Pieter Danhieux, PDG et cofondateur de Secure Code Warrior : « Tout le monde doit comprendre et accepter le rôle qu'il joue en matière de cybersécurité »
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
Questions-réponses sur CyberNews avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior.
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Cette interview a été initialement publiée dans Cyberactualités.
Malgré la prévalence des outils et des services de sécurité, les entreprises ont encore du mal à suivre l'évolution constante du paysage des menaces.
Cela peut être attribué au manque de sensibilisation à la sécurité et de formation des développeurs, ce qui peut entraîner la publication et l'exploitation de code risqué par des acteurs malveillants. Alors que des mesures de sécurité telles que logiciel antivirus ou des solutions puissantes d'analyse des vulnérabilités peuvent ajouter une couche de sécurité. Notre invité explique aujourd'hui que tout commence par une équipe de développement axée sur la sécurité.
Pour discuter de la manière dont les développeurs peuvent être formés pour identifier et atténuer les menaces de sécurité, l'équipe de CyberNews s'est entretenue avec Pieter Danhieux, PDG et cofondateur de Secure Code Warrior, une société proposant une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les failles de sécurité.
Comment s'est passé ton parcours ? Comment est née l'idée de Secure Code Warrior ?
En tant que jeune nerd, j'étais fascinée par le fait de démonter la technologie pour découvrir ce qu'elle contenait et comment elle fonctionnait. Au grand soulagement de ma famille et de nos appareils partagés, j'ai fini par adopter la même approche en ce qui concerne le matériel et les logiciels, en cherchant des moyens de les percer et de les casser. Une passion de longue date pour la sécurité est née et, pendant de nombreuses années, je me suis attaché à partager mes compétences « de pointe » avec les étudiants, les collègues et la communauté de la sécurité, en leur montrant comment détecter, utiliser et abuser des erreurs dans les logiciels. Plus tard, je me suis concentré à nouveau sur le renforcement des compétences des défenseurs, en enseignant aux développeurs de bons modèles de codage sûrs dans un environnement de classe et en les aidant à comprendre les vulnérabilités courantes et à les éviter. J'ai également travaillé dans le domaine du conseil, où j'ai conseillé de grandes entreprises sur la manière dont elles pouvaient améliorer leurs programmes de sécurité, notamment en ce qui concerne la participation des développeurs. C'est à cette époque que j'ai contacté ce qui est aujourd'hui mon équipe fondatrice chez Secure Code Warrior. Ensemble, nous avons compris les difficultés rencontrées par les équipes de sécurité et de développement en ce qui concerne les vulnérabilités au niveau du code, ainsi que les problèmes rencontrés par la plupart des solutions de formation destinées à améliorer les compétences des développeurs en matière de sécurité. Nous avons commencé à travailler sur notre vision d'une plateforme d'apprentissage qui pourrait être étendue au niveau de l'entreprise, tout en restant amusante et engageante pour les développeurs. En fin de compte, nous voulions créer une suite d'outils adaptés à l'environnement de travail des développeurs, moins perturbateurs et les aidant à adopter un état d'esprit axé sur la sécurité. Et nous avons cherché à le rendre aussi flexible que possible sur le plan linguistique et riche en contenu.
Peux-tu nous présenter ce que tu fais ? Quels sont les principaux défis que vous aidez à surmonter ?
