Développement - Sécurité des applications
Formation créée le 24/11/2021. Dernière mise à jour le 16/09/2022.
Version du programme : 1
Programme de la formation
Objectif de formation : A l’issue de la formation, le stagiaire sera capable de mettre en oeuvre les règles et bonnes pratiques liées au développement sécurisé d’applications.
Objectifs de la formation
- Comprendre les problématiques de sécurité des applications
- Connaitre les principales menaces et vulnérabilité
- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications
- Mettre en place une stratégie de veille
Profil des bénéficiaires
Pour qui
- Architectes
- Développeurs
- Analystes
- Chefs de projets
Prérequis
- Posséder une bonne connaissance de la programmation objet et de la programmation d'application Web
Contenu de la formation
-
Sécurité du framework & du code
- Principe fondamentaux
- Accès du code et des ressources
- Rôles et sécurité
- W^X
- Le chiffrement
- Validation et contrôle des entrées / sorties
- Gestion et masquage d'erreurs
- Sécurisation de la gestion de la mémoire
- Authenticité et intégrité d'une application
- Offuscation du code
- Droits et contrôles avant exécution du code
- Données sensible dans un binaire
- Reverse engineering
- Stack/Buffer/Heap overflow
-
Introduction à la cryptographie
- Notions et définition
- Présentation des types de chiffrement
- Symétrique // Asymétrique
- Combinaisons Symétrique & Asymétrique
- Hachage et sels
- Signatures numériques : processus de signature et de vérification
-
Chiffrement, Hash et Signature des données
- Les acteurs du marchés : les CSP
- Système, sécurité et cryptographie
- Les algorithmes de chiffrement
- Chiffrement symétrique
- Algorithmes asymétriques
- RSA, DSA, GPG
- Algorithme de hachage
- Travaux pratiques : choisir un algorithme de chiffrement selon le cas pratique et justifier le choix
-
Vue d'ensemble d'une infrastructure à clé publique
- Certificat numérique : X.509
- PKI - Définitions
- Fonctions PKI
- Composantes PKI
- Fonctionnement PKI
- Applications PKI
- IPSec et SSL en entreprise
- Smart Cards
- Autorité de certification
-
SSL : certificat de serveur, utilisation et certificats clients
- Certificat de serveur SSL
- Certificat client
- Fonctionnement de SSL : les phases
- Couverture d'utilisation
- Dates d'utilisation
-
Sécurité des services web
- Objectifs de la sécurisation
- Limitations SSL
- WSE 2.0
- Sécurisation des messages SOAP / REST
-
Jetons de sécurité
- Présentation des différents types de jetons
- Intégrité d'un jeton
- Cycle de vie d'un jeton
- Habilitation & contexte
- Certificats X.509
- Signature des messages SOAP/REST
-
Sécurité et développement Web
- Erreurs fréquentes
- Classification des attaques
- Authentification par jeton
- Gestion des habilitations
- Handlers et méthodes HTTP
- Contexte de sécurité : séparation des handlers
- Attaque par injection : HTML, CSS, JS, SQLXSS
- XSS Cookie Stealer
- Cross-Site Request Forgery
-
Outils de sécurité et d'audit
- Outils du SKD
- Présentation des outils de tests de sécurité
Équipe pédagogique
Professionnel expert technique et pédagogique.
Suivi de l'exécution et évaluation des résultats
- Feuilles de présence.
- Questions orales ou écrites (QCM).
- Mises en situation.
- Formulaires d'évaluation de la formation.
- Certificat de réalisation de l’action de formation.
Ressources techniques et pédagogiques
- Espace intranet de formation
- Documents supports de formation projetés.
- Exposés théoriques
- Etude de cas concrets
- Quiz en salle
- Mise à disposition en ligne de documents supports à la suite de la formation.
Délai d'accès
2 semaines