Vous êtes ici :

Formation Sécurité des applications pour les développeurs

A distance ou en présentiel

Tous les niveaux

Cette formation dresse un panorama concret des menaces du web. Elle détaille aussi bien les types d’attaques que peut subir une application que les failles les plus courantes des configurations serveurs ou des applications déployées.

Le cours se concentre également sur les technologies et méthodologies permettant de se protéger, ainsi que sur les outils permettant de contrôler la sécurité des applications.
La formation s’attache enfin à vous communiquer les « bonnes pratiques » liées au développement sécurisé d’applications.

À qui s'adresse cette formation ?

Ce cours Sécurité développement web s’adresse principalement aux développeurs et administrateurs réseaux/systèmes chargés d’implémenter et de superviser la sécurité au sein d’une application web. Les participants souhaitent acquérir une compréhension globale des différentes menaces (code, serveur, protocole) pouvant affecter leurs applications afin d’ajuster leurs développements en conséquence, effectuer une veille stratégique et réaliser des audits et tests d’intrusion.

Les participants à cette formation Sécurité développement web connaissent nécessairement un langage de programmation (Java, C#, C++) et possèdent une culture Web solide (HTML, formulaire, serveur web, base de données). Sensibilisé aux enjeux majeurs de sécurité web, le public visé dispose d’un bagage technique suffisamment solide pour identifier les failles potentielles au niveau du code, de la configuration des serveurs ou pour savoir déchiffrer un rapport d’audit.

Les objectifs de la formation

Objectif opérationnel :

Connaître les principales menaces de sécurité pesant sur les applications et savoir mettre en œuvre les bonnes pratiques de développement pour les éviter.

Objectifs pédagogiques :

Concrètement, à l’issue de cette formation Sécurité développement web, vous saurez :

  • Connaître les différents types de menaces et vulnérabilités affectant les applications web
  • Connaître les technologies liées à la sécurité des applications (chiffrement, protocoles, certificats…)
  • Savoir mettre en place une authentification sécurisée des utilisateurs
  • Savoir mettre en place la sécurisation des flux avec SSL/TLS
  • Être capable de contrôler la sécurité des applications avec des tests d’intrusion
  • Savoir implémenter la sécurité au sein d’une application mobile

Contenu de la formation

  • Présentation des menaces, vulnérabilités des applications Web

    • Présentation des différents efforts de standardisation de la terminologie liée à la sécurité
    • Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP
    • Failles applicatives : injection, protection d’URL, faille de référence, stockage non sécurisé
    • Attaques côté client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing…
    • Failles de configuration : attaques sur les configurations standard
    • Attaques de type DDOS
    • Les dangers spécifiques du Web 2.0
  • Technologies liées à la sécurité

    • Firewalls, panorama des outils, techniques de base réseaux
    • Filtres des requêtes HTTP
    • Empreinte de message, les algorithmes SHA-x et MD5
    • Signature numérique, Clé publique/ clé privée, Coffre à clé et coffre de confiance, Autorités de certification
    • Chiffrement de données, les algorithmes AES et RSA
    • Protocoles SSL v2/v3 et TLS, PKI, certificats X509,
    • Techniques d’authentification HTTP, authentification par certificat
  • Sécuriser les applications Web

    • Protections basiques : Re-post des données, Time-out et déconnexion, Masquer les URL, Validation des données
    • Usurpation d’identité : Cookies et certificats numériques, Session ID et jeton de transaction, Détournement
    • Se protéger des attaques client : XSS ou Cross Site Scripting, Utilisation des références directes, CSRF ou Cross Site Request Forgery, Sécurité d’accès au SGBD, SQL Injection, Utilisation du JavaScript, Échappement des tags HTML
    • Protections contre les attaques de force brute, Liste de contrôle d’accès
  • Sécuriser les services Web

    • Principes de fonctionnement : SOAP, REST, gRPC
    • Principes de sécurisation : authentification, autorisation, confidentialité et intégrité
    • Mise en place de la sécurisation : OAUTH, SAML, Token, Web Services Security (WS-Security, WSS), …
  • Contrôler la sécurité des applications Web

    • Test d’intrusion, audit de sécurité, scanners de vulnérabilités
    • Organiser une veille technologique efficace
    • Déclaration des incidents de sécurité

Formation

A distance ou en présentiel

Référence :

SSAW

Durée :

3 jours

Ce cours est réalisable en intra-entreprise, en extra-entreprise , dans nos salles ou à distance.

Contacter notre service Intra