배경

엔베스트넷(Envestnet, Inc.)은 상장된 금융 기술 기업으로, 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유하고 있습니다. 엔베스트넷의 사명은 모든 이의 재정적 안녕을 실현하기 위해 금융 자문가 및 서비스 제공업체에게 혁신적인 기술, 솔루션 및 정보를 제공하는 것입니다. 엔베스트넷은 전 세계 자산 관리 분야에서 금융 자문사가 활용하는 서비스와 소프트웨어를 통합한 선도적인 자문 플랫폼을 통해 자산 관리 기술 시장의 주요 기업으로 자리매김했습니다.

엔베스트넷은 데이터 관리 모범 사례를 위한 노력의 일환으로, 위험 기반의 지속적인 규정 준수 모니터링을 통해 자산 관리 플랫폼을 상시 감시합니다. 이를 통해 규정 준수 문제나 잠재적 결함을 신속하게 식별하고 해결합니다. 엔베스트넷은 서비스 제공 과정에서 최고 수준의 보안 조치를 도입함으로써 고객 데이터 보호 분야에서 선도적인 역할을 수행하고 있습니다.

Envestnet의 제품 보안 책임자이자 『애플리케이션 보안 매뉴얼』의 저자인 데릭 피셔가 Secure Code Warrior 개발자 팀을 위한 애자일 보안 코드 활성화로 취약점을 줄이는 종합적인 접근 Secure Code Warrior 어떻게 Secure Code Warrior 알아보세요. 데릭은 10년 이상 애플리케이션 보안 분야에서 활동하며 수많은 보안 성공 사례와 실패 사례를 목격해 왔으며, 엔베스트넷 개발자들을 위한 안전한 코드 학습 환경 구축에 독보적인 전문성을 기여하고 있습니다.

상황

데릭이 애플리케이션 보안 분야에서 처음 업무를 시작했을 때, 그는 OWASP 상위 10개 취약점 목록과 기본적인 규정 준수 교육 이상의 것을 원했습니다. 그들은 일부 보안 SDLC 프로세스를 갖추고 있었지만, 주로 취약점 탐지에 초점을 맞추고 있었으며 근본적인 해결은 반드시 이루어지지 않았습니다.

데릭에 따르면, "우리 모두는 모든 조직에서 매년 받아야 하는 규정 준수 교육에 대해 잘 알고 있습니다. 일반적으로 제가 '파워포인트로 인한 죽음'이라고 부르는, 수많은 슬라이드와 아마도 마지막에 평가가 있는 그런 교육이죠... 이는 정말 비효율적이고 시간을 많이 잡아먹습니다. 저희도 교육을 받았지만, 일반적인 규정 준수 교육에 기반한 것이었고, 슬라이드와 오디오 녹음으로 진행되는 보안 관련 특정 교육이었습니다. 개발자들이 그다지 적극적으로 참여하지 않고 자료에서 많은 것을 배우지 못한다는 점을 발견했습니다. 그래서 저희는 전략을 변경해야 했습니다."

OWASP 기반의 단순한 규정 준수 중심 수동적 교육으로 개발자를 양성하는 이러한 전통적인 전략은 데릭과 그의 팀에게 특히 고통스러웠습니다. 교육의 효과를 측정할 수 없었기 때문에 취약점 관리에 점점 더 많은 시간을 할애해야 했기 때문입니다.



데릭은 취약점의 근원, 즉 개발자들이 생산 환경에 배포한 비보안 코드를 검토하는 것이 중요하며, 단순히 추가 도구를 도입하는 것만으로는 해결책이 될 수 없다고 인정했다.

데릭과 그의 팀은 2020년에 취약점 완화에 집중하여 초기 단계부터 보다 안전한 코드를 작성하는 것을 목표로 삼았습니다. 데릭과 그의 팀은 SDLC(소프트웨어 개발 수명주기)의 훨씬 초기 단계에서 취약점을 처리하고 수정하는 '좌측 전환(shift left)' 전략을 채택했습니다. 이 시기에는 수정 비용이 현저히 낮았기 때문입니다.

