contenu reste mémorisable ou qu'il soit spécifique à leurs rôles et responsabilités quotidiens. En tant qu'instructeur SANS, il est devenu évident très tôt que la meilleure formation était la formation pratique, obligeant les participants à analyser et à relever des défis intellectuels, en utilisant des exemples concrets qui testent leur cerveau et s'appuient sur des apprentissages antérieurs. La gamification et la compétition amicale sont également des outils puissants pour faire participer tout le monde aux nouveaux concepts, tout en restant utiles et pratiques dans leur application.
Un autre facteur effrayant est qu'une grande partie de la formation en matière de sécurité n'est pas surveillée. Personne n'aime avoir l'impression que Big Brother regarde, mais à quoi bon consacrer du temps, de l'argent et des efforts à l'éducation si personne ne vérifie si c'est pertinent ?
La bonne solution peut rendre le codage sécurisé amusant, pertinent, engageant et mesurable. Mettez vos développeurs au défi, traitez-les bien et faites-en un événement spécial. L'entraînement gamifié met en lumière les centres de récompense du cerveau, et offrir une incitation à continuer à apprendre, à repousser les limites des connaissances et, tout simplement, à développer des logiciels de meilleure qualité est une solution gagnant-gagnant.
Bilan de santé de la culture de sécurité : le vôtre est-il sous assistance respiratoireT ?
Créer un logiciel sécurisé dans un environnement où la culture de la sécurité est médiocre, c'est comme essayer de gagner un marathon avec un rocher enchaîné à la cheville : pratiquement impossible et inutilement difficile.
Des formations ludiques, des tournois en tête-à-tête et l'engagement à aider les développeurs dans leur développement en matière de sécurité contribuent énormément à créer une culture de sécurité positive, les équipes de développement et AppSec ayant ainsi une meilleure connaissance du travail quotidien de chacun. De meilleures relations se développent et prospèrent, et le budget de sécurité (souvent limité) n'est pas dépensé pour corriger à maintes reprises un scénario du « jour de la marmotte » contenant les mêmes petits bugs ennuyeux.
Il existe également un autre sous-produit puissant : la découverte de champions de la sécurité dont vous ignoriez l'existence. Une formation appropriée qui implique tout le monde, tout en permettant une évaluation approfondie, peut permettre de découvrir ceux qui non seulement ont des aptitudes en matière de sécurité, mais qui manifestent activement une passion pour celle-ci. Ces champions jouent un rôle essentiel pour maintenir la dynamique et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques relatives aux meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout majeur pour l'organisation, en plus de figurer très impressionnant sur le CV de l'individu et de renforcer sa future carrière.
Lorsque vous vous engagez à adopter une culture de sécurité positive, les responsabilités sont partagées et vous pouvez atteindre un niveau supérieur d'excellence en matière de logiciels sécurisés. En fin de compte, chaque personne participant au cycle de vie du développement logiciel doit adhérer à un mantra simple : s'il ne s'agit pas d'un logiciel sécurisé, ce n'est pas un bon logiciel.
Faites passer le message.
La plupart des initiatives visant à « basculer vers la gauche », c'est-à-dire à introduire la sécurité bien plus tôt dans le processus de développement, ne vont tout simplement pas assez loin.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dans un monde régi par le numérique, nous sommes exposés à un risque croissant de vol de données. Les grandes organisations agissant en tant que gardiennes de nos précieuses informations, nombreuses sont celles qui reconnaissent la nécessité de mettre en œuvre des normes de sécurité strictes.
La plupart des initiatives visant à « basculer vers la gauche », c'est-à-dire à introduire la sécurité bien plus tôt dans le processus de développement, ne vont tout simplement pas assez loin. Cela implique que nous entamons toujours le processus dans le mauvais sens, en finissant par faire marche arrière pour obtenir un logiciel plus sécurisé. Nous devons commencer à gauche, en adoptant un changement culturel qui engage de manière positive les équipes de développement et leur fournit les connaissances qui leur font actuellement défaut. Cependant, toutes les formations et tous les outils ne sont pas identiques.
