Développement sécurisé : retex d’un serious game – Global Security Mag Online
Publié le : jeu 09 novembre 2017Views: 2189

Publié dans : Pédagogie

[yarpp]
Sysdream a mis sur pied un évènement de cyberentraînement à Clermont-Ferrand pour le compte de l’entreprise Michelin. A travers cette démarche, le groupe souhaitait sensibiliser ses salariés, et plus particulièrement ses équipes de développeurs et DevOps, à la sécurité, mais aussi les faire monter en compétences, en les mettant le temps d’une journée « dans la peau d’un hacker ». Vincent Hautot, Directeur Technique de Sysdream, et Mickael Laisney, Group Cyber-Defense, CERT – Michelin, nous livrent leur retour d’expérience à l’occasion des Assises de la Sécurité.

Objectif : tendre vers une « Security by #Design »

Les conclusions de cet exercice se sont avérées positives pour Michelin puisque, mis à part globalement une différence de maturité observée entre les participants, les premiers retours ont été relativement constructifs et les développeurs mieux sensibilisés quant à ces problématiques. D’ailleurs, des impacts à court terme se sont fait sentir, puisque certains développeurs ont depuis lancé leurs propres campagnes de patching. Certains participants ont même créé des équipes de challenge en ligne. En outre, cette démarche a permis de renforcer le lien existant entre équipes de développeurs et sécurité.

Enfin, sur le long terme, ce type d’actions se caractérise notamment par une baisse du nombre de failles applicatives et une tendance plus naturelle à se diriger vers une sécurité pensée « by Design ». C’est d’ailleurs pourquoi l’entreprise a déjà prévu d’organiser d’autres évènements de ce type, prenant en compte quelques axes d’amélioration : une #formation sur 2 jours, avec plus de participants, plus de pratique en termes d’attaque et d’exploitation, ainsi qu’un débriefing plus poussé dans la démonstration de résolution de certains challenges.

 

Partagez cet article