Sécurité applicative : intégrer la sécurité dès la conception Mixte : présentiel / à distance

Dernière mise à jour : 15/11/2024

Assimiler les bonnes pratiques de conception et développement d'une application sécurisée

Type : Séminaire en présentiel

Description

Depuis quelques années, les attaques informatiques se sont complexifiées et leurs auteurs se sont professionnalisés. Garantir la sécurité des applications informatiques est une question essentielle non seulement pour maintenir la confiance des utilisateurs et se prémunir contre certains risques aux conséquences économiques importantes comme par exemple un arrêt de la production ou l'indisponibilité d'un site d'e-commerce.

En parallèle, la réglementation s'est renforcée pour devenir de plus en plus exigeante et la responsabilité de l'entreprise est engagée. Face à ces nouveaux enjeux, les équipes de développement doivent maîtriser la sécurité de leurs applications.

Cette formation a pour objectif de vous transmettre les connaissances nécessaires pour renforcer la sécurité de votre application (sécurité défensive) et mieux appréhender les techniques des attaquants (sécurité offensive).

Objectifs de la formation

  • Concevoir une application “Secure by design”
  • Maîtriser les bonnes pratiques de sécurité à toutes les phases de développement
  • Identifier les principales failles de sécurité applicative et anticiper les menaces
  • Appréhender le déroulement d'une attaque pour mieux la déjouer

Public visé

Cette formation s'adresse à toute personne concernée par la sécurité des applications au sens large (application web, site, web service, etc.).

Sont concernés en particulier :

  • Développeur
  • Ops
  • Testeur
  • Administrateur
  • Architecte

Prérequis

  • Pratique des langages de développement Web (A minima : HTML, JavaScript, SQL)
  • Connaissance du protocole HTTP
  • Idéalement la connaissance d'un framework front de type Angular, React…

Modalités pédagogiques

Formation avec apports théoriques, échanges sur les contextes des participants et retours d'expérience pratique du formateur, complétés de travaux pratiques et de mises en situation.

La formation se veut résolument tournée vers la pratique: elle alterne les simulations des différentes attaques existantes et les bonnes pratiques pour protéger vos applications.

Profil du / des Formateur(s)

Cette formation est dispensée par un·e ou plusieurs consultant·es d'OCTO Technology ou de son réseau de partenaires, expert·es reconnus des sujets traités.

Le processus de sélection de nos formateurs et formatrices est exigeant et repose sur une évaluation rigoureuse leurs capacités techniques, de leur expérience professionnelle et de leurs compétences pédagogiques.

Modalités d'évaluation et de suivi

L'évaluation des acquis se fait tout au long de la session au travers des ateliers et des mises en pratique.

Afin de valider les compétences acquises lors de la formation, un formulaire d'auto-positionnement est envoyé en amont et en aval de celle-ci.

En l'absence de réponse d'un ou plusieurs participants, un temps sera consacré en ouverture de session pour prendre connaissance du positionnement de chaque stagiaire sur les objectifs pédagogiques évalués.

Une évaluation à chaud est également effectuée en fin de session pour mesurer la satisfaction des stagiaires et un certificat de réalisation leur est adressé individuellement.

Programme

Jour 1

 

PRÉSENTATION DE LA DÉMARCHE DE SECURE CODING

 

SECURE BY DESIGN :

  • Présentation des 10 principes de sécurité pour concevoir une application sécurisée 
  • Challenge offensif en équipe pour simuler une attaque applicative

 

SÉCURITÉ DU WEB : PRÉSENTATION DES MÉCANISMES DE SÉCURITÉ DES NAVIGATEURS WEB

  • SOP (Same Origin Policy) 
  • CORS (Cross-Origin Resource Sharing)
  • CSP (Content Security Policy)

 

REVUE DU TOP 10 OWASP (OPEN WEB APPLICATION SECURITY PROJECT)

 

MISE EN PRATIQUE DES PRINCIPALES ATTAQUES AVEC UNE APPLICATION VOLONTAIREMENT VULNÉRABLE.

Les participants doivent, de manière collaborative, exploiter la faille puis en identifier la cause pour ensuite la corriger

  • Attaque XSS (Cross Site Scripting)
  • Attaque SSTI (Server Side Templating Injection)
  • Attaque REDOS (Regular expression Denial of Service)

 

Jour 2

 

MISE EN PRATIQUE DES PRINCIPALES ATTAQUES (SUITE DU JOUR 1)

  • Attaque IDOR (Insecure Direct Object Reference)
  • Attaque Mass Assignment
  • Attaque SQL injection
  • Attaque CSRF (Cross Site Request Forgery)

 

BONNES PRATIQUES DE SÉCURITÉ

  • Mesures de protection contre les Bot (Captcha)
  • Sécurité des Cookies
  • Protocole HTTPS: parametres TLS et entêtes  HTTP

 

MISE EN PRATIQUE AU TRAVERS D'UN ATELIER DE SECURE CODING POUR DÉFINIR SA STRATÉGIE DE SÉCURITÉ APPLICATIVE

Identification d'un plan d'action post formation

 

SYNTHÈSE ET PARTAGE DES RETOURS SUR LA FORMATION

Exposé (%)

35.00

Pratique (%)

50.00

Echanges (%)

15.00

Session sélectionnée

  • 11/09/25 → 12/09/25
    OCTO Academy - PARIS -
  • Détails :

    11/09/25 : 9:30 → 12:30
    13:30 → 17:30
    12/09/25 : 9:00 → 12:30
    13:30 → 17:00

Prochaines Sessions

  • 03/02/25 → 04/02/25
    OCTO Academy - PARIS -
  • 05/05/25 → 06/05/25
    OCTO Academy - PARIS -
  • 19/05/25 → 20/05/25
    OCTO Academy - PARIS -
  • 03/07/25 → 04/07/25
    OCTO Academy - PARIS -
  • 15/09/25 → 16/09/25
    OCTO Academy - PARIS -

Retour Site