Dans cet article, nous explorons les moyens par lesquels des leaders clés tels que la sensibilisation à la sécurité et les responsables du développement peuvent réellement responsabiliser leur cohorte de développeurs, en les transformant en première ligne défensive contre les cyberattaques coûteuses.
Décaler vers la gauche par rapport à partir à gauche : une distinction importante.
À l'ère des violations de données fréquentes affectant certaines des organisations les plus fiables au monde, les dirigeants d'entreprises se sont tournés vers le secteur de la sécurité pour fournir des conseils sur la manière d'éviter le désastre financier, de réputation et de réputation qu'est une attaque réussie.
Depuis un certain temps, les spécialistes de la sécurité des applications (y compris moi-même) nous disent qu'il faut effectivement « basculer vers la gauche ». Conformément aux meilleures pratiques DevOps et à de meilleurs résultats en matière de sécurité logicielle, beaucoup d'entre nous ont indiqué que la partie sécurité d'une conception logicielle devait intervenir plus tôt dans le cycle de vie du développement logiciel (SDLC). Il ne faut pas qu'il s'agisse de l'étape finale et coûteuse, mais plutôt de se rapprocher du début du processus, en impliquant les équipes AppSec dès que les projets logiciels prennent vie.
Ce n'est pas mauvais des conseils, et c'est certainement mieux que l'ancienne méthode de travail (qui, si l'on se fie à la quantité de données volées et à l'âge des vulnérabilités utilisées pour les cambrioler en sont une indication, ne fonctionne pas de toute façon). Cependant, si nous commencé à gauche, les résultats en matière de sécurité seraient bien plus positifs.
Décaler à gauche, partir à gauche... quelle est la différence ? La différence réside dans la manière dont vous impliquez votre équipe de développement. Ils constituent véritablement la clé pour fournir des logiciels plus sécurisés, bien moins chers que ceux que peuvent gérer les chaînes d'outils des cycles ultérieurs et la révision manuelle du code. Dans un monde idéal, chaque développeur qui écrit un logiciel aurait les connaissances et les outils nécessaires pour coder en toute sécurité dès le début. Ils détecteraient les défauts potentiels et les atténueraient avant qu'ils ne soient commis (et donc beaucoup plus coûteux à éliminer et à corriger). Il y aurait une réduction spectaculaire des bogues de sécurité que nous observons depuis des décennies, ceux qui sont encore chargé d'autoriser les attaquants à entrer par la porte arrière. Ces opportunités, sous forme d'injection SQL, de script intersite et d'authentification défaillante, seraient fermées.
Cependant, à l'heure actuelle, l'accent n'est tout simplement pas assez mis sur la sécurité au niveau professionnel, et la formation au codage sécurisé en cours d'emploi varie énormément. Par conséquent, les développeurs disposent rarement de ce dont ils ont besoin pour permettre à une organisation de repartir du bon pied. Il est temps pour les personnes occupant des postes de direction de travailler ensemble et de plaider en faveur d'une sensibilisation accrue à la sécurité, grâce à leurs connaissances directes et à leurs contacts avec les développeurs, essentiels à la réussite des programmes. Après tout, les responsables du développement étaient autrefois assis à leur place, face aux outils et à l'espace de sécurité difficiles à naviguer dans le meilleur des cas.
Les développeurs n'aiment pas (encore) la sécurité... mais vous pouvez changer la donne.
Vous savez comment cela fonctionne : si vous parlez de « sécurité » à votre développeur habituel, vous risquez d'être au mieux surpris ou, au pire, perplexe. En général, tout ce qui touche à la sécurité est considéré comme le problème de quelqu'un d'autre.