그러나 무엇보다도, 그들은 기존 App Sectraining에 대한 개발자들의 역사적으로 낮은 참여도에 직면해야 했습니다. 그는 단순히 '체크리스트' 식 사고방식을 코드 보안 학습 전략에 도입하는 것을 피하고, Envestnet 개발자들에게 더 효과적이고 민첩한 보안 코드 학습 경험을 제공하고자 했습니다.

SCW와 그 기능을 직접 확인한 후, 우리에게는 보다 실용적이고 상호작용적인 접근 방식이 정답임을 깨달았습니다. 엔지니어와 개발자들이 이 교육을 마치면 실제 문제에 대한 실질적인 이해도를 높일 수 있기를 바랐습니다. 우리는 이런 근육 기억을 키우고 싶었습니다: '이건 훈련에서 본 적이 있는 거야, 지금 보는 이 코딩 문제를 어떻게 접근해야 할지 알고 있어.' Secure Code Warrior 플랫폼은 엔지니어와 개발자가 직접 참여하여 안전한 코딩의 모범 사례가 무엇인지, 나쁜 코딩은 어떤 모습인지, 취약점을 신속하게 해결하는 방법을 진정으로 이해할 수 있는 환경을 Secure Code Warrior ."

Derek Fisher, Envestnet 제품 보안 책임자

액션

데릭은 특히 안전한 코딩 역량을 인증을 통해 보상하는 벨트 전략을 도입하는 데 큰 관심을 가졌습니다. 4단계로 구성된 이 프로그램은 보안 인식의 탄탄한 기반을 마련하는 것을 목표로 하며(1~2단계), 이후 개발자들이 보안 챔피언으로 성장할 수 있는 길을 열어줍니다(3~4단계). 이는 개발자들이 안전한 코딩 개념을 어떻게 유지하는지 측정할 수 없었던 문제를 해결하는 동시에, 보안에 관심이 있는 개발자들이 더 복잡한 보안 과제에 맞서 역량을 발전시킬 수 있는 경력 경로를 보장했습니다.

그들은 소규모 시범 프로젝트를 통해 이를 테스트하고 관련 개발자들의 의견을 요청했습니다. 피드백은 매우 긍정적이었습니다. 데릭은 다음과 같이 언급했습니다:

« 이러한 요소들이 항상 좋은 결과를 내는 것은 아닙니다. 훈련에 대한 긍정적인 피드백을 받을 때마다 이 점을 강조해도 지나치지 않습니다. 이는 흔치 않은 일입니다. 바로 그 도구가 적합하다는 좋은 지표입니다. »

엔베스트넷은 2021년 봄 첫 번째 대회를 개최했으며 개발자 참여 측면에서 더 긍정적인 결과를 기록했습니다. 데릭은 이후 데이터베이스, 프론트엔드, API 및 클라우드 개발자를 대상으로 LMS에 통합된 일련의 강좌를 출시했습니다. 엔베스트넷이 2021년 가을 두 번째 개발자 대회를 개최했을 때 참가 개발자 수는 두 배로 증가했습니다.

데릭에 따르면, 엔베스트넷은 토너먼트로 큰 성공을 거두었는데,

« 우리 모두는 경쟁이 동기 부여의 원천이라는 것을 알고 있습니다. 우리는 모두 동료들이 특정 분야에서 우리의 좋은 성과를 인정해주길 바라며, 이는 사람들이 이러한 대회에 참여하고 성공하도록 정말로 동기를 부여합니다. 이러한 점과 개발 도구로의 통합은 Secure Code Warrior 가치를 확실히 보여주었습니다. »

