Développez, programmez, déployez et administrez de manière cyber sécurisée
Développeurs, Développeurs intégrateurs (DevOps), Développeurs intégrateurs et sécurité (DevSecOps),
Éditeurs logiciels et Chefs de projets.
À Paris Campus Cyber ou dans vos locaux
4 jours (28 heures)
Objectifs de la formation
Former aux bonnes pratiques du développement sécurisé dans un contexte agile/DevOps.
Avec notre formation en DevSecOps de 4 jours axée sur la pratique, maîtrisez de nouvelles compétences de développeur pour créer des applications « secure by design » et les déployer en milieu agile/DevSecOps.
Informations pédagogiques
Développeurs, Développeurs intégrateurs (DevOps), Développeurs intégrateurs et sécurité (DevSecOps),
Éditeurs logiciels et Chefs de projets.
- La connaissance d’au moins un langage de programmation (Java, Node.js, PHP, Python, etc.) est nécessaire.
- Des notions dans le fonctionnement des systèmes d’exploitation et en cryptographie sont un plus.
Pédagogie immersive qui allie apports théoriques, retours d’expériences et cas pratiques pour un ancrage durable des compétences.
Les cas pratiques sont fournis sur un système vulnérable fourni par SECURESPHERE.
Salle de formation équipée de postes de travail informatiques disposant de tous les logiciels nécessaires au déroulement de la formation.
- Comprendre et adopter l’approche DevSecOps
- Utiliser les référentiels et outils de l’OWASP
- Décrire et spécifier les mécanismes de sécurité dans une application (authentification, contrôle d’accès, gestion de la session, mécanismes cryptographique).
- Utiliser et comprendre mécanismes cryptographiques (symétrique, asymétriques, certificats…).
- Comprendre l’approche par les risques.
- Écrire (ou faire écrire) du code résistant aux attaques du TOP 10 de l’OWASP et au-delà.
- Reconnaitre et détecter du code vulnérable dans les applications.
- Utiliser les techniques et outils des attaquants pour mieux s’en protéger.
- Tester la sécurité des applications dans les pipelines CI/CD et dans les éditeurs de code.
- Déployer et opérer une application de manière sécurisée.
Consultants-Formateurs spécialistes de la sécurité informatique.
L’évaluation est réalisée tout au long de la formation, sous la forme d’exercices ou de mises en situation
Intéressé ? Faites-le nous savoir !
Vous avez déjà ces compétences et vous voulez devenir un Security Champion ? Allez plus loin en vous testant avec 50 challenges CTF !
Programme de la formation DevSecOps
Définition d’une vulnérabilité
- Exemples d’attaques réelles et leurs conséquences
- Identification des vulnérabilités dans les composants logiciels (CVE, EUVD)
- Évaluation de la criticité des vulnérabilités avec CVSS
Prévenir les risques et les vulnérabilités
- « Shift Left »
- Principe de l’analyse de risques et de la modélisation de menaces
Adopter les bons réflexes
- Security by design
- Principe de sécurité par défaut
- Transparence vs sécurité par l’obscurité
Protéger les données
- Concepts cryptographiques
- TLS et Certificats X509
Implémenter les mécanismes de sécurité
- Gestion des dépendances logicielles
- Authentification (OWASP A07)
- Gestion des mots de passe
- Gestion des sessions
- Téléversement (upload) de fichiers
- Autorisation / Gestion des droits (OWASP A01)
- Traçabilité des actions
- Gestion des erreurs
Vulnérabilités applicatives communes et contre-mesures
- Injections (OWASP A03, OWASP A10) :
- SQL, LDAP
- Prompts
- Commandes système
- Cross-site scripting – XSS
- Directory transversal
- Contrôle d’accès défaillants (IDOR et BOLA)
- Désérialisation
- Injections XML – XXE
- Cross-site request forgery (CSRF)
Outils et recette sécurité
- Tests manuels de sécurité
- SQL, LDAP
- Commandes système
- Arguments de commandes
- Code interprété
- Cross-site scripting – XSS
- Directory transversal
- Tests unitaires, audit statique de code
- Tests automatisés de sécurité (SAST, SCA, DAST)
- Fuzzing et tests d’intrusion applicatifs
Surveillance
- Anti DDoS
- Web Application Firewall (WAF)
- Security.txt
- Bug Bounty
- SIEM/IDS/IPS
Automatisation du déploiement
- Packaging et mise à disposition d’applications
- Infrastructure As Code (exemple Ansible)
- Conteneurisation d’application sous Linux
- Gestion des secrets et bonnes pratiques liées à Docker
- Orchestration de conteneurs
- Bonnes pratiques liées à Kubernetes
- Protection de chaîne d’automatisation (CI)
Protections réseau
- Filtrage réseau et NIDS
- Relais et Web Application Firewall (WAF)
Protections système
- Durcissement des configurations
- Protections intégrées aux systèmes d’exploitation
- Administration sécurisée
Formation sécurité des systèmes et des réseaux : SECURE NET
Apprenez à sécuriser systèmes et réseaux en 3 jours avec une formation délivrant une Attestation de l’EPITA
Formation à l’intégration de la sécurité dans les projets : SECURE PROJECT
Apprenez en 3 jours à sécuriser vos projets informatiques avec une formation délivrant une Attestation de l’EPITA
Formation SECURE DEV PLUS : le bootcamp 50 challenges CTF
Apprenez en 3 jours à mettre en œuvre la sécurité dans les développements avec un bootcamp de 50 challenges CTF
Pour les personnes en situation de handicap
La formation le DevSecOps pour un développement sécurisé en Agile est accessible aux personnes en situation de handicap. Nous vous invitons à préciser dans le formulaire de renseignement si vous avez besoin d’un accompagnement particulier.
En savoir plus sur l’accessibilité PSH, les modalités et les délais d’accès à nos formations.