Apprenez en 3 jours à intégrer les recommandations de sécurité OWASP dans les phases de développement d’une application web
Développeurs, Développeurs intégrateurs (DevOps), Éditeurs logiciels et Chefs de Projet
À Paris Campus Cyber ou dans vos locaux
3 jours (21 heures)
Objectifs de la formation
Former les développeurs à l’intégration des bonnes pratiques de sécurité applicative pour sécuriser les applications dès leur conception.
94% de nos clients sont satisfaits*.
*Le taux de satisfaction est calculé sur un an à partir des retours clients récoltés grâce aux enquêtes qualité envoyées à l’issue de chaque session de formation.
Informations pédagogiques
Développeurs, éditeurs logiciels et chefs de projets.
- La connaissance d’au moins un langage de programmation (Java, Node.js, PHP, Python, etc.) est nécessaire.
- Des notions dans le fonctionnement des systèmes d’exploitation et en cryptographie sont un plus.
Pédagogie immersive qui allie apports théoriques, retours d’expériences et cas pratiques pour un ancrage durable des compétences.
Les cas pratiques sont fournis sur un système vulnérable fourni par SECURESPHERE.
Salle de formation équipée de postes de travail informatiques disposant de tous les logiciels nécessaires au déroulement de la formation.
- Utiliser les référentiels et outils de l’OWASP
- Décrire et spécifier les mécanismes de sécurité dans une application (authentification, contrôle d’accès, gestion de la session, mécanismes cryptographique).
- Utiliser et comprendre mécanismes cryptographiques (symétrique, asymétriques, certificats…).
- Comprendre l’approche par les risques.
- Écrire (ou faire écrire) du code résistant aux attaques du TOP 10 de l’OWASP et au-delà.
- Reconnaitre et détecter du code vulnérable dans les applications.
- Utiliser les techniques et outils des attaquants pour mieux s’en protéger.
- Tester la sécurité des applications dans les pipelines CI/CD et dans les éditeurs de code.
Consultants-Formateurs spécialistes de la sécurité informatique.
L’évaluation est réalisée tout au long de la formation, sous la forme d’exercices ou de mises en situation
Intéressé ? Faites-le nous savoir !
Vous avez déjà ces compétences et vous voulez devenir un Security Champion ? Allez plus loin en vous testant avec 50 challenges CTF !
Programme de la formation en développement sécurisé
Définition d’une vulnérabilité
- Exemples d’attaques réelles et leurs conséquences
- Identification des vulnérabilités dans les composants logiciels (CVE, EUVD)
- Évaluation de la criticité des vulnérabilités avec CVSS
Prévenir les risques et les vulnérabilités
- « Shift Left »
- Principe de l’analyse de risques et de la modélisation de menaces
Adopter les bons réflexes
- Security by design
- Principe de sécurité par défaut
- Transparence vs sécurité par l’obscurité
Protéger les données
- Concepts cryptographiques
- TLS et Certificats X509
Implémenter les mécanismes de sécurité
- Gestion des dépendances logicielles
- Authentification (OWASP A07)
- Gestion des mots de passe
- Gestion des sessions
- Téléversement (upload) de fichiers
- Autorisation / Gestion des droits (OWASP A01)
- Traçabilité des actions
- Gestion des erreurs
Vulnérabilités applicatives communes et contre-mesures
- Injections (OWASP A03, OWASP A10) :
- SQL, LDAP
- Prompts
- Commandes système
- Cross-site scripting – XSS
- Directory transversal
- Contrôle d’accès défaillants (IDOR et BOLA)
- Désérialisation
- Injections XML – XXE
- Cross-site request forgery (CSRF)
Outils et recette sécurité
- Tests manuels de sécurité
- SQL, LDAP
- Commandes système
- Arguments de commandes
- Code interprété
- Cross-site scripting – XSS
- Directory transversal
- Tests unitaires, audit statique de code
- Tests automatisés de sécurité (SAST, SCA, DAST)
- Fuzzing et tests d’intrusion applicatifs
Surveillance
- Anti DDoS
- Web Application Firewall (WAF)
- Security.txt
- Bug Bounty
- SIEM/IDS/IPS
Formation SECURE DEV PLUS : le bootcamp 50 challenges CTF
Apprenez en 3 jours à mettre en œuvre la sécurité dans les développements avec un bootcamp de 50 challenges CTF
Formation pentest (test d’intrusion) : SECURE TEST
Apprenez en 3 jours à détecter les vulnérabilités dans un système d’information en mettant en œuvre des tests d’intrusion (pentests)
Formation sécurité IoT : SECURE DEV LINUX IOT
Apprenez en 3 jours à développer des programmes sécurisés pour les objets connectés sous Linux avec une formation délivrant une Attestation de l’EPITA
Pour les personnes en situation de handicap
La formation le développement sécurisé est accessible aux personnes en situation de handicap. Nous vous invitons à préciser dans le formulaire de renseignement si vous avez besoin d’un accompagnement particulier.
En savoir plus sur l’accessibilité PSH, les modalités et les délais d’accès à nos formations.