데릭과 팀은 또한 Secure Code Warrior 통합하여 특정 취약점이 재발할 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 즉시 수정 지침에 접근할 수 있도록 작업했습니다. 이를 통해 개발자들은 취약점을 해결하는 방법에 대한 귀중한 맥락과 즉각적인 온디맨드 교육을 필요한 곳, 즉 영향 지점에서 바로 제공받을 수 있게 되었습니다. Derek의 팀은 또한 Secure Code Warrior 보안의 날을 Secure Code Warrior , 이를 통해 CEO의 더 폭넓은 지원을 확보하고 엔베스트넷의 성공에 있어 엔지니어링 및 보안 역할의 중요성을 강화할 수 있었습니다. 이러한 경영진과 개발자들의 적극적인 참여 덕분에 엔베스트넷은 현재의 프로그램 규모로 확장할 수 있었습니다. 현재 엔베스트넷은 선정된 모든 보안 챔피언을 프로그램에 등록했으며, 전체 팀의 60%가 레벨 1 또는 2 인증을 획득했습니다.

결과

Envestnet이 성공을 측정하는 방법 중 하나는 SCW 학습 경험을 이수한 팀들을 검토하고, 그들이 취약점을 덜 생성하거나 취약점을 더 빠르게 수정하는지 확인하는 것이었습니다. 그들이 발견한 결과는 인상적이었습니다:

• SCW에서 훈련받은 개발자들은 동료들보다 2.7배 더 많은 취약점을 수정했습니다.
• SCW에서 훈련받은 100명의 개발자가 단기간에 450개의 취약점을 수정했습니다.
• SCW에서 훈련받은 1,200명의 개발자들이 Envestnet의 각 작업 대기열에서 시정 조치를 120% 증가시키는 데 기여했습니다.
• 1년 동안 두 제품군에서 SCW 교육을 받은 개발자들은 취약점 관련 문제를 개발자당 4.5건의 비율로 해결한 반면, 동료 개발자들은 개발자당 1.82건에 그쳤다.
• 모든 보안 챔피언들은 2022년에 인증 프로그램을 이수했습니다.
• 보안 인식 개발자의 60% 이상이 레벨 1과 2를 거쳤습니다.


주요 포인트

데릭은 안전한 코드 학습 여정을 시작하는 초보자들에게 다음과 같은 조언을 제공합니다:

« 우리의 보안 업무는 조직 내 위험을 줄이는 데 있습니다. 이것이 우리의 진정한 목표이며 항상 추구하는 바입니다. 심각한 취약점이 가장 높은 위험을 나타내지 않거나 조직에 가장 큰 영향을 미치지 않을 수도 있습니다. 이는 낮은 위험과 높은 위험이라는 두 가지 중간 요소가 결합되어 훨씬 더 강력한 위협 사슬을 형성하는 것과 같습니다. 시간이 지남에 따라 취약점이 누적될수록 위험은 증가합니다. Secure Code Warrior 통해 선제적으로 대응하고, 안전한 코드에 대한 민첩한 학습을 통해 이러한 잠재적 취약점 사슬을 완화하는 적극적인 접근 방식을 채택할 수 있습니다. »

• 취약점을 테스트하고 보고하는 데 그치지 마십시오. 결국 개발자들에게 불필요한 소란만 일으키게 됩니다.
• 보안 개발은 개발자의 파트너가 되어야 하며, 안전한 코드 학습 전략을 실행하기 전에 그들의 동의를 확보해야 합니다.
• 로마는 하루아침에 건설되지 않았다. 귀사의 프로그램은 위험 프로필의 변화, 기업의 발전, 그리고 기술 및 도구의 진화에 따라 지속적으로 발전해야 합니다.
• 가장 효과적인 장기 전략은 주변 사람들의 보안 지능을 향상시켜 생성되는 취약점의 총량을 줄이는 것입니다.

