Dernière mise à jour le 12/09/2024

Sécurité des applications Web

Informations générales

Type de formation : Formation continue
Domaine : Développement
Filière : Action collective ATLAS "Java, .Net, C++"
Rubrique : Tronc commun
Formation éligible au CPF : Non
Formation Action collective : Non

Objectifs & compétences

    • Comprendre les différentes sécurités existantes autour des serveurs WEB, navigateurs, etc.  
    • Savoir gérer des tests de pénétration sur une application WEB Secure coding
    • Avoir les bonnes méthodes et pratiques dans la conception d'une application WEB
    • Acquérir les compétences nécessaires pour créer un programme de sécurité des applications
    • Savoir couvrir les exigences demandées par les ISO 27001/2 à savoir  
    • Utiliser la norme ISO 27034 - sécurité des applications
 

Public visé

Manager en sécurité de l'information RSSI Chef de projet Développeur, Lead Dev

Pré-requis

Avoir les bases de la direction des systèmes d'information et de développement

Programme

1er Jour :   
 
Chapitre 1  Les chiffres du WEB
Panorama de la sécurité WEB
Les normes, lois
Les référentiels
Les groupes de réflexions   
Complément d'E-learning Web security scanning  
 
Chapitre 2  Le top 10 des menaces selon l'OWASP
Les injections  
Violation de gestion d'authentification et de session Cross-Site Scripting (XSS)
Références directes non sécurisées à un objet (IDOR)
Contrôle d'accès brisé
Mauvaise configuration de sécurité
Exposition de données sensibles
Protection contre les attaques insuffisantes CSRF (Cross site request forgery)
Exploitation de vulnérabilités connues API non protégée  
 
2ème Jour :   
 
Chapitre 3 Concevoir sécuriser (secure coding)  
Conception sécurisée Les bases du respect des données personnelles
Réduction des attaques de surfaces
Défense en profondeur  
Séparation des privilèges
Sécurisation par défaut  
 
Chapitre 4  Bugs bar Modélisation de menaces (Threat modeling)
Système de ticketing et tableau de bord Créer ses standards avec ASVS   
 
3ème Jour (Journée) :   
 
Chapitre 5  Ajout de services de sécurité en IC (intégration continue)
 
Analyse statique  
Analyse dynamique  
WAF  
Test de montée de charge  
 
Chapitre 6  Durcissement des serveurs et bonnes pratiques ANSSI
 
Bonnes pratiques pour les SGRB®
Bonnes pratiques sur un serveur WEB et CMS
Configuration de la x-frame, xss-protection, csp,  flag secure, HTTPOnly, etc  
 
Chapitre 7  Test d'intrusion sur une application WEB
Utilisation de Burp suite
Aperçu des APIs et fonctionnalités de Burp et SQLMAP
Utilisation de l’OWASP Testing guide
Mise en application d'un test d'intrusion (scoring, reporting, analyse des besoins)
 
4ème Jour (Journée) :   
 
Chapitre 8  Récapitulatif des acteurs autour de la sécurité application tels que (OWASP, MITRE, PCI-DSS, SAFECODE, HIPAA, etc.)
État des lieux sur les différentes sécurités autour de la sécurité applicative et DevOps telles que les navigateurs, serveurs, prestataires, outils (WAF, SAST, DAST, Cloudflare)
Les avantages et les défauts en termes de sécurité du DevOps et des méthodes Agile
Utiliser un modèle CAMS (Culture, Automation, Measurement, and Sharing)
Analyser les prérequis pour commencer un cycle de développement sécurisé avec :  
Quelles sont les existants en matière de sécurité (PSSI, SMSI, etc.)
Quelles sont les lois concernées par la sécurité applicative  
 
Chapitre 9  Établir in PIA (privacy impact assessment)
Permettant de définir la criticité des informations stockées par les applications et établir les risques et potentiels contrôles à prévoir. Affectation des responsabilités aux parties prenantes du projet  
 
Chapitre 10  “Secure by design” et la mise en place d'un plan d’action pour le durcissement des infrastructures
Préparation à la réduction des surfaces d'attaques  
Modélisation des menaces et analyse avec les exigences de l'entreprise  
 
Chapitre 11  Préparation au “Secure code” avec : Analyse statique du code (démonstration des différents produits du marché) et automatisation du processus
Code review et analyse de fonctions non utiles
Vérification des exigences de l'organisation et du cycle de développement sécurisé en place  
 
