“La sécurité, c’est chiant.” “C’est un bloqueur.”
Combien de fois ai-je entendu ces phrases ? Trop souvent. Pourtant, dans une chaîne DevSecOps moderne, la sécurité ne doit pas être une barrière, mais une culture partagée. Et pour construire cette culture, rien ne vaut l’engagement.
C’est là qu’intervient la Gamification.
J’utilise régulièrement deux “jeux sérieux” qui ont radicalement changé la façon dont j’aborde le Threat Modeling avec les équipes de développement : Elevation of Privilege (EoP) de Microsoft et OWASP Cornucopia.
Pourquoi jouer ? Parce que cela brise la glace, démystifie le jargon de la sécurité, et surtout, cela permet de trouver des vulnérabilités avant qu’une seule ligne de code ne soit committée. C’est l’essence même du Shift Left.
1. Microsoft Elevation of Privilege (EoP)
Créé par Adam Shostack chez Microsoft, c’est le grand-père des jeux de cartes de sécurité.
Le Principe
Il est basé sur la méthodologie STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege). Le paquet contient des cartes pour chaque catégorie.
- Exemple : Une carte “Tampering” (falsification) pourrait dire : “Un attaquant peut modifier des données dans un fichier ou une base de données sans être détecté.”
Quand l’utiliser ?
Je le trouve particulièrement efficace lors des phases de conception d’architecture. Quand on a un diagramme d’architecture (Data Flow Diagram) devant soi, on distribue les cartes. Chaque joueur doit lier sa carte à un composant du diagramme.
“J’ai le 3 de Tampering… Si un attaquant modifie le fichier de config local, est-ce que l’application plante ?” -> Et hop, une menace identifiée.
👉 Le Lien : GitHub - Elevation of Privilege
2. OWASP Cornucopia
Cornucopia est l’alternative orientée Web et Agile, maintenue par l’OWASP. Il est dérivé d’EoP mais structuré autour du standard OWASP ASVS (Application Security Verification Standard).
Le Principe
Au lieu de STRIDE, on a des familles comme Data Validation, Authentication, Authorization, etc.
L’Atout DevSecOps
Cornucopia brille dans les rétrospectives de sprint ou les sessions de raffinage de backlog. Imaginons une User Story : “En tant qu’utilisateur, je veux uploader ma photo de profil.” Un développeur tire une carte : “Data Validation : Les types de fichiers sont-ils vérifiés ?” Immédiatement, l’équipe ajoute un critère d’acceptation de sécurité à la story. On vient de faire de la sécurité by design, en jouant.
👉 Le Lien : OWASP Cornucopia
Pourquoi c’est un atout réel pour le DevSecOps ?
Au-delà du côté ludique, ces jeux apportent une valeur tangible :
- Autonomie des Équipes : Ils donnent un vocabulaire et une méthode aux développeurs. Ils n’ont plus besoin d’attendre l’expert sécu pour se poser les bonnes questions.
- Security Champions : C’est l’outil parfait pour vos Security Champions. Animer une partie de cartes est bien plus facile que de faire un audit formel.
- Découverte de Bugs Logiques : Les scanners (SAST/DAST) sont bons pour trouver des injections SQL, mais mauvais pour comprendre la logique métier. Un humain avec une carte “Authorization” trouvera ce fameux bug où “un utilisateur peut voir les factures de son voisin en changeant l’ID dans l’URL”.
Comment jouer ? (Même à distance)
Si vous ne pouvez pas imprimer les cartes, l’OWASP a développé Copi, une plateforme unifiée pour jouer à EoP et Cornucopia en ligne. C’est gratuit, open-source, et ça marche parfaitement pour des équipes distribuées.
👉 Jouer en ligne sur Copi : copi.owasp.org
Conclusion
Si vous cherchez à “passer le mur” qui sépare souvent Devs et Secs, sortez un jeu de cartes. Vous serez surpris de voir à quel point les développeurs sont créatifs pour casser leur propre système quand on leur en donne la permission ludique.
Envie de jouer ?
Si vous organisez une conférence ou un meetup, je serais ravi de venir animer une session de découverte de ces jeux (EoP ou Cornucopia). C’est un format interactif que j’affectionne particulièrement et qui change des présentations classiques. N’hésitez pas à me contacter pour qu’on organise ça !