배경

Le groupe Thales est une multinationale française qui conçoit, développe et fabrique des systèmes électriques, ainsi que des appareils et des équipements pour les secteurs de l'aérospatiale, de la défense, des transports et de la sécurité. Viswanath S. Chirravuri est le directeur technique de la sécurité logicielle chez Thales. Viswanath, ou Vis, a débuté sa carrière dans la sécurité en tant que programmeur. Il est aujourd'hui haut responsable de la sécurité chez Thales, avec plus de 18 ans d'expérience dans le secteur de la sécurité, et détient plus de 30 certifications, dont CISSP, PMP et GSE. Il a formé plus de 3 000 professionnels du logiciel dans plus de 18 pays. En outre, Vis a remporté plus de 10 pièces de défi SANS lors de tournois internationaux de cybersécurité (tels que Netwars) et est un membre actif du conseil consultatif du GIAC. Nous avons discuté avec Vis pour savoir comment il a aligné les personnes, les processus et la technologie pour développer un programme d'apprentissage de code sécurisé réussi chez Thales.

상황

Lorsque Vis a rejoint Thales, il a coaché des unités commerciales pour qu'elles examinent la source des vulnérabilités découvertes lors de tests internes en tant que solution possible pour réduire l'arriéré de dettes technologiques. L'équipe chargée de la sécurité des applications a fait appel à 7 fournisseurs différents avec lesquels elle travaillait pour renforcer sa position en matière de sécurité, des outils IAST/DAST aux outils de test informatique. Vis souhaitait comprendre les tendances du marché et gérer les menaces de manière évolutive afin de développer des stratégies d'atténuation grâce à une forte intégration entre les processus et la technologie. Cela impliquait de passer d'une approche purement basée sur les outils à une stratégie comportant une forte composante d'apprentissage. Il a remarqué que de nombreux développeurs n'avaient ni connaissances ni compétences en matière de sécurité. Son approche initiale était de proposer une formation en classe aux développeurs sur des sujets tels que le Top 10 de l'OWASP, mais il s'est vite rendu compte que cela n'allait pas évoluer compte tenu des déplacements nécessaires pour enseigner en personne et de la nécessité de toucher des milliers de développeurs à travers le monde. Vis a noté que :

« Il y aura toujours un déséquilibre dans le rapport entre sécurité et développement. Même si j'avais un ratio de sécurité de 1:1 par rapport aux développeurs, je ne pourrais pas les maintenir engagés en permanence. Pour tenir nos développeurs informés des nouveaux vecteurs d'attaque, des meilleures pratiques, des nouveaux langages et des vulnérabilités récemment découvertes, nous devions être en mesure de promouvoir l'auto-apprentissage par les développeurs et de leur permettre de suivre leur propre rythme. S'ils ont besoin d'aide, je pourrais les aider, mais je me suis rendu compte que je ne pouvais pas être la personne qui leur apprendrait à corriger toutes les vulnérabilités qu'ils trouvent. »

Au départ, les responsables du développement se sont montrés réticents quant au temps que les développeurs devraient consacrer à l'apprentissage sécurisé du code, étant donné que de nombreux développeurs partaient de zéro. Vis devait gérer la perception selon laquelle un engagement en faveur d'un apprentissage sécurisé du code risquait de perturber les cycles de publication des logiciels ou de ralentir les sprints critiques. Il avait besoin de trouver un moyen de motiver correctement l'organisation à consacrer du temps à l'apprentissage agile du code sécurisé. Vis a adopté une attitude axée sur les personnes pour remédier aux vulnérabilités à la source, « Les gens disent souvent que la sécurité fait perdre du temps au développement. Pour moi, si vous développez quelque chose et que ce n'est pas sûr, c'était une perte de temps au départ. Vous devez toujours développer des logiciels de manière à les sécuriser et à ne pas avoir à corriger les vulnérabilités qui auraient pu être facilement évitées. Nous devrions tous avoir pour objectif commun d'envoyer un code fiable. »