Un développeur a la responsabilité première de créer un logiciel fonctionnel, doté de fonctionnalités innovantes et livré dans un délai de projet serré. La sécurité est rarement une priorité au niveau du codage et peut même être considérée comme un obstacle fastidieux à la rapidité des livraisons et à la créativité. AppSec a pour mission de vérifier méticuleusement le code, de le tester puis de signaler les mauvaises nouvelles : la présence de failles de sécurité dans du code qui est souvent déjà validé, et qui fonctionne plutôt bien sinon. Il s'agit d'un processus coûteux dans un environnement souvent sollicité en termes de ressources et de temps, dont la configuration ne peut que provoquer une rupture entre deux équipes qui ont finalement le même objectif, mais parlent des langues complètement différentes.
Dans ce climat, l'accueil réservé à la formation obligatoire en matière de sécurité risque d'être plutôt froid. Mais le pouvoir de susciter chez chaque développeur un état d'esprit en matière de sécurité n'est pas une chimère. Grâce à la formation et à l'assistance appropriées, ils peuvent commencer à intégrer la sécurité à leurs logiciels et assumer la responsabilité des résultats de sécurité qu'ils sont en mesure de contrôler. Si les développeurs peuvent eux-mêmes s'occuper des bogues courants, cela libère des spécialistes coûteux pour résoudre les problèmes vraiment complexes. Et si vous êtes en position de gérer une équipe de développement, vous pouvez contribuer à combler cette lacune et à aider votre équipe à en tirer les avantages.
Toutes les formations ne se valent pas.
À quand remonte la dernière fois que vous avez eu vraiment envie d'apprendre quelque chose de nouveau ? À l'époque où vous l'avez fait, des mots comme « obligatoire », « conformité » ou « dix-sept heures de vidéo » ne vous viendraient probablement pas à l'esprit.
Les développeurs ne sont pas différents. Ils sont intelligents, créatifs et adorent résoudre les problèmes. Il est peu probable que le fait de regarder des vidéos interminables sur les failles de sécurité les intéresse, que le contenu reste mémorisable ou qu'il soit spécifique à leurs rôles et responsabilités quotidiens. En tant qu'instructeur SANS, il est devenu évident très tôt que la meilleure formation était la formation pratique, obligeant les participants à analyser et à relever des défis intellectuels, en utilisant des exemples concrets qui testent leur cerveau et s'appuient sur des apprentissages antérieurs. La gamification et la compétition amicale sont également des outils puissants pour faire participer tout le monde aux nouveaux concepts, tout en restant utiles et pratiques dans leur application.
Un autre facteur effrayant est qu'une grande partie de la formation en matière de sécurité n'est pas surveillée. Personne n'aime avoir l'impression que Big Brother regarde, mais à quoi bon consacrer du temps, de l'argent et des efforts à l'éducation si personne ne vérifie si c'est pertinent ?
La bonne solution peut rendre le codage sécurisé amusant, pertinent, engageant et mesurable. Mettez vos développeurs au défi, traitez-les bien et faites-en un événement spécial. L'entraînement gamifié met en lumière les centres de récompense du cerveau, et offrir une incitation à continuer à apprendre, à repousser les limites des connaissances et, tout simplement, à développer des logiciels de meilleure qualité est une solution gagnant-gagnant.
Bilan de santé de la culture de sécurité : le vôtre est-il sous assistance respiratoireT ?
Créer un logiciel sécurisé dans un environnement où la culture de la sécurité est médiocre, c'est comme essayer de gagner un marathon avec un rocher enchaîné à la cheville : pratiquement impossible et inutilement difficile.
Des formations ludiques, des tournois en tête-à-tête et l'engagement à aider les développeurs dans leur développement en matière de sécurité contribuent énormément à créer une culture de sécurité positive, les équipes de développement et AppSec ayant ainsi une meilleure connaissance du travail quotidien de chacun. De meilleures relations se développent et prospèrent, et le budget de sécurité (souvent limité) n'est pas dépensé pour corriger à maintes reprises un scénario du « jour de la marmotte » contenant les mêmes petits bugs ennuyeux.