En fin de compte, nous aidons les entreprises à accélérer le développement de leurs logiciels en supprimant les problèmes de sécurité et les retards souvent causés par l'utilisation de mauvais modèles de sécurité dans le code. Nous avons créé une plateforme d'apprentissage et une suite d'outils destinés aux développeurs qui aident les équipes de développement à gérer les vulnérabilités de sécurité courantes, dont beaucoup existent depuis des décennies et continuent d'exposer les entreprises aux cyberrisques aujourd'hui. Ils persistent parce que les développeurs n'ont pas la formation et les compétences nécessaires pour résoudre ces problèmes au niveau du code, et les introduisent souvent dès le départ en utilisant des modèles et des techniques de codage médiocres. Le codage sécurisé ne leur est pas enseigné au niveau supérieur et la plupart des programmes de formation en entreprise ne fournissent pas de contenu adapté à leur travail quotidien, en plus d'être trop peu fréquents pour avoir un véritable impact sur la qualité et la sécurité du code au fil du temps. Nos solutions visent à fournir un développement de compétences attrayant et pertinent qui modifie les comportements de codage et les aide à placer la sécurité au premier plan dans le monde réel. Nous nous intégrons de plus en plus aux environnements que les développeurs connaissent le mieux, et l'accent que nous mettons sur l'apprentissage contextuel donne aux utilisateurs les meilleures chances de conserver les principaux résultats de leur formation. Nous nous efforçons également de le faire de manière à aider les développeurs à envisager la sécurité sous un angle positif et amusant, qui récompense la réussite et renforce la communauté.
Puisque l'apprentissage du codage sécurisé peut sembler fastidieux à certains, comment faites-vous pour que votre formation reste efficace et divertissante ?
Notre plateforme d'apprentissage phare est conçue en tenant compte de l'engagement des développeurs. L'une des fonctionnalités les plus populaires est le mode Tournoi, dans lequel les participants peuvent tester les connaissances qu'ils ont acquises au cours de l'entraînement contre leurs pairs. Des points sont marqués pour chaque bonne réponse et un classement est mis à jour en direct tout au long de la session du tournoi. Nous les avons organisés lors d'événements communautaires et de conférences, et certains de nos clients ont créé des thèmes incroyablement complexes où tout le monde est déguisé. C'est une excellente expérience de team building et le moment idéal pour célébrer l'engagement à améliorer les compétences avec des pizzas, des prix et une pause dans la routine habituelle. De plus, notre contenu en général est disponible dans plus de soixante frameworks de programmation, en utilisant de véritables extraits de code qu'ils verront dans leur travail quotidien. Il est beaucoup plus facile de rester engagé lorsque le contenu est hyperpertinent et aide à résoudre de vrais problèmes, plutôt que de regarder des vidéos ou de passer un examen de conformité annuel.
Quels sont selon vous les principaux défis auxquels les développeurs sont confrontés aujourd'hui ?
Je pense qu'il est important de démontrer que les développeurs veulent réussir, mais qu'ils n'ont pas été suffisamment outillés en matière de sécurité au cours de leur formation ou de leur carrière. C'est la clé de nombreux problèmes auxquels ils sont confrontés du point de vue de la sécurité. Ils ont également tendance à considérer la sécurité comme ne relevant pas de leurs responsabilités et, dans la grande majorité des organisations, leurs indicateurs de performance clés n'incluent aucun élément lié aux résultats du codage sécurisé. Si nous voulons assister à une évolution du volume des vulnérabilités au niveau du code, ce statu quo doit être rompu. Cependant, les développeurs ont besoin de l'assistance et des outils appropriés pour apporter le changement que nous souhaitons voir, et le défi consiste à les habiliter efficacement, à leur donner le temps de se former et à investir dans cette mise à niveau dès maintenant pour garantir la sécurité le plus rapidement possible plus tard.
Comment les récents événements mondiaux ont-ils affecté votre domaine de travail ?
Bien que toutes les entreprises aient sans aucun doute ressenti les effets du climat mondial actuel sur leurs objectifs, leurs prévisions et leurs budgets, nous avons eu la chance de surmonter la tempête jusqu'à présent. La cybersécurité est un élément non négociable pour la plupart des entreprises, et nous mettons tout en œuvre pour continuer à participer à cette conversation avec nos clients et prospects.
Quelles sont les meilleures pratiques que les organisations devraient suivre lors du développement de logiciels ou d'applications ?