액션

Vis avait deux objectifs principaux en tête : sécuriser ses logiciels et sensibiliser les équipes de développement de Thales à la sécurité. Il était essentiel de mettre en œuvre un programme permettant aux développeurs d'être indépendants et de se former à leur propre rythme. La stratégie de Vis était de créer une communauté de sécurité au fil du temps, en s'efforçant de lier le codage sécurisé aux politiques de l'entreprise et en élaborant un mandat pour l'apprentissage sécurisé du code dans l'organisation. En encourageant une culture de communauté mettant en relation les développeurs, les testeurs, les architectes et les ingénieurs, il a constaté un effet multiplicateur de motivation. Des champions de la sécurité passionnés par la sécurité sont apparus dans le cadre de leur travail quotidien et ont contribué à faire connaître les pratiques de codage sécurisé au sein de l'organisation. Vis a évalué plus d'une douzaine de fournisseurs de formations en sécurité et est devenue cliente de SCW en 2019. Pour Thales, le fait de pouvoir compter sur un fournisseur couvrant tous les langages de programmation et tous les frameworks de son environnement au lieu d'une solution fragmentaire a constitué un avantage considérable. Vis s'est appuyé sur l'énorme volume de contenu de Secure Code Warrior pour créer des formations et un apprentissage à leur rythme permettant aux développeurs du programme de sécurité d'accéder à :

« Le top 10 de l'OWASP ne se résume pas à dix choses que vous devez savoir. La profondeur et la diversité des vulnérabilités couvertes par l'OWASP, combinées au grand nombre de langages de programmation, peuvent être écrasantes. Le large éventail de défis et la couverture que nous avons sur ces sujets ont joué un rôle clé dans le choix de SCW. Ils ajoutent toujours de nouvelles choses. La profondeur, la diversité des sujets, le contenu actualisé et l'accent mis sur les principes de conception de code sécurisé distinguent vraiment SCW. Grâce à eux, il ne s'agit pas d'une formation à usage unique, mais nous avons eu l'opportunité de créer un programme continu. »

Vis et son équipe ont structuré quatre niveaux du déploiement du programme d'apprentissage sécurisé du code, avec des étapes différentes pour chaque rôle d'ingénieur :

Il est important de noter que SCW est devenu la source de vérité pour les corrections de vulnérabilités. Au lieu de se fier aux recherches Google susceptibles de vous amener à résoudre les problèmes, Vis a publié à la fois des directives de l'équipe AppSec et celles de la bibliothèque de contenu de SCW afin que les développeurs puissent référencer une source fiable et authentique pour les corrections de vulnérabilités dans le code. Selon Vis :

« Les développeurs ne devraient pas être libres de décider comment corriger une vulnérabilité et potentiellement introduire une nouvelle vulnérabilité au cours du processus. Nous avons intégré des vidéos SCW à notre LMS via l'intégration SCORM de SCW pour nous assurer que les développeurs apprenaient à corriger la vulnérabilité de la bonne manière. Cela nous a également permis de nous assurer que les développeurs fournissant des logiciels sécurisés étaient reconnus. Nous leur demandons d'atteindre un certain niveau de sécurité en matière de codage et nous pouvons suivre ce niveau grâce aux vulnérabilités qu'ils corrigent et ne réintroduisent pas. De cette façon, le dur labeur qu'ils ont accompli est reconnu et valorisé au sein de l'entreprise. »

결과

Vis et son équipe publient une newsletter mensuelle à code sécurisé dans laquelle ils peuvent reconnaître le meilleur apprenant de l'entreprise. Ils utilisent SCW pour examiner les scores d'évaluation, la participation aux tournois et les défis rencontrés afin d'amplifier ce résultat. Cela motive d'autres développeurs à apprendre également. Les KPI qu'il a initialement définis visaient à réduire le nombre total de vulnérabilités sur 2 ans. Après la mise en œuvre du SCW, il a noté une ligne de tendance à la baisse. Ces vulnérabilités ne sont pas réintroduites au niveau du code source. Vis le dit ainsi :

« Les KPI que nous présentons à notre direction reflètent cette sélection éclairée que nous avons faite. Nous sommes fiers de proposer une formation au code sécurisée qui donne confiance à nos clients. Nous sommes reconnus pour notre programme complet de formation au code sécurisé et sommes respectés par nos clients et nos pairs. Un tel programme ajoute beaucoup de valeur à votre entreprise. »

주요 포인트

Vis a reconnu que les personnes, les processus et la technologie ont tous un rôle à jouer dans toute initiative de sécurité. En mettant l'accent sur la sécurité du logiciel, les connaissances des développeurs et le respect de la conformité, il est possible de mettre en place un apprentissage agile pour un programme de code sécurisé qui réduit les vulnérabilités du code source au fil du temps. Vis propose ces recommandations aux professionnels de son domaine qui souhaitent renforcer les compétences en sécurité des équipes de développeurs.