Il existe également un autre sous-produit puissant : la découverte de champions de la sécurité dont vous ignoriez l'existence. Une formation appropriée qui implique tout le monde, tout en permettant une évaluation approfondie, peut permettre de découvrir ceux qui non seulement ont des aptitudes en matière de sécurité, mais qui manifestent activement une passion pour celle-ci. Ces champions jouent un rôle essentiel pour maintenir la dynamique et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques relatives aux meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout majeur pour l'organisation, en plus de figurer très impressionnant sur le CV de l'individu et de renforcer sa future carrière.
Lorsque vous vous engagez à adopter une culture de sécurité positive, les responsabilités sont partagées et vous pouvez atteindre un niveau supérieur d'excellence en matière de logiciels sécurisés. En fin de compte, chaque personne participant au cycle de vie du développement logiciel doit adhérer à un mantra simple : s'il ne s'agit pas d'un logiciel sécurisé, ce n'est pas un bon logiciel.
Faites passer le message.
Dans un monde régi par le numérique, nous sommes exposés à un risque croissant de vol de données. Les grandes organisations agissant en tant que gardiennes de nos précieuses informations, nombreuses sont celles qui reconnaissent la nécessité de mettre en œuvre des normes de sécurité strictes.
La plupart des initiatives visant à « basculer vers la gauche », c'est-à-dire à introduire la sécurité bien plus tôt dans le processus de développement, ne vont tout simplement pas assez loin. Cela implique que nous entamons toujours le processus dans le mauvais sens, en finissant par faire marche arrière pour obtenir un logiciel plus sécurisé. Nous devons commencer à gauche, en adoptant un changement culturel qui engage de manière positive les équipes de développement et leur fournit les connaissances qui leur font actuellement défaut. Cependant, toutes les formations et tous les outils ne sont pas identiques.
Dans cet article, nous explorons les moyens par lesquels des leaders clés tels que la sensibilisation à la sécurité et les responsables du développement peuvent réellement responsabiliser leur cohorte de développeurs, en les transformant en première ligne défensive contre les cyberattaques coûteuses.
Décaler vers la gauche par rapport à partir à gauche : une distinction importante.
À l'ère des violations de données fréquentes affectant certaines des organisations les plus fiables au monde, les dirigeants d'entreprises se sont tournés vers le secteur de la sécurité pour fournir des conseils sur la manière d'éviter le désastre financier, de réputation et de réputation qu'est une attaque réussie.
Depuis un certain temps, les spécialistes de la sécurité des applications (y compris moi-même) nous disent qu'il faut effectivement « basculer vers la gauche ». Conformément aux meilleures pratiques DevOps et à de meilleurs résultats en matière de sécurité logicielle, beaucoup d'entre nous ont indiqué que la partie sécurité d'une conception logicielle devait intervenir plus tôt dans le cycle de vie du développement logiciel (SDLC). Il ne faut pas qu'il s'agisse de l'étape finale et coûteuse, mais plutôt de se rapprocher du début du processus, en impliquant les équipes AppSec dès que les projets logiciels prennent vie.
Ce n'est pas mauvais des conseils, et c'est certainement mieux que l'ancienne méthode de travail (qui, si l'on se fie à la quantité de données volées et à l'âge des vulnérabilités utilisées pour les cambrioler en sont une indication, ne fonctionne pas de toute façon). Cependant, si nous commencé à gauche, les résultats en matière de sécurité seraient bien plus positifs.
Décaler à gauche, partir à gauche... quelle est la différence ? La différence réside dans la manière dont vous impliquez votre équipe de développement. Ils constituent véritablement la clé pour fournir des logiciels plus sécurisés, bien moins chers que ceux que peuvent gérer les chaînes d'outils des cycles ultérieurs et la révision manuelle du code. Dans un monde idéal, chaque développeur qui écrit un logiciel aurait les connaissances et les outils nécessaires pour coder en toute sécurité dès le début. Ils détecteraient les défauts potentiels et les atténueraient avant qu'ils ne soient commis (et donc beaucoup plus coûteux à éliminer et à corriger). Il y aurait une réduction spectaculaire des bogues de sécurité que nous observons depuis des décennies, ceux qui sont encore chargé d'autoriser les attaquants à entrer par la porte arrière. Ces opportunités, sous forme d'injection SQL, de script intersite et d'authentification défaillante, seraient fermées.
