Sécurité des applications web


3 j (21 heures)
Tarif : 2550€HT
À DISTANCE PRESENTIEL
Ref : SECW

Descriptif de la formation

Action Collective ATLAS N°27994
AELION a été retenue par ATLAS dans le cadre de l'action collective "Développer avec les langages .NET JAVA et C++". Si vous êtes salarié d'une ESN/SSII cotisant à ATLAS, vous pouvez bénéficier d'une prise en charge à 100% du coût de cette formation dans la limite des fonds disponibles.

Les applications web sont devenues omniprésentes dans notre environnement. Si elles offrent l’avantage d’être accessibles à l’aide d’un simple navigateur partout et par tous, elles sont particulièrement exposées aux personnes malveillantes. Les effets d’attaques peuvent être catastrophiques pour les sociétés attaquées. La sécurité des applications devient donc un enjeu stratégique dans la conception de nouvelles applications. Cette formation permettra aux développeurs d’intégrer cette dimension dans le cadre de leurs projets à tous les niveaux.

Les objectifs

- Penser la sécurité de ses applications dès le démarrage du projet / conception
- Appréhender les méthodes d’attaques ciblant les applications web
- Comprendre les bonnes pratiques permettant de limiter la portée des attaques
- Mettre en place des stratégies de détection et d’éviction des attaques
- Mettre en place une stratégie de veille

Les prochaines sessions

05/04/2021 Lille
05/04/2021 Montpellier
05/04/2021 Sophia
05/04/2021 Bordeaux
05/04/2021 Rennes
05/04/2021 Lyon
05/04/2021 Tours
05/04/2021 Nantes
05/04/2021 Paris
05/04/2021 Strasbourg
05/04/2021 Aix
07/04/2021 Toulouse
24/05/2021 Montpellier
24/05/2021 Tours
24/05/2021 Nantes
24/05/2021 Paris
24/05/2021 Strasbourg
24/05/2021 Aix
24/05/2021 Lille
24/05/2021 Sophia
24/05/2021 Bordeaux
24/05/2021 Rennes
24/05/2021 Lyon
28/06/2021 Toulouse
26/07/2021 Aix
26/07/2021 Lille
26/07/2021 Montpellier
26/07/2021 Sophia
26/07/2021 Bordeaux
26/07/2021 Rennes
26/07/2021 Lyon
26/07/2021 Tours
26/07/2021 Nantes
26/07/2021 Paris
26/07/2021 Strasbourg
06/10/2021 Toulouse
25/11/2021 Montpellier
25/11/2021 Strasbourg
25/11/2021 Aix
25/11/2021 Lille
25/11/2021 Sophia
25/11/2021 Bordeaux
25/11/2021 Rennes
25/11/2021 Lyon
25/11/2021 Tours
25/11/2021 Nantes
25/11/2021 Paris
08/12/2021 Toulouse

En quelques mots...

Public

Développeurs, analystes programmeurs, chefs de projets

Pré-requis

Les outils de conception d’interfaces graphiques Java : Web / Saas ou Conception d’interfaces web

Moyens pédagogiques

Formation réalisée en présentiel ou à distance selon la formule retenue
Alternance d’exposés et de cas pratiques, synthèse
Un poste informatique par stagiaire connecté à internet, à une imprimante en réseau et au réseau informatique
Les salles sont équipées d’un tableau interactif ou d’un vidéoprojecteur et d’un paperboard
Support de cours fourni à chaque stagiaire

Modalités de suivi et d'évaluations

Feuille de présence émargée par demi-journée par les stagiaires et le formateur
Exercices de mise en pratique ou quiz de connaissances tout au long de la formation permettant de mesurer la progression des stagiaires
Questionnaire d’évaluation de la satisfaction en fin de stage
Auto-évaluation des acquis de la formation par les stagiaires
Attestation de fin de formation

Programme détaillé

Introduction à la sécurité des applications web

  • Introduction à la sécurité des applications web
  • Positionnement de la sécurité dans le processus de développement
  • Authentification, Identification, Habilitation
  • Sécurité du point de vue du client
  • Sécurité du point de vue du serveur
  • Sécurité des supports (HTTPS, SSL, analyseur logiciel)
  • Sécurité des conteneurs et serveurs
  • Tests d’intrusion : pourquoi ce n’est pas suffisant

Sécurité des supports de communication

  • Sécurité des supports de communication
  • Attaque type « man in the middle »
  • Sniffing, Spoofing et packet forging
  • Utilité du SSL et du HTTPS
  • White et Black listing, monitoring pré-emptif

Déni de service

  • Déni de service
  • Principe de l’attaque DDOS
  • Risques sous-jacents et limitations
  • Stratégie de déploiement / failover / load-balancing

Exécution malicieuse

  • Exécution malicieuse
  • Objectif de l’attaquant
  • Attaque type « injection SQL »
  • Attaque type « débordement de tampon »
  • Risques sous-jacents et limitations
  • Les bonnes pratiques pour s’en prtotéger

Corruption et extorsion de données

  • Corruption et extorsion de données
  • Objectif de l’attaquant
  • Attaque type « Hijacking de session »
  • Risques sous-jacents et limitations
  • Stratégie sans session, OAuth et Oauth 2

Cryptanalyse et chiffrement

  • Cryptanalyse et chiffrement
  • Bonnes pratiques pour le stockage de données sensibles
  • Du choix du protocole de chiffrement pour les mots de passe