Sécurité applicative : intégrer la sécurité dès la conception Mixte : présentiel / à distance

Depuis quelques années, les attaques informatiques se sont complexifiées et leurs auteurs se sont professionnalisés. Garantir la sécurité des applications informatiques est une question essentielle non seulement pour maintenir la confiance des utilisateurs et se prémunir contre certains risques aux conséquences économiques importantes comme par exemple un arrêt de la production ou l'indisponibilité d'un site d'e-commerce.

En parallèle, la réglementation s'est renforcée pour devenir de plus en plus exigeante et la responsabilité de l'entreprise est engagée. Face à ces nouveaux enjeux, les équipes de développement doivent maîtriser la sécurité de leurs applications.

Cette formation a pour objectif de vous transmettre les connaissances nécessaires pour renforcer la sécurité de votre application (sécurité défensive) et mieux appréhender les techniques des attaquants (sécurité offensive).

• Concevoir une application “Secure by design”
• Maîtriser les bonnes pratiques de sécurité à toutes les phases de développement
• Identifier les principales failles de sécurité applicative et anticiper les menaces
• Appréhender le déroulement d'une attaque pour mieux la déjouer

Cette formation s'adresse à toute personne concernée par la sécurité des applications au sens large (application web, site, web service, etc.).

Sont concernés en particulier :

• Développeur
• Ops
• Testeur
• Administrateur
• Architecte

• Pratique des langages de développement Web (A minima : HTML, JavaScript, SQL)
• Connaissance du protocole HTTP
• Idéalement la connaissance d'un framework front de type Angular, React…

Formation avec apports théoriques, échanges sur les contextes des participants et retours d'expérience pratique du formateur, complétés de travaux pratiques et de mises en situation.

La formation se veut résolument tournée vers la pratique: elle alterne les simulations des différentes attaques existantes et les bonnes pratiques pour protéger vos applications.

Cette formation est dispensée par un·e ou plusieurs consultant·es d'OCTO Technology ou de son réseau de partenaires, expert·es reconnus des sujets traités.

Le processus de sélection de nos formateurs et formatrices est exigeant et repose sur une évaluation rigoureuse leurs capacités techniques, de leur expérience professionnelle et de leurs compétences pédagogiques.

L'évaluation des acquis se fait tout au long de la session au travers des ateliers et des mises en pratique.

Afin de valider les compétences acquises lors de la formation, un formulaire d'auto-positionnement est envoyé en amont et en aval de celle-ci.

En l'absence de réponse d'un ou plusieurs participants, un temps sera consacré en ouverture de session pour prendre connaissance du positionnement de chaque stagiaire sur les objectifs pédagogiques évalués.

Une évaluation à chaud est également effectuée en fin de session pour mesurer la satisfaction des stagiaires et un certificat de réalisation leur est adressé individuellement.

Jour 1

PRÉSENTATION DE LA DÉMARCHE DE SECURE CODING

SECURE BY DESIGN :

• Présentation des 10 principes de sécurité pour concevoir une application sécurisée 
• Challenge offensif en équipe pour simuler une attaque applicative

SÉCURITÉ DU WEB : PRÉSENTATION DES MÉCANISMES DE SÉCURITÉ DES NAVIGATEURS WEB

• SOP (Same Origin Policy) 
• CORS (Cross-Origin Resource Sharing)
• CSP (Content Security Policy)

REVUE DU TOP 10 OWASP (OPEN WEB APPLICATION SECURITY PROJECT)

MISE EN PRATIQUE DES PRINCIPALES ATTAQUES AVEC UNE APPLICATION VOLONTAIREMENT VULNÉRABLE.

Les participants doivent, de manière collaborative, exploiter la faille puis en identifier la cause pour ensuite la corriger

• Attaque XSS (Cross Site Scripting)
• Attaque SSTI (Server Side Templating Injection)
• Attaque REDOS (Regular expression Denial of Service)

Jour 2

MISE EN PRATIQUE DES PRINCIPALES ATTAQUES (SUITE DU JOUR 1)

• Attaque IDOR (Insecure Direct Object Reference)
• Attaque Mass Assignment
• Attaque SQL injection
• Attaque CSRF (Cross Site Request Forgery)

BONNES PRATIQUES DE SÉCURITÉ

• Mesures de protection contre les Bot (Captcha)
• Sécurité des Cookies
• Protocole HTTPS: parametres TLS et entêtes  HTTP

MISE EN PRATIQUE AU TRAVERS D'UN ATELIER DE SECURE CODING POUR DÉFINIR SA STRATÉGIE DE SÉCURITÉ APPLICATIVE

Identification d'un plan d'action post formation

SYNTHÈSE ET PARTAGE DES RETOURS SUR LA FORMATION

• Formation “Sécurité des applications mobiles” (MOBSE)
• Article “Efficace et pas cher, c'est le SAST que je préfère !”
• Article “Zero Trust Architecture : vers un SI où le périmètre n'importe plus”
• Article “Comment conserver les mots de passe de ses utilisateurs”
• Article “Avec Trivy, c'est trivial d'identifier les vulnérabilités de vos conteneurs”
• Article “Sécuriser une API REST : tout ce qu'il faut savoir”
• Article “Bientôt la fin des mots de passe sur le Web ? (WebAuthn)”
• Inscription gratuite au meetup OWASP France