Cependant, à l'heure actuelle, l'accent n'est tout simplement pas assez mis sur la sécurité au niveau professionnel, et la formation au codage sécurisé en cours d'emploi varie énormément. Par conséquent, les développeurs disposent rarement de ce dont ils ont besoin pour permettre à une organisation de repartir du bon pied. Il est temps pour les personnes occupant des postes de direction de travailler ensemble et de plaider en faveur d'une sensibilisation accrue à la sécurité, grâce à leurs connaissances directes et à leurs contacts avec les développeurs, essentiels à la réussite des programmes. Après tout, les responsables du développement étaient autrefois assis à leur place, face aux outils et à l'espace de sécurité difficiles à naviguer dans le meilleur des cas.
Les développeurs n'aiment pas (encore) la sécurité... mais vous pouvez changer la donne.
Vous savez comment cela fonctionne : si vous parlez de « sécurité » à votre développeur habituel, vous risquez d'être au mieux surpris ou, au pire, perplexe. En général, tout ce qui touche à la sécurité est considéré comme le problème de quelqu'un d'autre.
Un développeur a la responsabilité première de créer un logiciel fonctionnel, doté de fonctionnalités innovantes et livré dans un délai de projet serré. La sécurité est rarement une priorité au niveau du codage et peut même être considérée comme un obstacle fastidieux à la rapidité des livraisons et à la créativité. AppSec a pour mission de vérifier méticuleusement le code, de le tester puis de signaler les mauvaises nouvelles : la présence de failles de sécurité dans du code qui est souvent déjà validé, et qui fonctionne plutôt bien sinon. Il s'agit d'un processus coûteux dans un environnement souvent sollicité en termes de ressources et de temps, dont la configuration ne peut que provoquer une rupture entre deux équipes qui ont finalement le même objectif, mais parlent des langues complètement différentes.
Dans ce climat, l'accueil réservé à la formation obligatoire en matière de sécurité risque d'être plutôt froid. Mais le pouvoir de susciter chez chaque développeur un état d'esprit en matière de sécurité n'est pas une chimère. Grâce à la formation et à l'assistance appropriées, ils peuvent commencer à intégrer la sécurité à leurs logiciels et assumer la responsabilité des résultats de sécurité qu'ils sont en mesure de contrôler. Si les développeurs peuvent eux-mêmes s'occuper des bogues courants, cela libère des spécialistes coûteux pour résoudre les problèmes vraiment complexes. Et si vous êtes en position de gérer une équipe de développement, vous pouvez contribuer à combler cette lacune et à aider votre équipe à en tirer les avantages.
Toutes les formations ne se valent pas.
À quand remonte la dernière fois que vous avez eu vraiment envie d'apprendre quelque chose de nouveau ? À l'époque où vous l'avez fait, des mots comme « obligatoire », « conformité » ou « dix-sept heures de vidéo » ne vous viendraient probablement pas à l'esprit.
Les développeurs ne sont pas différents. Ils sont intelligents, créatifs et adorent résoudre les problèmes. Il est peu probable que le fait de regarder des vidéos interminables sur les failles de sécurité les intéresse, que le contenu reste mémorisable ou qu'il soit spécifique à leurs rôles et responsabilités quotidiens. En tant qu'instructeur SANS, il est devenu évident très tôt que la meilleure formation était la formation pratique, obligeant les participants à analyser et à relever des défis intellectuels, en utilisant des exemples concrets qui testent leur cerveau et s'appuient sur des apprentissages antérieurs. La gamification et la compétition amicale sont également des outils puissants pour faire participer tout le monde aux nouveaux concepts, tout en restant utiles et pratiques dans leur application.
Un autre facteur effrayant est qu'une grande partie de la formation en matière de sécurité n'est pas surveillée. Personne n'aime avoir l'impression que Big Brother regarde, mais à quoi bon consacrer du temps, de l'argent et des efforts à l'éducation si personne ne vérifie si c'est pertinent ?
