Description
Cette formation vise à sensibiliser les professionnels du développement et de la sécurité informatique aux enjeux de la sécurité des applications web. Elle couvre les problématiques de sécurité tout au long du cycle de développement, en abordant des thèmes tels que l'authentification, les menaces courantes, et les bonnes pratiques pour sécuriser les communications. Les participants apprendront également à utiliser des outils de sécurité, à effectuer des audits et à mettre en place des stratégies de veille pour anticiper les risques. Ce programme s'adresse principalement aux développeurs, ingénieurs en sécurité, et
Objectifs
- Identifier les problématiques de sécurité des applicationsDéfinir les principales menaces et vulnérabilitéIdentifier les bonnes pratiques permettant de limiter les attaques ou la portée des attaquesAppréhender les technologies de protection et de contrôle de la sécurité des applicationsMettre en place une stratégie de veille
Récapitulatif
Public
Architectes, développeurs, analystes, chefs de projets…
Prérequis
Niveau : Posséder une bonne connaissance de la programmation objet et de la programmation d'application Web
Techniques (formations en classe virtuelle) : Vous devez disposer d'un ordinateur connecté à internet, d'un micro et d'une caméra
Méthodes et modalités pédagogiques
Formation réalisée en Présentiel, Distanciel ou Dual-Learning selon la formule retenue.
Moyens et supports pédagogiques
Mise à disposition d'un poste de travail sur nos formations en Présentiel.
Mise à disposition de nos environnements de visio sur nos formations en Distanciel
Remise d'une documentation pédagogique numérique pendant la formation
La formation est constituée d'apports théoriques, d'exercices pratiques et de réflexions
Dans le cas d'une formation sur site Entreprise, le client s'engage à avoir toutes les ressources pédagogiques nécessaires (salle, équipements, accès internet, TV ou Paperboard...) au bon déroulement de l'action de formation conformément aux prérequis indiqués dans le programme de formation
Modalités de suivi et d'évaluations
Auto-positionnement des stagiaires avant la formation
Émargement des stagiaires et formateur par 1/2 journée
Exercices de mise en pratique ou quiz de connaissances tout au long de la formation permettant de mesurer la progression des stagiaires
Auto-évaluation des acquis de la formation par les stagiaires
Questionnaire de satisfaction à chaud et à froid à l'issue de la formation
Programme détaillé
Identifier les problématiques de sécurité des applications
- Introduction à la sécurité des applications WEB
- Positionnement de la sécurité dans le processus de développement
- Authentification, identification, habilitation
- Sécurité du point de vue du client
- Sécurité du point de vue du serveur
- Sécurité des supports (https, ssl, analyseur logiciel)
- Sécurité des conteneurs et serveurs
- Tests d'intrusion : pourquoi ce n'est pas suffisant
Connaître les principales menaces et vulnérabilités
- Classification des attaques selon les référentiels STRIDE et OWASP
- Les principales attaques et leur portée :
- - Sécurité des supports de communication
- - Attaque type « man in the middle »
- - Sniffing, Spoofing et packet forging
- - Utilité du SSL et du HTTPS
- - White et Black listing, monitoring pré-emptif
- Déni de service
- - Principe de l'attaque DDOS
- - Risques sous-jacents et limitations
- - Stratégie de déploiement / failover / load-balancing
- Exécution malicieuse
- - Objectif de l'attaquant
- - Attaque type « injection SQL »
- - Attaque type « débordement de tampon »
- - Risques sous-jacents et limitations
- - Les bonnes pratiques pour s'en protéger
- Corruption et extorsion de données
- - Objectif de l'attaquant
- - Attaque type « Hijacking de session »
- - Risques sous-jacents et limitations
- - Stratégie sans session, OAuth et Oauth 2
Identifier les bonnes pratiques permettant de limiter les attaques ou la portée des attaques (1/2)
- Sécuriser les communications
- Assurances et certificats
- Certificat HTTPS avec Let's encrypt
- Pare-feu serveur
- Pare-feu “proxy” : solutions de Web Application Firewall (WAF)
Identifier les bonnes pratiques permettant de limiter les attaques ou la portée des attaques (2/2)
- Cryptanalyse et chiffrement
- Bonnes pratiques pour le stockage de données sensibles
- Du choix du protocole de chiffrement pour les mots de passe
Appréhender les méthodologies et technologies de protection et de contrôle de la sécurité des applications
- Introduction à la démarche DEVSECOPS
- Outils de sécurité et d'audit
- Outils de développement et de test liés à la sécurité
- Outils pour mener les tests de sécurité
- Audit de code et des dépendances
Mettre en place une stratégie de veille
- Identification des risques
- Définition des priorités et planification des actions
- Outils et canaux de veille