Académie du Numérique

Menu

SECDEV Technical

Objectifs pédagogiques

  • Analyser les enjeux de la sécurité applicative en environnement web
  • Décrypter les vulnérabilités applicatives les plus courantes
  • Déterminer la surface d’attaque d’une application web
  • Appréhender les moyens de correction, de sécurisation et de prévention
  • Intégrer la sécurité dans le cycle de vie du développement logiciel

Public ciblé

  • Développeur
  • Equipe de test
  • Tech Lead

Prérequis

  • Maîtrise de l’un des langages de programmation suivants : C++ / Java / Python / Node.js / .NET / PHP / Ruby / Go / Spring

Modalités pédagogiques

  • Formation en présentiel
  • 2 jours de formation
  • Mise à disposition des supports de cours et des quiz sur une plateforme dédiée
  • Plateforme Lab spécifique pour réaliser les exercices pratiques (accès possible pendant un mois suite à la formation)

Modalités d’évaluation

  • Quiz de compréhension  proposés aux participants permettant de vérifier la bonne compréhension des notions abordées et d’assurer une progression continue tout au long de la formation.
  • Exercices de développement sécurisé

Modalité d’inscription

Prix inter :€ HT / personne

Prochaine session :
Votre société a besoin d’une offre personnalisée? Pour organiser une session intra entreprise, veuillez nous contacter directement à l’adresse suivante : contact@academiedunumerique.net

Pour en savoir plus ou s’inscrire, rendez-vous sur notre page d’inscription.

Programme détaillé

Contexte et objectifs

  • Pourquoi la sécurité applicative ?
  • Les normes et règlementations
  • Les concepts généraux de la SSI
  • Architectures des applications web

Vulnérabilités dans les applications

  • Introduction à l’OWASP et au top 10
  • Les nouvelles vulnérabilités publiques (CVE)
  • Les systèmes de graduations (CVSS)
  • Méthode d’analyse d’une application
  • Présentation d’outils de découverte de vulnérabilités

Vulnérabilités et contre-mesures

  • Exercices de développement sécurisé (corrections et tests sur une plateforme dédiée à chaque participant)
  • Démonstrations techniques d’exploitation de vulnérabilités
  • Reconnaissance et analyse: identification des technologies utilisées, fuites d’informations techniques, énumération des utilisateurs, indexation des répertoires…
  • Gestion des accès et des sessions: contrôle d’accès côté client et serveur, rappel cryptographique, sécurité des jetons de session, auto-inscription de l’utilisateur, notification des évènements de sécurité, fermeture de la session utilisateur…
  • Gestion des entrées utilisateurs: upload de fichiers, path traversal, injection (SQL, XML et dans les entêtes HTTP), failles XSS, CSRF, absence de validation des données côté client et côté serveur…
  • Logique applicative: contournement des processus multistades, gestion des paramètres incomplets, race condition, CORS…
  • Environnement: vulnérabilités dans les dépendances, allocation des ressources, stockage local de données sensibles, clickjacking, utilisation du protocole HTTPS, variables globales, valeurs sensibles et commentaires dans le code, journalisation, traces et audit

Ressources pour sécuriser

  • Guides de bonnes pratiques de développement
  • Revue de code
  • Présentation d’outils de développement

Informations pratiques

Cette formation est accessible aux personnes en situation de handicap.
De nombreux aménagements pédagogiques sont possibles pour accueillir les candidats concernés. Pour toute question, se rapprocher de notre référent pour l’Académie du Numérique Madame Isabelle Belzanne Blanche en la contactant par e-mail : isabelle.belzanne@eviden.com
Scroll to Top