Questions - réponses avec Marvin Pedron, leader SecDevOps et enseignant. Avis d'expert de Snyk

Pourquoi la formation des développeurs à la sécurité applicative est-elle devenue un enjeu aussi stratégique aujourd’hui ?

La réalité du terrain est assez claire : les applications sont de plus en plus complexes, reposent massivement sur l’open source et évoluent à un rythme très rapide. Dans ce contexte, la sécurité arrive souvent trop tard. Aujourd’hui encore, plus de 60 % des organisations déploient du code contenant des vulnérabilités connues, non pas par négligence, mais par manque de compétences AppSec réellement intégrées dans les équipes de développement. Former les développeurs est donc essentiel : ce sont eux qui écrivent le code, et c’est dès cette étape que la sécurité doit devenir un réflexe, au même titre que la qualité ou la performance. 

Vous accompagnez des entreprises sur ces sujets, mais vous enseignez aussi dans des écoles d’ingénieurs. Qu’est-ce qui vous a poussé à faire ce lien entre pédagogie et SecDevOps ?

En accompagnant des équipes SecDevOps en entreprise, je me suis rendu compte que beaucoup de difficultés auraient pu être évitées avec une meilleure sensibilisation en amont. Arriver sur le marché du travail sans avoir jamais réellement pratiqué la sécurité applicative crée un décalage fort. Enseigner me permet de transmettre une vision très concrète du terrain : montrer aux étudiants que la sécurité n’est pas une couche abstraite ou une contrainte supplémentaire, mais une compétence essentielle du développeur moderne. 

Concrètement, comment intégrez-vous la sécurité applicative dans vos cours ?

J’ai fait le choix d’une approche très pratique. Avec Snyk Learn, qui représente environ un tiers du volume pédagogique, les étudiants travaillent sur du code réel. Ils identifient des vulnérabilités, comprennent les risques techniques et métiers associés, puis apprennent à les corriger, langage par langage. L’objectif est de sortir d’une approche théorique parfois anxiogène de la cybersécurité pour proposer une progression graduelle, orientée action et compréhension.

Qu’apporte Snyk Learn par rapport aux approches de formation plus classiques ?

La sécurité est souvent perçue comme une tour d’ivoire faite de normes et de contraintes. Snyk Learn permet de la démystifier. La plateforme est pensée par et pour les développeurs : modules courts, pédagogie interactive, exemples concrets, et connexion directe à l’environnement de développement. Les étudiants comprennent que, bien outillée et bien expliquée, la sécurité devient un réflexe naturel du développeur, et non un frein à l’innovation.

Les pratiques de développement évoluent très vite, notamment avec l’IA. Quels enjeux cela pose-t-il en matière de sécurité et de formation ?

L’IA accélère encore la production de code, ce qui est une opportunité formidable… mais aussi un risque si la sécurité ne suit pas. Générer du code plus vite ne doit pas signifier générer plus de vulnérabilités. Cela renforce la nécessité de former très tôt les développeurs à reconnaître les failles, à comprendre ce qu’ils déploient et à garder un esprit critique sur le code, qu’il soit écrit par un humain ou suggéré par une IA. Là encore, la formation pratique est la clé pour accompagner durablement ces transformations.