Les entreprises accélèrent le processus de déploiement — c'est-à-dire, en réduisant le temps de création et de distribution de logiciels — et lancent de nouvelles versions d'applications de plus en plus rapidement.
Ce que beaucoup ignorent, c'est que cette vitesse n'est pas toujours bénéfique, car elle peut rendre les systèmes plus vulnérables à divers types d'attaques informatiques, puisqu'il n'y a pas toujours suffisamment de temps pour réaliser des tests de sécurité rigoureux avant le lancement.
Cependant, le temps n'est pas toujours le seul facteur déterminant pour qu'une application fonctionne sans défaillances et en toute sécurité. Ce qui aggrave encore plus cette situation est la pénurie de professionnels qualifiés pour protéger tout cet écosystème numérique. Alors que les risques augmentent, il manque des personnes compétentes pour garantir la sécurité des applications. Selon l'étudeÉtude sur la main-d'œuvre en cybersécurité 2024, de l'ISC² – International Information System Security Certification Consortium – organisation à but non lucratif dédiée à la formation et à la certification des professionnels de la sécurité de l'information, le déficit mondial de professionnels de cybersécurité a déjà dépassé 4,8 millions — avec le domaine AppSec parmi les plus critiques au sein de cette lacune.
“Les entreprises qui négligent la sécurité des applications font face à des risques financiers, réputationnels et juridiques importants. Cependant, de nombreuses entreprises qui démontrent un véritable engagement à investir dans ce domaine se heurtent souvent à une pénurie de professionnels qualifiés pour offrir le soutien nécessaire dans ce parcours”, souligne Wagner Elias, PDG de Conviso, développeur de solution pour la sécurité des applications (AppSec).
Au Brésil, la situation n'est pas moins alarmante. Fortinet estime que le pays a besoin d'environ 750 000 spécialistes en cybersécurité, tandis que l'ISC² met en garde contre un possible déficit de 140 000 professionnels dès 2025. Cette combinaison montre que, alors que le pays cherche à pourvoir des centaines de milliers d’emplois, il existe un manque concret et urgent de professionnels qualifiés en sécurité des applications, des opérations et de la gouvernance.
“La demande de professionnels qualifiés dépasse largement l'offre disponible.” Face à cela, de nombreuses entreprises, sans avoir le temps d'attendre la formation traditionnelle, choisissent d'investir dans leurs propres programmes de formation, explique Elias.
Un exemple est la Conviso Academy, une initiative de Conviso, entreprise curitibaine spécialisée dans la sécurité des applications, et qui a récemment acquis le Site Blindado. L'Académie est née pour résoudre un problème réel du marché : la pénurie de professionnels en AppSec. « Nous avons donc décidé de former ces talents », explique Luiz Custódio, instructeur de Conviso Academy.
“A Academy n'est plus un bootcamp avec des cours enregistrés pour des centaines de personnes. Les groupes sont petits, avec des cours synchrones chaque semaine. Dès le premier module, les participants travaillent sur des problèmes réels, affrontant des défis de modélisation des menaces, d'architecture sécurisée et de codage sécurisé, exactement comme les équipes AppSec au quotidien”, déclare Custódio.
Le PDG souligne également que « Derrière ce modèle, Conviso a investi dans la planification méthodologique pour structurer une approche pédagogique alignée sur les réels besoins de formation des professionnels de la sécurité. Et cette méthodologie est guidée par l'idée que l'éducation ne se résume pas à des théories ou à des pratiques, mais à l'expérience. »
Au cours des modules, les participants apprennent, par exemple, à cartographier et prioriser les menaces qui peuvent impacter la continuité des activités, évaluer et proposer des architectures sécurisées pour des applications web, mobiles et cloud; mettre en œuvre des pratiques de développement sécurisé de manière intégrée au DevSecOps et construire un pipeline sécurisé, en automatisant les vérifications sans freiner le déploiement.Tout cela renforçant le principe dudécale à gauche, c'est-à-dire, en apportant la sécurité aux étapes les plus précoces du cycle de développement, où elle est plus efficace et moins coûteuse.
“Le résultat n'est pas seulement technique, c'est savoir comment la sécurité des applications protège et génère de la valeur pour les entreprises, prêt à parler aux parties prenantes, à traduire les risques et à aider les équipes à livrer des logiciels en toute sécurité”, réaffirme.
En pratique, cela fonctionne ainsi : le participant met déjà la main à la pâte dès le début, développant non seulement des compétences techniques en sécurité, mais aussi des compétences douces essentielles comme la communication, le travail en équipe et l'autonomie pour apprendre.
On prend ce que les gens savent déjà, les relie à ce qu'ils ont besoin d'apprendre, et elles se rendent compte que AppSec n'est pas un vrai casse-tête. L'instructeur n'est pas le protagoniste, il est médiateur, aidant à construire et à renforcer des solutions que les participants eux-mêmes développent, dit l'instructeur de la Conviso Academy.
Lors de la première cohorte, plus de 400 inscriptions ont été enregistrées. Cependant, comme la cohorte est restreinte afin de garantir la qualité, seules 20 places sont ouvertes par édition, dont 30 à 40 % des places sont réservées à des groupes minorisés (femmes, personnes noires, communauté LGBTQIAPN+).
"L'objectif, ce sont les personnes qui veulent entrer dans le domaine de l'AppSec, même sans être sur le marché pour le moment. Il n'est pas nécessaire de posséder un diplôme ou un âge minimum, mais il faut avoir une réelle volonté d'apprendre et de se défier", dit Custódio.
Selon l'organisation de l'institution, les inscriptions pour la deuxième cohorte de la formation sont ouvertes, dont le début est prévu pour 2026. Les personnes intéressées peuvent accéder au site pour plus d'informations :https://www.convisoappsec.com/pt-br/conviso-academy
