Aller au contenu principal
Afficher le fil d'ariane

AELION : 04. Sécurité des applications

Organisme

AELION
95 CHE DE GABARDIE
31200 TOULOUSE
Voir toutes ses formationsAutres organismes proposant cette formation

Durée

21 heures

Modalités

Formation

  • Classe virtuelle
  • Présentiel

Évaluation

Questionnaire d’évaluation des pré-requis avant le stage, de satisfaction en fin de stage, évaluation des acquis en fin de formation. Feuille de présence, attestation de fin de formation.

Prix

Inter
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
840€ HT / personne
Intra
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
3600€ HT / groupe
4 stagiaires minimum

Public

Architectes, développeurs, analystes, chefs de projets…

Pré-requis

Posséder une bonne connaissance de la programmation objet et de la programmation d’application Web.

Objectifs pédagogiques

- Comprendre les problématiques de sécurité des applications.

- Connaitre les principales menaces et vulnérabilité.

- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications.

- Mettre en place une stratégie de veille

Programme détaillé

IDENTIFIER LES PROBLEMATIQUES DE SECURITE DES APPLICATIONS

  • A l’issue de cette séquence, vous savez identifier les problématiques et enjeux de sécurité tout au long du cycle de vie d’une application. Vous connaissez quelles sont les attentes de sécurité du côté du client et du côté du serveur.
  • Introduction à la sécurité des applications WEB
  • Positionnement de la sécurité dans le processus de développement
  • Authentification, identification, habilitation
  • Sécurité du point de vue du client
  • Sécurité du point de vue du serveur
  • Sécurité des supports (https, ssl, analyseur logiciel)
  • Sécurité des conteneurs et serveurs
  • Tests d’intrusion : pourquoi ce n’est pas suffisant

CONNAITRE LES PRINCIPALES MENACES ET VULNERABILITE

  • A l’issue de cette séquence, vous avez identifié les référentiels STRIDE ou OWASP qui peuvent classifier et décrire les types d’attaques. Vous savez définir les principales attaques ou vulnérabilités des applications.
  • Classification des attaques selon les référentiels STRIDE et OWASP
  • Les principales attaques et leur portée :
  • - Sécurité des supports de communication
  • - Attaque type « man in the middle »
  • - Sniffing, Spoofing et packet forging
  • - Utilité du SSL et du HTTPS
  • - White et Black listing, monitoring pré-emptif
  • Déni de service
  • - Principe de l’attaque DDOS
  • - Risques sous-jacents et limitations
  • - Stratégie de déploiement / failover / load-balancing
  • Exécution malicieuse
  • - Objectif de l’attaquant
  • - Attaque type « injection SQL »
  • - Attaque type « débordement de tampon »
  • - Risques sous-jacents et limitations
  • - Les bonnes pratiques pour s’en protéger
  • Corruption et extorsion de données
  • - Objectif de l’attaquant
  • - Attaque type « Hijacking de session »
  • - Risques sous-jacents et limitations
  • - Stratégie sans session, OAuth et Oauth 2

IDENTIFIER LES BONNES PRATIQUES PERMETTANT DE LIMITER LES ATTAQUES OU LA PORTEE DES ATTAQUES (1/2)

  • A l’issue de la séquence, vous êtes capable de définir le principe des pares-feux, le fonctionnement du SSL et des mécanismes de base pour le chiffrement et la protection de données.
  • Sécuriser les communications
  • Assurances et certificats
  • Certificat HTTPS avec Let’s encrypt
  • Pare-feu serveur
  • Pare-feu “proxy” : solutions de Web Application Firewall (WAF)

IDENTIFIER LES BONNES PRATIQUES PERMETTANT DE LIMITER LES ATTAQUES OU LA PORTEE DES ATTAQUES (2/2)

  • A l’issue de cette séquence, vous savez définir le principe des pares-feux, le fonctionnement du SSL et des mécanismes de base pour le chiffrement et la protection de données.
  • Cryptanalyse et chiffrement
  • Bonnes pratiques pour le stockage de données sensibles
  • Du choix du protocole de chiffrement pour les mots de passe

APPREHENDER LES METHODOLOGIES / TECHNOLOGIES DE PROTECTION ET DE CONTROLE DE LA SECURITE DES APPLICATIONS

  • A l’issue de cette séquence, vous savez identifier les outils et les démarches nécessaires pour analyser et améliorer la sécurité d’une application web.
  • Introduction à la démarche DEVSECOPS
  • Outils de sécurité et d’audit
  • Outils de développement et de test liés à la sécurité
  • Outils pour mener les tests de sécurité
  • Audit de code et des dépendances

METTRE EN PLACE UNE STRATEGIE DE VEILLE

  • A l’issue de cette séquence, vous êtes capable de mettre en place et utiliser des outils et démarches nécessaires pour la veille sécurité.
  • La veille sécurité ou risk intelligence
  • Identification des risques
  • Définition des priorités et planification des actions
  • Outils et canaux de veille

Sessions

Filtrer les résultats

44 résultats

Modalités pédagogiques
Formation synchrone se déroulant avec la présence physique du (des) formateur(s) et du (des) apprenant(s) réunis dans un même lieu de formation.
Formation combinant des séquences en présentiel et des séquences à distance synchrones ou asynchrones.
Formation à distance, asynchrone, s’appuyant sur une plateforme d’apprentissage, pouvant être complétée par d’autres modalités de formation à distance (visio-conférence…)
Formation à distance, synchrone, s’appuyant sur un dispositif de visio-conférence. La classe virtuelle recrée à distance les conditions d’une formation en salle traditionnelle.
Type de formation
La formation en Inter est dispensée pour un groupe de salariés d’entreprises différentes.
La formation en Intra est dispensée pour un groupe de salariés d’une seule et même entreprise.
Options
Ces sessions ne peuvent être ni annulées ni reportées par l’organisme de formation.

0 résultat