Développement - Sécurité des applications

Formation créée le 24/11/2021. Dernière mise à jour le 16/09/2022.
Version du programme : 1

Type de formation

Formation à distance

Durée de formation

21 heures (3 jours)

Développement - Sécurité des applications


Objectif de formation : A l’issue de la formation, le stagiaire sera capable de mettre en oeuvre les règles et bonnes pratiques liées au développement sécurisé d’applications.

Objectifs de la formation

  • Comprendre les problématiques de sécurité des applications
  • Connaitre les principales menaces et vulnérabilité
  • Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications
  • Mettre en place une stratégie de veille

Profil des bénéficiaires

Pour qui
  • Architectes
  • Développeurs
  • Analystes
  • Chefs de projets
Prérequis
  • Posséder une bonne connaissance de la programmation objet et de la programmation d'application Web

Contenu de la formation

Sécurité du framework & du code
  • Principe fondamentaux
  • Accès du code et des ressources
  • Rôles et sécurité
  • W^X
  • Le chiffrement
  • Validation et contrôle des entrées / sorties
  • Gestion et masquage d'erreurs
  • Sécurisation de la gestion de la mémoire
  • Authenticité et intégrité d'une application
  • Offuscation du code
  • Droits et contrôles avant exécution du code
  • Données sensible dans un binaire
  • Reverse engineering
  • Stack/Buffer/Heap overflow
Introduction à la cryptographie
  • Notions et définition
  • Présentation des types de chiffrement
  • Symétrique // Asymétrique
  • Combinaisons Symétrique & Asymétrique
  • Hachage et sels
  • Signatures numériques : processus de signature et de vérification
Chiffrement, Hash et Signature des données
  • Les acteurs du marchés : les CSP
  • Système, sécurité et cryptographie
  • Les algorithmes de chiffrement
  • Chiffrement symétrique
  • Algorithmes asymétriques
  • RSA, DSA, GPG
  • Algorithme de hachage
  • Travaux pratiques : choisir un algorithme de chiffrement selon le cas pratique et justifier le choix
Vue d'ensemble d'une infrastructure à clé publique
  • Certificat numérique : X.509
  • PKI - Définitions
  • Fonctions PKI
  • Composantes PKI
  • Fonctionnement PKI
  • Applications PKI
  • IPSec et SSL en entreprise
  • Smart Cards
  • Autorité de certification
SSL : certificat de serveur, utilisation et certificats clients
  • Certificat de serveur SSL
  • Certificat client
  • Fonctionnement de SSL : les phases
  • Couverture d'utilisation
  • Dates d'utilisation
Sécurité des services web
  • Objectifs de la sécurisation
  • Limitations SSL
  • WSE 2.0
  • Sécurisation des messages SOAP / REST
Jetons de sécurité
  • Présentation des différents types de jetons
  • Intégrité d'un jeton
  • Cycle de vie d'un jeton
  • Habilitation & contexte
  • Certificats X.509
  • Signature des messages SOAP/REST
Sécurité et développement Web
  • Erreurs fréquentes
  • Classification des attaques
  • Authentification par jeton
  • Gestion des habilitations
  • Handlers et méthodes HTTP
  • Contexte de sécurité : séparation des handlers
  • Attaque par injection : HTML, CSS, JS, SQLXSS
  • XSS Cookie Stealer
  • Cross-Site Request Forgery
Outils de sécurité et d'audit
  • Outils du SKD
  • Présentation des outils de tests de sécurité

Équipe pédagogique

Professionnel expert technique et pédagogique.

Suivi de l'exécution et évaluation des résultats

  • Feuilles de présence.
  • Questions orales ou écrites (QCM).
  • Mises en situation.
  • Formulaires d'évaluation de la formation.
  • Certificat de réalisation de l’action de formation.

Ressources techniques et pédagogiques

  • Espace intranet de formation
  • Documents supports de formation projetés.
  • Exposés théoriques
  • Etude de cas concrets
  • Quiz en salle
  • Mise à disposition en ligne de documents supports à la suite de la formation.

Délai d'accès

2 semaines