Apprenez le DevSecOps en 4 jours. Développez, programmez, déployez et administrez de manière cyber-sécurisée en contexte agile/DevOps

PROFIL IDÉAL
Développeurs, Développeurs intégrateurs (DevOps), Développeurs intégrateurs et sécurité (DevSecOps), Éditeurs logiciels et Chefs de projets
LIEU
À Paris Campus Cyber, dans vos locaux ou en ligne
DURÉE
4 jours (28 heures)
Sessions inter-entreprises
Sessions intra-entreprises
Sessions inter-entreprises
Tarif :
3 000€​ HT par personne
PROCHAINES SESSIONS :
Contactez-nous 👉
Sessions intra-entreprises
Tarif :
15 400€ HT
(pour 10 personnes maximum)
PROCHAINES SESSIONS :
À convenir ensemble

CERTIFICATION : Attestation d’Acquisition des Compétences de l’EPITA

Avec notre formation en DevSecOps de 4 jours axée sur la pratique, maîtrisez de nouvelles compétences de développeur pour créer des applications « secure by design » et les déployer en milieu agile/DevSecOps.

Vous apprenez ainsi à :

  • Intégrer les bonnes pratiques de sécurité numérique dès la conception de vos programmes jusqu’à leur déploiement
  • Prévenir les vulnérabilités web les plus courantes (CVE, Common Vulnerabilities and Exposure) selon le top 10 de l’OWASP
  • Tester la robustesse de vos applications
  • Assurer un déploiement sécurisé des applications

Cette formation en DevSecOps a été élaborée grâce à 40 ans d’expertise en cybersécurité de l’EPITA.

La formation est dispensée par des experts en cybersécurité et enseignants-chercheurs des plus grandes institutions du domaine.

L’objectif général de cette formation est de former aux bonnes pratiques du développement sécurisé dans un contexte agile/DevOps.

Cette formation vous intéresse ? Remplissez ce court formulaire
Fill out my online form.
Quelles compétences après la formation ?
  • Sécuriser la conception des applications web afin d’éviter des intrusions et limiter des failles dans les systèmes d’information en intégrant la sécurité dans les spécifications fonctionnelles et en implémentant les fonctions de sécurité dans les spécifications techniques.
  • Développer des logiciels et des applications capables d’écarter les intrusions dans les systèmes d’information en caractérisant les vulnérabilités.
  • Écarter les intrusions dans les systèmes d’information en développant des logiciels et des applications qui incluent les contre-mesures existantes dans les mécanismes intégrés aux noyaux spécifiques du développement web.
  • Tester le logiciel ou l’application pour éviter des intrusions et limiter des failles dans les systèmes d’information en mettant en œuvre des tests de robustesse sur les éléments développés.
  • Sécuriser le déploiement des applications pour éviter des intrusions et limiter des failles dans les systèmes d’information en vérifiant leur intégration dans l’environnement existant.
  • Augmenter la sécurité des systèmes de production et les administrer de manière sécurisée.
Quels sont les prérequis ?

La connaissance d’au moins un langage de programmation Web (Java, Node.js, PHP, Python, etc.) est nécessaire.

Des notions dans le fonctionnement des systèmes d’exploitation et en cryptographie sont un plus.

Quel matériel devez-vous avoir ?

SECURESPHERE met à la disposition des stagiaires un ordinateur portable pour la formation.

En cas d’indisponibilité de notre matériel, il vous sera demandé de fournir vous-même un ordinateur portable sans contrainte sur le système d’exploitation (Windows, Linux ou Mac OS X) sur lequel vous devrez pouvoir exécuter une machine virtuelle (fichier OVA) sans danger pour votre système.

Comment apprend-t-on ?

Acquisition des compétences de manière immersive en s’appuyant sur des exemples réels et sur des ateliers de réflexion.

Apports théoriques et mise en œuvre pratique grâce à un système vulnérable fourni par SECURESPHERE (sans danger pour votre système).

Comment est-on évalué ?

La validation des compétences sera réalisée sous la forme de cas pratiques et de mises en situation.

Une AACE, Attestation d’Acquisition des Compétences de l’EPITA, vous est délivrée si vous validez l’ensemble des compétences visées par le stage.