La bonne solution peut rendre le codage sécurisé amusant, pertinent, engageant et mesurable. Mettez vos développeurs au défi, traitez-les bien et faites-en un événement spécial. L'entraînement gamifié met en lumière les centres de récompense du cerveau, et offrir une incitation à continuer à apprendre, à repousser les limites des connaissances et, tout simplement, à développer des logiciels de meilleure qualité est une solution gagnant-gagnant.
Bilan de santé de la culture de sécurité : le vôtre est-il sous assistance respiratoireT ?
Créer un logiciel sécurisé dans un environnement où la culture de la sécurité est médiocre, c'est comme essayer de gagner un marathon avec un rocher enchaîné à la cheville : pratiquement impossible et inutilement difficile.
Des formations ludiques, des tournois en tête-à-tête et l'engagement à aider les développeurs dans leur développement en matière de sécurité contribuent énormément à créer une culture de sécurité positive, les équipes de développement et AppSec ayant ainsi une meilleure connaissance du travail quotidien de chacun. De meilleures relations se développent et prospèrent, et le budget de sécurité (souvent limité) n'est pas dépensé pour corriger à maintes reprises un scénario du « jour de la marmotte » contenant les mêmes petits bugs ennuyeux.
Il existe également un autre sous-produit puissant : la découverte de champions de la sécurité dont vous ignoriez l'existence. Une formation appropriée qui implique tout le monde, tout en permettant une évaluation approfondie, peut permettre de découvrir ceux qui non seulement ont des aptitudes en matière de sécurité, mais qui manifestent activement une passion pour celle-ci. Ces champions jouent un rôle essentiel pour maintenir la dynamique et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques relatives aux meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout majeur pour l'organisation, en plus de figurer très impressionnant sur le CV de l'individu et de renforcer sa future carrière.
Lorsque vous vous engagez à adopter une culture de sécurité positive, les responsabilités sont partagées et vous pouvez atteindre un niveau supérieur d'excellence en matière de logiciels sécurisés. En fin de compte, chaque personne participant au cycle de vie du développement logiciel doit adhérer à un mantra simple : s'il ne s'agit pas d'un logiciel sécurisé, ce n'est pas un bon logiciel.
Faites passer le message.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dans un monde régi par le numérique, nous sommes exposés à un risque croissant de vol de données. Les grandes organisations agissant en tant que gardiennes de nos précieuses informations, nombreuses sont celles qui reconnaissent la nécessité de mettre en œuvre des normes de sécurité strictes.
La plupart des initiatives visant à « basculer vers la gauche », c'est-à-dire à introduire la sécurité bien plus tôt dans le processus de développement, ne vont tout simplement pas assez loin. Cela implique que nous entamons toujours le processus dans le mauvais sens, en finissant par faire marche arrière pour obtenir un logiciel plus sécurisé. Nous devons commencer à gauche, en adoptant un changement culturel qui engage de manière positive les équipes de développement et leur fournit les connaissances qui leur font actuellement défaut. Cependant, toutes les formations et tous les outils ne sont pas identiques.
Dans cet article, nous explorons les moyens par lesquels des leaders clés tels que la sensibilisation à la sécurité et les responsables du développement peuvent réellement responsabiliser leur cohorte de développeurs, en les transformant en première ligne défensive contre les cyberattaques coûteuses.
Décaler vers la gauche par rapport à partir à gauche : une distinction importante.
À l'ère des violations de données fréquentes affectant certaines des organisations les plus fiables au monde, les dirigeants d'entreprises se sont tournés vers le secteur de la sécurité pour fournir des conseils sur la manière d'éviter le désastre financier, de réputation et de réputation qu'est une attaque réussie.
