SECURE DEV : FORMATION SÉCURITÉ POUR LES DÉVELOPPEURS

Les bonnes pratiques de la programmation sécurisée

La sécurité, des bonnes pratiques à mettre en œuvre dès la conception des développements.
Formation de trois jours dispensée par un expert en sécurité informatique.

Objectifs

  • Transmettre les bonnes pratiques pour intégrer la sécurité informatique dans la conception, le développement et la mise en production (Web ou système)
  • Connaître des outils utilisables pour tester la présence de vulnérabilités dans ses propres applications

Destinataires

  • Développeurs, Développeurs intégrateurs (DevOps) et Chefs de projets.

Prérequis

  • La connaissance d'au moins un langage de programmation est nécessaire.
  • Des notions dans le fonctionnement des systèmes d'exploitation et en cryptographie sont un plus.

Prérequis matériels

Les stagiaires devront être munis d'un ordinateur portable, sans contrainte sur le système d'exploitation (Windows, Linux ou Mac OS X), sur lequel ils doivent pouvoir installer des logiciels. La liste des logiciels à installer et leur configuration seront fournis au préalable par SecureSphere.

Compétences acquises

  • Conception sécurisée d'applications
  • Implémentation des fonctions de sécurité 
  • Développement logiciel sans vulnérabilité
  • Réalisation de tests de robustesse dans les logiciels développés
  • Déploiement et intégration sécurisé d'applications Intégration de la sécurité dans les projets

Méthode pédagogique

Acquisition des compétences de manière interactive en s'appuyant sur des exemples réels et sur des ateliers de réflexion. Apports théoriques et mise en œuvre pratique grâce à un système vulnérable fourni par SecureSphere (sans danger pour le système des stagiaires).

Formateurs

  • Consultant-Formateur spécialiste de la sécurité informatique.

Évaluation

  • Évaluation du stage et délivrance d’un certificat de fin stage.

Durée : 3 jours – 21 heures

Prix : 2 100 € HT par stagiaire

Plan de stage

Introduction

Concepts génériques liés aux vulnérabilités logicielles

  • Exemples réels et conséquences
  • Identification des vulnérabilités
  • Criticité des vulnérabilités et communication par les éditeurs logiciels

Gestion de projets

  • Principe de l'analyse de risques
  • Intégration de la sécurité dans les projets

CONCEPTION

Spécifications fonctionnelles

  • Principe de sécurité par défaut
  • Transparence vs sécurité par l'obscurité
  • Protection des données sensibles et concepts cryptographiques
  • Traçabilité
  • Fonctionnalités dangereuses
  • Gestion des mises à jour

Spécifications fonctionnelles

  • Principe de sécurité par défaut
  • Transparence vs sécurité par l'obscurité
  • Protection des données sensibles et concepts cryptographiques
  • Traçabilité
  • Fonctionnalités dangereuses
  • Gestion des mises à jour

Spécifications techniques

Implémentation des fonctions de sécurité

  • Architectures logicielles
  • Authentification
  • Gestion des mots de passe
  • Gestion des sessions
  • Autorisation / Gestion des droits
  • Cryptographie appliquée
  • Gestion des erreurs

PROGRAMMATION (in) SÉCURISÉE

Vulnérabilités et contre-mesures

Problèmes courants sur les applications Web

  • Injections SQL, HQL et LDAP
  • Injections XML (XXE)
  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Injection de commandes système
  • Injection d'arguments
  • Injection de code interprété
  • Directory transversal

Problèmes spécifiques aux langages C et C++

  • Buffer overflow
  • String format bug
  • Integer overflow
  • Gestion des pointeurs et use-after-free

Problèmes liés aux systèmes

  • Race conditions
  • Shatter attacks

Outils et recette sécurité

  • Protections offertes par les systèmes d'exploitation
  • Options de compilation et configuration des interpréteurs
  • Tests manuels de sécurité 
  • Tests unitaires, audit statique de code
  • Configuration de l'environnement
  • Tests automatisés de sécurité 
  • Fuzzing et tests d'intrusion applicatifs

FINALISATION

Finalisation et packetage

Installation et intégration

  • Problèmes courants de configuration
  • Interférences entre logiciels
Je suis intéressé-e par cette formation

Si vous désirez nous contacter au sujet de cette formation, merci de remplir le formulaire ci-dessous :

Chargement du formulaire...
Si rien ne s'affiche, cliquez-ici.

Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent (lire les mentions légales du site).