무엇을, 언제, 왜 개발자를 더 포함시켜야하는지.

‍

IAG Group est à l'origine de nombreuses compagnies d'assurance de premier plan de la région Asie-Pacifique, qui souscrit des polices pour des millions de clients à hauteur d'environ 11,4 milliards de dollars australiens de primes par an. Bianca Wirth est responsable de la formation et de la sensibilisation à la sécurité d'entreprise pour le groupe IAG. Très consciente de la nécessité d'une sensibilisation et de pratiques strictes en matière de sécurité au sein de l'équipe de développement, elle a entrepris de créer un environnement véritablement innovant et optimal dans lequel l'équipe pourrait apprendre des techniques de codage sécurisé vitales.

ENTREZ : Game of Codes

Le défi

Les développeurs sont souvent pressés par le temps, avec de multiples livrables et projets en ébullition. Cependant, il est de la plus haute importance pour toute organisation de se tenir au courant des meilleures pratiques en matière de sécurité, sans parler des millions de profils de données clients sensibles à protéger contre les pirates informatiques. Bianca et son équipe se sont fixé des objectifs clairs pour renforcer leurs initiatives en matière de cybersécurité. Ils ont déterminé que la priorité était de minimiser la surface d'attaque des applications développées par IAG, et ils aborderaient cette question en formant les développeurs à identifier et à corriger les vulnérabilités critiques et à haut risque. De longs cours de formation au codage sécurisé existent certes, mais ils peuvent être laborieux et fastidieux et empêcher le personnel clé de se consacrer à des projets de développement dont les délais de livraison sont stricts, ce qui crée une pression sur l'ensemble de l'entreprise. La nécessité d'améliorer rapidement les compétences de l'équipe de développement, avec un impact minimal sur la charge de travail et les opérations, est devenue évidente. Et avec des développeurs en Australie et en Nouvelle-Zélande travaillant chacun sur des systèmes qui n'étaient pas nécessairement les mêmes, ce n'était pas une mince affaire.

« Cette année, j'ai apporté une modification à notre code source qui a supprimé une vulnérabilité d'injection SQL. Pour leur connaissance de cela, je donne le mérite à Game of Codes. Il est même utile de garder le codage sécurisé à l'esprit. Le concours est un bon moyen de pousser les gens à faire de leur mieux... Parce que, avouons-le, la sécurité n'est pas le sujet le plus intéressant pour tout le monde. C'est donc un bon moyen de faire participer les gens. » Développeur R, IAG

La mise en œuvre

Bianca a élaboré une stratégie de déploiement d'une expérience d'entraînement ludique, en collaborant avec son équipe et Secure Code Warrior à la mise en œuvre de tournois et de formations visant à promouvoir les compétences de leurs développeurs internes. Pour cela, il était essentiel de mettre en place une stratégie de communication solide, ainsi que de prendre en compte les différentes motivations et personnalités des collaborateurs qui adoptent une toute nouvelle plateforme et l'utilisent à son plein potentiel :

« Nous avons conçu un plan de communication indiquant comment nous allons communiquer au personnel et aux principales parties prenantes les points à connaître, les messages clés et les incitations que nous leur donnons pour qu'ils répondent également. La plupart des gens apprécient vraiment l'expérience gamifiée. Tout dépend de leur personnalité, de leur motivation et de ce qui les anime. C'est pourquoi nous essayons de répondre à un tout autre éventail de motivations pour les gens. Pour certains, ils adorent les prix, pour d'autres, l'aspect réussite en lui-même est suffisant. » elle a dit

Bianca et IAG ont présenté de manière experte la plateforme d'apprentissage gamifiée de Secure Code Warrior, transformant leur tournoi en une expérience de compétition amusante surnommée le « Jeu des codes », avec des membres du personnel placés dans des maisons à thème médiéval (avec des articles de marque pour les joueurs) s'affrontant dans une bataille digne de l'homonyme produit par HBO.