Depuis un certain temps, les spécialistes de la sécurité des applications (y compris moi-même) nous disent qu'il faut effectivement « basculer vers la gauche ». Conformément aux meilleures pratiques DevOps et à de meilleurs résultats en matière de sécurité logicielle, beaucoup d'entre nous ont indiqué que la partie sécurité d'une conception logicielle devait intervenir plus tôt dans le cycle de vie du développement logiciel (SDLC). Il ne faut pas qu'il s'agisse de l'étape finale et coûteuse, mais plutôt de se rapprocher du début du processus, en impliquant les équipes AppSec dès que les projets logiciels prennent vie.
Ce n'est pas mauvais des conseils, et c'est certainement mieux que l'ancienne méthode de travail (qui, si l'on se fie à la quantité de données volées et à l'âge des vulnérabilités utilisées pour les cambrioler en sont une indication, ne fonctionne pas de toute façon). Cependant, si nous commencé à gauche, les résultats en matière de sécurité seraient bien plus positifs.
Décaler à gauche, partir à gauche... quelle est la différence ? La différence réside dans la manière dont vous impliquez votre équipe de développement. Ils constituent véritablement la clé pour fournir des logiciels plus sécurisés, bien moins chers que ceux que peuvent gérer les chaînes d'outils des cycles ultérieurs et la révision manuelle du code. Dans un monde idéal, chaque développeur qui écrit un logiciel aurait les connaissances et les outils nécessaires pour coder en toute sécurité dès le début. Ils détecteraient les défauts potentiels et les atténueraient avant qu'ils ne soient commis (et donc beaucoup plus coûteux à éliminer et à corriger). Il y aurait une réduction spectaculaire des bogues de sécurité que nous observons depuis des décennies, ceux qui sont encore chargé d'autoriser les attaquants à entrer par la porte arrière. Ces opportunités, sous forme d'injection SQL, de script intersite et d'authentification défaillante, seraient fermées.
Cependant, à l'heure actuelle, l'accent n'est tout simplement pas assez mis sur la sécurité au niveau professionnel, et la formation au codage sécurisé en cours d'emploi varie énormément. Par conséquent, les développeurs disposent rarement de ce dont ils ont besoin pour permettre à une organisation de repartir du bon pied. Il est temps pour les personnes occupant des postes de direction de travailler ensemble et de plaider en faveur d'une sensibilisation accrue à la sécurité, grâce à leurs connaissances directes et à leurs contacts avec les développeurs, essentiels à la réussite des programmes. Après tout, les responsables du développement étaient autrefois assis à leur place, face aux outils et à l'espace de sécurité difficiles à naviguer dans le meilleur des cas.
Les développeurs n'aiment pas (encore) la sécurité... mais vous pouvez changer la donne.
Vous savez comment cela fonctionne : si vous parlez de « sécurité » à votre développeur habituel, vous risquez d'être au mieux surpris ou, au pire, perplexe. En général, tout ce qui touche à la sécurité est considéré comme le problème de quelqu'un d'autre.
Un développeur a la responsabilité première de créer un logiciel fonctionnel, doté de fonctionnalités innovantes et livré dans un délai de projet serré. La sécurité est rarement une priorité au niveau du codage et peut même être considérée comme un obstacle fastidieux à la rapidité des livraisons et à la créativité. AppSec a pour mission de vérifier méticuleusement le code, de le tester puis de signaler les mauvaises nouvelles : la présence de failles de sécurité dans du code qui est souvent déjà validé, et qui fonctionne plutôt bien sinon. Il s'agit d'un processus coûteux dans un environnement souvent sollicité en termes de ressources et de temps, dont la configuration ne peut que provoquer une rupture entre deux équipes qui ont finalement le même objectif, mais parlent des langues complètement différentes.
Dans ce climat, l'accueil réservé à la formation obligatoire en matière de sécurité risque d'être plutôt froid. Mais le pouvoir de susciter chez chaque développeur un état d'esprit en matière de sécurité n'est pas une chimère. Grâce à la formation et à l'assistance appropriées, ils peuvent commencer à intégrer la sécurité à leurs logiciels et assumer la responsabilité des résultats de sécurité qu'ils sont en mesure de contrôler. Si les développeurs peuvent eux-mêmes s'occuper des bogues courants, cela libère des spécialistes coûteux pour résoudre les problèmes vraiment complexes. Et si vous êtes en position de gérer une équipe de développement, vous pouvez contribuer à combler cette lacune et à aider votre équipe à en tirer les avantages.