La formation d’expert en cybersécurité est accessible aux personnes en situation de handicap. Nous vous invitons à préciser dans le formulaire de renseignement si vous avez besoin d’un accompagnement particulier.

En savoir plus sur l’accessibilité PSH, les modalités et les délais d’accès à nos formations.

INTRODUCTION

PARTIE 1 – Concepts génériques liés aux vulnérabilités web

  • Exemples réels et conséquences
  • Identification des vulnérabilités (CVE)
  • Criticité des vulnérabilités (CVSS) et politique de communication par les éditeurs logiciels

PARTIE 2 – Gestion de projets

  • Principe de l’analyse de risques (OWASP A04)
  • Intégration de la sécurité dans les projets (OWASP A04)
CONCEPTION ET ÉLÉMENTS CLÉ DE SÉCURISATION
  • Principe de sécurité par défaut (OWASP A04)
  • Transparence vs sécurité par l’obscurité
  • Protection des données sensibles et concepts cryptographiques (OWASP A02)
  • Traçabilité (OWASP A09)
  • Fonctionnalités dangereuses
  • Gestion des mises à jour (OWASP A06)

PARTIE 2 – Spécifications techniques et implémentation des fonctions de sécurité

  • Authentification (OWASP A07)
  • Gestion des mots de passe
  • Gestion des sessions
  • Autorisation / Gestion des droits (OWASP A01)
  • Cryptographie appliquée (OWASP A02)
  • Gestion des erreurs
PROGRAMME (IN)SÉCURISÉE

Vulnérabilités (dont OWASP top 10) liées au développement et contre-mesures

  • Injections (OWASP A03, OWASP A10) :
    • SQL, LDAP
    • Commandes système
    • Arguments de commandes
    • Code interprété
    • Cross-site scripting – XSS
    • Directory transversal
  • Injections XML – XXE (OWASP A05)
  • ReDoS
  • Désérialisation (OWASP A08)
  • Cross-site request forgery (CSRF)
OUTILS ET RECETTE SÉCURITÉ

Vérification de la sécurité

  • Tests manuels de sécurité
  • Tests unitaires, audit statique de code
  • Tests automatisés de sécurité
  • Fuzzing et tests d’intrusion applicatifs
DÉPLOIEMENT SÉCURISÉ

PARTIE 1 – Automatisation du déploiement

  • Packaging et mise à disposition d’applications
  • Infrastructure As Code (exemple Ansible)
  • Conteneurisation d’application sous Linux
  • Gestion des secrets et bonnes pratiques liées à Docker
  • Orchestration de conteneurs
  • Bonnes pratiques liées à Kubernetes
  • Protection de chaîne d’automatisation (CI)
  • Filtrage réseau et NIDS
  • Relais et Web Application Firewall (WAF)
  • Durcissement des configurations
  • Protections intégrées aux systèmes d’exploitation
  • Administration sécurisée

Envie de vous inscrire ? Des questions ?

Ces formations pourraient aussi vous intéresser :
Icône avec un cadenas et un bouclier avec une coche représentant la cybersécurité
Formation courte

SECURE DEV PLUS : 50 CHALLENGES CTF

Apprenez en 3 jours à mettre en œuvre la sécurité dans les développements avec un bootcamp de 50 challenges CTF

Public: Informaticiens
Durée: 3 jours
Icône avec un cadenas et un bouclier avec une coche représentant la cybersécurité
Formation courte

SECURE PROJECT : INTEGRER LA SÉCURITÉ DANS LES PROJETS INFORMATIQUES

Apprenez en 3 jours à sécuriser vos projets informatiques avec une formation délivrant une Attestation de l’EPITA

Public: Informaticiens, Managers
Durée: 3 jours
Icône avec un cadenas et un bouclier avec une coche représentant la cybersécurité
Formation courte

SECURE NET : SÉCURITÉ DES RÉSEAUX ET DES INFRASTRUCTURES

Apprenez à sécuriser systèmes et réseaux en 3 jours avec une formation délivrant une Attestation de l’EPITA

Public: Informaticiens
Durée: 3 jours
Retour en haut de page