Chaque organisation a ses propres nuances, mais en général, les entreprises qui appliquent les meilleures pratiques de sécurité sont prêtes à sortir des sentiers battus et à essayer différentes approches. Ils n'oublient pas que les gens peuvent avoir un impact positif sur les résultats en matière de sécurité. Dans la plupart des cas, les développeurs ne constituent pas une priorité dans un programme de sécurité. Cependant, face à un déficit mondial de compétences en matière de sécurité qui ne sera probablement pas comblé de sitôt, les développeurs dotés de technologies de sécurité peuvent contribuer à réduire les risques et à assurer la conformité du point de vue de la création logicielle. Ils peuvent avoir un impact au stade le plus précoce et le moins cher possible du processus.
Outre les outils de codage sécurisés, quelles autres mesures ou pratiques peuvent, selon vous, non seulement améliorer mais également sécuriser les opérations commerciales ?
Chaque entreprise devrait suivre une sorte de formation à la sécurité basée sur les rôles. Il existe une pléthore de menaces autres que les exploits au niveau du code que les acteurs de la menace cherchent à exploiter. Chaque membre de l'organisation doit donc connaître régulièrement les principes de sécurité applicables à son travail. En ce sens, tout le monde, du chef de bureau à l'équipe comptable, doit comprendre et assumer le rôle qu'il joue dans l'action et la sensibilisation à la cybersécurité.
Compte tenu du climat économique actuel, les RSSI sont soumis à de fortes pressions pour assurer la sécurité des entreprises au moindre coût, quels conseils leur donneriez-vous ?
Les RSSI doivent faire preuve de créativité dans ce climat, d'autant plus que la législation en matière de cybersécurité devient de plus en plus exigeante et, dans certains cas, conduit les RSSI à être tenus personnellement responsables en cas de violation. Ajoutez à cela les licenciements, et vous vous retrouverez dans une situation où moins d'ingénieurs devront assumer plus de responsabilités tout en écrivant le même volume de logiciels. Les RSSI peuvent aider les entreprises à réussir en surmontant l'un des principaux obstacles qui les ralentissent : la sécurité.
L'étape de loin la moins coûteuse pour corriger les failles de sécurité et les erreurs de configuration au niveau du code est avant la livraison du logiciel, ce qui place naturellement le développeur dans une position privilégiée pour réduire ce risque. Ils ont toutefois besoin d'un soutien personnalisé pour y parvenir. Une sécurité rapide est possible s'ils fournissent à la cohorte d'ingénieurs des outils axés sur les développeurs, en tenant compte de leur flux de travail et de leur infrastructure technologique actuels. Ils ont besoin d'outils pour atteindre une précision de sécurité à grande vitesse, et le meilleur moyen d'y remédier est de leur montrer comment utiliser des modèles de codage sécurisés et résoudre les problèmes plus rapidement.
Contre le coût d'une formation complète pour les développeurs, vous pouvez essentiellement vous efforcer d'éliminer les vulnérabilités à la source, économisant du temps et de l'argent plus tard dans le cycle de vie du développement logiciel (SDLC). Compte tenu de la fréquence des attaques à grande échelle et de l'augmentation de la responsabilité des RSSI comme jamais auparavant, nous devons cesser d'attribuer le retard à une pénurie de compétences en cybersécurité. Priorisez les pratiques de sécurité défensives et valorisez le personnel qui se trouve déjà juste devant vous.
Quel est l'avenir de Secure Code Warrior ?
Nous voulons continuer à innover, en plaçant le développeur au premier plan des solutions que nous mettons sur le marché. Nous nous efforçons de leur permettre de garantir la sécurité sans compromettre la rapidité de diffusion des fonctionnalités ou leur bon sens lorsqu'ils jonglent entre plusieurs priorités.
Notre objectif est d'aider les entreprises à révolutionner leur programme de sécurité défensive, et nous voulons que les développeurs dotés de technologies de sécurité soient les héros de cette histoire. Surveillez cet espace.
%20(1).avif)
.avif)
