Vous avez donc acquis les principes de base. Votre équipe valide les entrées, analyse le code et ne commet pas de secrets (espérons-le). Mais maintenant vient la partie la plus difficile : faireen sorte quecela tienne au fur et à mesure que votre équipe s'agrandit. Ce chapitre est consacré au passage de victoires ponctuelles à un développement sécurisé par défaut, sans pour autantse transformer en une machine à mots à la mode axée sur les politiques.

Non, vous n'avez pas besoin d'un modèle de maturité de la sécurité de l'entreprise ou d'une formation de sensibilisation de 200 diapositives. Ce dont vous avez besoin, c'est d'une formation légère, à fort impact, qui aide votre équipe à renforcer ses compétences en matière de sécurité au fil du temps. Pensez-y : une formation pratique qui n'insulte pas leur intelligence, des mesures qui suivent les progrès réels (et pas seulement les résultats des scanners), et une culture dans laquelle la dénonciation des risques n'a pas l'air d'être un doigt d'honneur. Nous verrons également comment faire évoluer tout cela au sein des équipes, des sprints et des lignes de produits, sans perdre la raison ni briser votre pipeline.

Image de remplacement : Description de l'image : Courbe de croissance de l'équipe de développeurs en fonction des étapes clés du développement sécurisé (formation, outils, mesures et changements culturels).

Commençons par une formation bien faite. Parce que personne n'a envie d'assister à un autre PowerPoint "Qu'est-ce qu'un XSS ? PowerPoint.