Frappez d'abord, frappez fort : pourquoi des cours de codage sécurisés organisés avec soin n'accordent aucune importance aux cybermenaces
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
