Frappez d'abord, frappez fort : pourquoi des cours de codage sécurisés organisés avec soin n'accordent aucune importance aux cybermenaces
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Il existe une vérité quelque peu gênante, que les gouvernements, les grandes entreprises et même certains leaders du secteur ont tendance à passer sous silence : en tant que société, nous luttons constamment contre les cybermenaces, et nous sommes actuellement du côté des perdants. Comment le savons-nous ? Ces statistiques sont révélatrices d'une histoire qui donne à réfléchir :
- On estime que la cybercriminalité a un coût global de 6 billions de dollars américains d'ici 2021
- Une cyberattaque se produit toutes les 39 secondes
- 24 % des violations de données sont causés par une erreur humaine
- Une situation alarmante 77 % des organisations ne pas disposer d'un plan de réponse aux incidents de cybersécurité qui s'étend à l'ensemble de l'entreprise et est appliquée de manière cohérente entre les services.
En ce qui concerne les spécialistes de la cybersécurité, nous manquons cruellement de personnel ; il est peu probable que le déficit de compétences soit comblé et aucune armée secrète d'AppSec ne vient nous renflouer. Nous le savons depuis des années et nous devons changer d'approche. Dans notre cas, la meilleure attaque est une bonne défense, et nous pouvons frapper en premier avec un bon plan.
Tout cela semble un peu déprimant, mais ce n'est pas aussi grave que certains voudraient nous le faire croire. Nous avons un atout dans notre manche et le climat de cybersécurité nous offre une opportunité en or. Vous n'avez pas besoin de chercher plus loin que vos équipes de développement internes pour trouver le personnel qui viendra à la rescousse de l'organisation, mais votre programme de sécurité doit les aider à devenir des ingénieurs sensibilisés à la sécurité prêts à partager la responsabilité du codage en toute sécurité.
Toute ancienne formation ne fera pas l'affaire - nous l'avons déjà dit assez, mais même une formation adaptée qui engage, développe des connaissances contextuelles et aide les développeurs à aimer la sécurité pourrait être bien plus efficace, si seulement elle était mieux adaptée aux besoins de l'entreprise, aux menaces auxquelles elle est confrontée et aux exigences de conformité qui aident les entreprises à protéger toutes leurs données.
Et c'est là que se trouvent nos dernières fonctionnalités, Cours, entre en jeu. D'ailleurs, si vous avez trouvé la référence dans le titre, c'est que vous êtes officiellement vieux (ou que vous appréciez simplement un classique).
Apprentissage spécifique à l'organisation : renforcer la défense, renforcer les compétences des développeurs
Nous avons toutes sortes d'opinions sur les raisons pour lesquelles certains types de formation pour développeurs sont meilleurs que d'autres (par exemple, ne les ennuyez pas à mourir avec des heures de sermons vidéo génériques et secs, puis attendez-vous à ce que leur passion pour le codage sécurisé s'épanouisse). Mais même avec un apprentissage compétitif conçu pour faire appel à l'état d'esprit des développeurs, le contenu peut tout de même être légèrement plus large que ce qui est nécessaire pour répondre aux exigences particulières d'une organisation.
Un cours organisé contenant les modules exacts dans lesquels vos développeurs devront démontrer leur compétence aura un impact considérable et leur permettra de se lancer dès le départ en matière de meilleures pratiques de sécurité dans leur travail quotidien. Personnalisez les programmes en fonction des besoins des équipes frontales, des ingénieurs cloud, etc., avec la possibilité d'explorer les vulnérabilités les plus importantes, dans les langages et les frameworks qui leur sont adaptés. Les développeurs développeront leurs compétences grâce à un contexte, à des points de contact et à une expérience continus, tandis que l'entreprise bénéficiera d'une connaissance précise des problèmes les plus risqués.
Personnalisez un cours de conformité
Des réglementations plus strictes en matière de cybersécurité sont imposées dans le monde entier, et la conformité en matière de sécurité logicielle constitue une base solide sur laquelle construire une culture de sécurité positive et efficace. Cela ne devrait pas être ennuyeux, et un bon programme de sécurité suscite un sentiment de fierté et de responsabilité chez les développeurs, au lieu d'un gémissement et d'une grimace.