Toutes les formations ne se valent pas.
À quand remonte la dernière fois que vous avez eu vraiment envie d'apprendre quelque chose de nouveau ? À l'époque où vous l'avez fait, des mots comme « obligatoire », « conformité » ou « dix-sept heures de vidéo » ne vous viendraient probablement pas à l'esprit.
Les développeurs ne sont pas différents. Ils sont intelligents, créatifs et adorent résoudre les problèmes. Il est peu probable que le fait de regarder des vidéos interminables sur les failles de sécurité les intéresse, que le contenu reste mémorisable ou qu'il soit spécifique à leurs rôles et responsabilités quotidiens. En tant qu'instructeur SANS, il est devenu évident très tôt que la meilleure formation était la formation pratique, obligeant les participants à analyser et à relever des défis intellectuels, en utilisant des exemples concrets qui testent leur cerveau et s'appuient sur des apprentissages antérieurs. La gamification et la compétition amicale sont également des outils puissants pour faire participer tout le monde aux nouveaux concepts, tout en restant utiles et pratiques dans leur application.
Un autre facteur effrayant est qu'une grande partie de la formation en matière de sécurité n'est pas surveillée. Personne n'aime avoir l'impression que Big Brother regarde, mais à quoi bon consacrer du temps, de l'argent et des efforts à l'éducation si personne ne vérifie si c'est pertinent ?
La bonne solution peut rendre le codage sécurisé amusant, pertinent, engageant et mesurable. Mettez vos développeurs au défi, traitez-les bien et faites-en un événement spécial. L'entraînement gamifié met en lumière les centres de récompense du cerveau, et offrir une incitation à continuer à apprendre, à repousser les limites des connaissances et, tout simplement, à développer des logiciels de meilleure qualité est une solution gagnant-gagnant.
Bilan de santé de la culture de sécurité : le vôtre est-il sous assistance respiratoireT ?
Créer un logiciel sécurisé dans un environnement où la culture de la sécurité est médiocre, c'est comme essayer de gagner un marathon avec un rocher enchaîné à la cheville : pratiquement impossible et inutilement difficile.
Des formations ludiques, des tournois en tête-à-tête et l'engagement à aider les développeurs dans leur développement en matière de sécurité contribuent énormément à créer une culture de sécurité positive, les équipes de développement et AppSec ayant ainsi une meilleure connaissance du travail quotidien de chacun. De meilleures relations se développent et prospèrent, et le budget de sécurité (souvent limité) n'est pas dépensé pour corriger à maintes reprises un scénario du « jour de la marmotte » contenant les mêmes petits bugs ennuyeux.
Il existe également un autre sous-produit puissant : la découverte de champions de la sécurité dont vous ignoriez l'existence. Une formation appropriée qui implique tout le monde, tout en permettant une évaluation approfondie, peut permettre de découvrir ceux qui non seulement ont des aptitudes en matière de sécurité, mais qui manifestent activement une passion pour celle-ci. Ces champions jouent un rôle essentiel pour maintenir la dynamique et servir de point de contact entre les équipes, superviser les pairs et faire respecter les politiques relatives aux meilleures pratiques. La mise en œuvre d'un solide programme de champions, qui inclut la reconnaissance et le soutien de la direction, est un atout majeur pour l'organisation, en plus de figurer très impressionnant sur le CV de l'individu et de renforcer sa future carrière.
Lorsque vous vous engagez à adopter une culture de sécurité positive, les responsabilités sont partagées et vous pouvez atteindre un niveau supérieur d'excellence en matière de logiciels sécurisés. En fin de compte, chaque personne participant au cycle de vie du développement logiciel doit adhérer à un mantra simple : s'il ne s'agit pas d'un logiciel sécurisé, ce n'est pas un bon logiciel.
Faites passer le message.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
