Aller au contenu principal

IB : 04. Sécurité des applications

Organisme

IB
1 PLACE DE LA PYRAMIDE
92911 PARIS LA DEFENSE CEDEX
Voir toutes ses formationsAutres organismes proposant cette formation

Durée

21 heures

Modalités

Formation
  • Classe virtuelle
  • Présentiel
Évaluation

Une attestation de fin de formation sera remise au stagiaire à l'issue de la formation

Prix

Inter
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
926.1€ HT / personne
Intra
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
4567.5€ HT / groupe
4 stagiaires minimum

Public

Architectes, développeurs, analystes, chefs de projets…

Pré-requis

Posséder une bonne connaissance de la programmation objet et de la programmation d’application Web.

Objectifs pédagogiques

- Comprendre les problématiques de sécurité des applications.

- Connaitre les principales menaces et vulnérabilité.

- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications.

- Mettre en place une stratégie de veille

Programme détaillé

1. SÉCURITÉ DANS LE FRAMEWORK ET DU CODE 

  • Concepts fondamentaux
  • Sécurité d’accès du code et des ressources
  • Sécurité basée sur les rôles
  • Le principe du W^X
  • Services de chiffrement
  • Validation et contrôle des entrées / sorties
  • Gestion et masquage d’erreurs
  • Gestion sécurisée de la mémoire
  • Contrôle d’authenticité et d’intégrité d’une application/d’un code
  • Offuscation du code
  • Reverse engineering sur : bundle C#, application Java, binaire Windows
  • Contrôle des droits avant exécution du code
  • Sécuriser les données sensibles présentes dans un binaire
  • Stack/Buffer/Heap overflow

2. LES BASES DE LA CRYPTOGRAPHIE 

  • Cryptographie - Les définitions
  • Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique
  • Symétrique vs. asymétrique, combinaisons symétrique / asymétrique
  • Fonctions de hachage
  • Utilisation des sels
  • Signatures numériques, processus de signature, processus de vérification

3. CHIFFREMENT, HASH ET SIGNATURE DE DONNÉES 

  • Cryptographie Service Providers (CSP)
  • System, security, cryptographie
  • Choix des algorithmes de chiffrement
  • Chiffrement symétrique : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
  • Algorithmes asymétriques
  • Algorithme : RSA, DSA, GPG
  • Algorithme de hachage : MD5, SHA1 / SHA2 / SH3

4. VUE D'ENSEMBLE D'UNE INFRASTRUCTURE A CLÉ PUBLIQUE (PKI)

  • Certificat numérique : certificat X.509
  • PKI - Les définitions
  • Les fonctions PKI
  • PKI - Les composants
  • PKI - Le fonctionnement
  • Applications de PKI : SSL, VPN, IPSec
  • IPSec et SSL en entreprise
  • Smart Cards (cartes intelligentes)
  • Autorité de certification

5. SSL ET CERTIFICAT DE SERVEUR

  • Certificat de serveur SSL : présentation, autorité de certification d’entreprise, autorité de certification autonome

6. UTILISATION DE SSL ET DES CERTIFICATS CLIENTS 

  • Certificats clients
  • Fonctionnement de SSL : phase I, II, III et IV
  • Vérification de la couverture d’utilisation d’un certificat (lors du handshake)
  • Vérification des dates d’utilisation d’un certificat

7. SÉCURITÉ DES SERVICES WEB

  • Objectifs de la sécurisation des services Web : authentification, autorisation, confidentialité et intégrité
  • Limitations liées à SSL
  • Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP / REST

8. JETONS DE SÉCURITÉ

  • Jetons de sécurité : User-Name Token, Binary Token, XML Token, JWT (JSON Web Tokens), Session-based Token
  • Intégrité d’un jeton (MAC / HMAC)
  • Cycle de vie d’un jeton, expiration automatique (ou pas), contexte d’utilisation d’un jeton
  • Habilitations suivant le contexte du jeton
  • Certificats X.509
  • Signature des messages SOAP / REST : création d’un jeton de sécurité, vérification des messages (MAC / HMAC), chiffrement des messages, déchiffrement du message

9. SÉCURITÉ ET DÉVELOPPEMENT WEB

  • Classification des attaques : STRIDE, OWASP
  • Les erreurs classiques
  • Authentification par jeton et gestion des habilitations
  • Les handlers et méthodes HTTP
  • Séparation des handlers par contexte de sécurité
  • Attaque par injection
  • Injection HTML
  • Injection CSS
  • Injection JS
  • Injection SQL
  • XSS (Injection croisée de code) : XSS réfléchi, XSS stocké
  • XSS Cookie Stealer
  • CSRF : Cross-Site Request Forgery

10. ORGANISER LA VEILLE

  • Top 10 de l’OWASP
  • Le système CVE
  • Le système CWE

 

LES PLUS DE LA FORMATION

  • Au-delà des apports théoriques indispensables, cette formation intègre de nombreux ateliers qui apporteront aux participants une expérience pratique de la sécurisation d'applications .Net.
  • Des conseils pratiques et méthodologiques sont proposés pour chaque thème évoqué.
  • Répartition théorie/pratique : 45% / 55%
  • Cette formation se compose d’une alternance d’apports théoriques, de travaux pratiques, de démonstrations, de phases d’échanges entre participants et de synthèses de la part du formateur.

Sessions

Filtrer les résultats
Modalités pédagogiques
Formation synchrone se déroulant avec la présence physique du (des) formateur(s) et du (des) apprenant(s) réunis dans un même lieu de formation.
Formation combinant des séquences en présentiel et des séquences à distance synchrones ou asynchrones.
Formation à distance, asynchrone, s’appuyant sur une plateforme d’apprentissage, pouvant être complétée par d’autres modalités de formation à distance (visio-conférence…)
Formation à distance, synchrone, s’appuyant sur un dispositif de visio-conférence. La classe virtuelle recrée à distance les conditions d’une formation en salle traditionnelle.
Type de formation
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
Options
Les compétences professionnelles visées par la formation sont validées via un test permettant d’obtenir une certification officielle.
Ces sessions ne peuvent être ni annulées ni reportées par l’organisme de formation.