Le tournoi a même été porté sur la scène internationale, avec un prochain match entre l'Australie et la Nouvelle-Zélande qui sera bientôt lancé. Cela donne à IAG l'occasion d'identifier les principaux champions de la sécurité dans les deux pays et de s'assurer que les équipes renforcent leurs compétences ensemble.

Le résultat

Game of Codes est en fait un programme d'entraînement spécialisé. Son déploiement sous la forme d'un tournoi interactif et amusant a permis au personnel de rester impliqué de différentes manières, mais l'aspect pratique de base de l'exercice est resté : donner aux développeurs les compétences nécessaires pour identifier et neutraliser les vulnérabilités à haut risque dans les applications développées par IAG.

En veillant à ce que les développeurs et les équipes de sécurité travaillent dans une optique axée sur la sécurité, et en étant équipés non seulement pour identifier, mais aussi pour corriger les vulnérabilités dès le début, IAG prévoit une réduction des exercices de tests d'intrusion coûteux et de la pression sur l'équipe qui les réalise.

Outre cette compétence vitale qui continue d'être développée, Game of Codes a également contribué à l'établissement de relations, en insufflant un sentiment de camaraderie et de compétitivité amicale entre les équipes impliquées, tout en aidant les joueurs à avoir plus confiance en leurs capacités de codage sécurisé lorsqu'elles étaient mesurées dans un environnement de tournoi de pointage.

Bianca a déclaré que le soutien interne au programme était immense, avec un accueil positif de la part de la suite exécutive. Cela a également conduit à un programme d'ambassadeurs, dans le cadre duquel des personnes désireuses de promouvoir le programme et de défendre la sécurité au sein de l'organisation pouvaient participer :

« Cela a été une exposition fantastique pour certains développeurs et une excellente promotion de leurs compétences. Ils en bénéficient également dans leur propre travail, ce qui est important à voir. »

Loin d'être « un simple jeu » ou simplement un moyen plus agréable pour les chefs de service de suivre une formation à la conformité, Game of Codes propose une solution attrayante et fidélisante qui transforme rapidement les novices en champions de la sécurité, ce qui est essentiel pour minimiser le risque d'une violation à grande échelle.

Et le dernier conseil, de la part de Bianca elle-même :

« Si vous déployez un programme et que vous vous attendez à ce que les gens l'utilisent, il ne fonctionnera pas. Vous devez concevoir un programme en fonction de cela dans le cadre duquel vous initiez et motivez un changement de comportement. Ce que nous avons créé était essentiellement un programme de gestion du changement pour les développeurs, axé sur la sécurité. »

« Après avoir suivi les sessions de formation sur Game of Codes, je me suis rendu compte que je suis davantage intéressée par la sécurité et que je pense à la sécurité lors de la création de tests d'automatisation. Je suis testeur senior au sein d'une équipe agile et ces sessions de formation m'ont motivée à en savoir plus sur les tests de sécurité et à y penser comme une spécialisation possible. » A, testeur senior IAG

FAITS RAPIDES

• Outre l'apprentissage gamifié, IAG utilise également Secure Code Warrior comme outil de test de compétences pour le recrutement de développeurs.
• Ils sont en train de déployer le programme auprès de 100 % de leur équipe de développement, 55 % d'entre eux étant déjà actifs dans le système.
• Ils ont développé un ensemble clé de paramètres internes leur permettant de mesurer le succès du programme en termes de minimisation des risques et de réduction des coûts au fil du temps.
  ‍

‍

‍