Comme point de départ, c'est une très bonne idée de mettre tout le monde au courant du Top 10 de l'OWASP, mais pour vraiment atteindre de nouveaux sommets en matière de conformité pertinente au secteur, vous pouvez concevoir un cours personnalisé en fonction des exigences de réglementations spécifiques. Par exemple, une organisation financière pourrait adapter un cours aux exigences de conformité de son logiciel, conformément à la Directives PCI-DSS qui régissent les applications de paiement et de traitement des cartes. L'enjeu est de taille lorsque vous êtes en charge du traitement et du stockage d'informations sensibles telles que les numéros de cartes de crédit, et que le fait d'être très spécifique grâce à la formation des développeurs permet de réduire le bruit, de dispenser la bonne formation au bon moment et de faciliter le suivi des aptitudes de l'équipe.
Voici comment General Electric (GE) utilise les cours au sein de ses équipes :
« Les cours constituent une excellente solution pour nos ingénieurs. Grâce à cette nouvelle fonctionnalité, qui regroupe le parcours d'apprentissage, les vidéos et les points de contrôle dans un module personnalisable, nous avons la possibilité de façonner le contenu en fonction de nos besoins à tout moment. Les capacités de conformité et la flexibilité offrent une opportunité encore meilleure de garantir un processus plus rationalisé et plus flexible. Cette fonctionnalité a aidé General Electric à adapter la formation pertinente à chaque ingénieur plus rapidement et plus facilement que jamais. »
Et n'oubliez pas qu'il s'agit peut-être d'une formation sur la conformité organisée, mais qu'elle est toujours proposée sous la forme d'une expérience d'apprentissage contextuelle, engageante et de petite taille, qui est bien plus attrayante pour les développeurs.
Une culture de sécurité positive fondée sur le respect et la pertinence
La formation est un processus qui dure toute une vie, mais dans le monde effréné de DevSecOps, il y a beaucoup de choses à faire. Le temps réservé à la formation doit être utilisé à bon escient, avec un parcours d'apprentissage viable qui continue à susciter l'engagement et à apporter une valeur ajoutée.
En proposant un cours personnalisé extrêmement pertinent, vous respectez le temps et le flux de travail du développeur, tout en vous efforçant de réduire de manière mesurable les vulnérabilités et les risques de cybersécurité pour l'entreprise.
La relation entre les spécialistes de la sécurité des applications et les ingénieurs est traditionnellement semée d'embûches et de tensions, mais un apprentissage structuré avec des cours peut permettre aux deux parties de se mettre sur la même longueur d'onde en ce qui concerne les meilleures pratiques en matière de sécurité. Les développeurs apprécieront certainement certaines fonctionnalités axées sur les solutions proposées par l'équipe AppSec, qui minimisent leur charge et les aident à élaborer un code de meilleure qualité.
Éliminez les faiblesses, développez l'hygiène de sécurité au niveau de l'entreprise
Nous sommes tous humains et, malheureusement, nous commettons des erreurs. Ces erreurs peuvent être extrêmement coûteuses dans le monde numérique, mais elles sont étonnamment courantes. Symantec Rapport 2019 sur les menaces à la sécurité Internet a confirmé que plus de 70 millions d'enregistrements avaient été volés en raison de compartiments S3 mal configurés. Les erreurs de configuration de sécurité sont l'une des principales causes de violations de données, les erreurs humaines étant à l'origine environ un quart d'entre eux.
Ces problèmes se produisent pour de nombreuses raisons, mais le manque de sensibilisation et de formation en matière de sécurité est l'une des principales raisons pour lesquelles les attaquants peuvent exploiter de petites opportunités. Pour une hygiène de sécurité évolutive qui ait un impact, vous devez en tirer parti en proposant un cours sur mesure pour votre entreprise. Ne faites preuve d'aucune pitié envers vos ennemis et mettez fin à toutes les occasions qui s'offrent à eux pour vous causer le plus gros mal de tête que vous puissiez rencontrer.
Nous constatons déjà un impact incroyable auprès de nos clients, notamment auprès de ce fournisseur SaaS de comptabilité de premier plan basé sur le cloud :
« Le parcours d'apprentissage personnalisé des cours a changé la donne. La spécificité des langages de programmation et les vulnérabilités offrent plus de contrôle et de flexibilité pour créer la bonne expérience d'apprentissage pour chaque développeur en fonction des besoins individuels et de l'entreprise. L'utilisation de Courses en conjonction avec la plate-forme de codage sécurisée plus large de Secure Code Warrior a transformé l'engagement de nos développeurs, dans la mesure où ils souhaitent désormais améliorer leurs compétences en matière de codage sécurisé pour écrire du code de meilleure qualité et plus sécurisé. »
Préparez-vous à DevSec. En savoir plus sur la toute nouvelle fonctionnalité de cours de Secure Code Warriors ici.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