5ème Jour (Journée) :   
 
Chapitre 12  Introduction au “Process model” et “Maturity model”
 
Étude du SDL (Microsoft Securiy developpement) de Microsoft
Préparation d'une formation pour les parties prenantes d'une application
Définir les exigences en termes de sécurité d'une organisation pour une application  
Mettre en place l'architecture de l'application de manière sécurisée
Créer les procédures pour la mise en application d'une analyse statique et dynamique automatisée
Mettre un tableau de bord avec métrique  
Créer un plan de réponse à incident  
 
Chapitre 13  Présentation de BSIMM, OPENSAMM
Comparaison des différents Frameworks
Quand appliquer un modèle de maturité ?
Mise en place de OPENSAMM  
État de l'art des différentes fonctions de la gouvernance SSI
Comprendre le processus OWASP OPENSAMM
Objectif, activité, granularité proposée par le Framework
Appliquer un score à l'aide des “scorecard”
Créer un tableau de bord avec les différentes métriques proposées par OPENSAMM
 

Modalités

Modalités : en présentiel, distanciel ou mixte – Horaires de 9H à 12H30 et de 14H à 17H30 soit 7H – Intra et Inter entreprise
Pédagogie : essentiellement participative et ludique, centrée sur l’expérience, l’immersion et la mise en pratique. Alternance d’apports théoriques et d’outils pratiques.
Ressources techniques et pédagogiques : Support de formation au format PDF ou PPT Ordinateur, vidéoprojecteur, Tableau blanc, Visioconférence : Cisco Webex / Teams / Zoom
Pendant la formation : mises en situation, autodiagnostics, travail individuel ou en sous-groupe sur des cas réels

Méthodes

Fin de formation : entretien individuel
Satisfaction des participants : questionnaire de satisfaction réalisé en fin de formation
Assiduité : certificat de réalisation (validation des acquis)
Code de formation : F28041

Tarifs

Prix public : 2275
Tarif & financement :
Nous vous accompagnons pour trouver la meilleure solution de financement parmi les suivantes :
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
  • CPF -MonCompteFormation
Contactez nous pour plus d’information

Lieux & Horaires

Campus : Ensemble des sites

Durée : 35 heures
Délai d'accès :
Jusqu’à 8 jours avant le début de la formation

Distanciel possible : Oui

Prochaines sessions

Cliquez sur la date choisie pour vous inscrire :

  • Inscription au 23 / 09 / 2024
    : Ensemble des sites
    : Distanciel possible
    : 35 heures
    : 5 jours
  • Inscription au 30 / 09 / 2024
    : Ensemble des sites
    : Distanciel possible
    : 35 heures
    : 5 jours
  • Inscription au 25 / 11 / 2024
    : Ensemble des sites
    : Distanciel possible
    : 35 heures
    : 5 jours
  • Inscription au 02 / 12 / 2024
    : Ensemble des sites
    : Distanciel possible
    : 35 heures
    : 5 jours
Handi-accueillante Accessible aux personnes en situations de handicap. Pour toutes demandes, contactez notre référente, Mme Rizlene Zumaglini Mail : rzumaglini@aston-ecole.com

à voir aussi dans le même domaine...

Formation continue

Action collective ATLAS "Java, .Net, C++"

F28033

Développer des applications web Asp.NET MVC en C# avec VS2017

Savoir créer des applications web avec Visual Studio 2017   Savoir développer des applications ASP.Net MVC   Être capable de tester et déboguer des applications web ASP.Net   Savoir développer des applications web API et les interroger depuis une application cliente   Être capable d'intégrer des fonctionnalités dynamiques avec AJAX et JQuery sur des applications web ASP.Net  Être capable d'intégrer des fonctionnalités "Responsive" avec Bootstrap dans une application web ASP.Net  

35 heures de formations sur 5 Jours
En savoir plus

Formation continue

Action collective ATLAS "Java, .Net, C++"

F28045

Bachotage Microsoft 70486 – Développement ASP.Net et MVC

Se préparer au passage de la certification .Net « 70-486, Développement d'applications Web ASP.NET MVC» à travers une révision complète     Découvrir le type de questions et comprendre le déroulement de la certification     Passer un test blanc  

7 heures de formations sur 1 Jours
En savoir plus

Formation continue

Action collective ATLAS "Java, .Net, C++"

F28023

La conception orientée objet et UML

Comprendre les concepts et les avantages de la conception orientée objet afin d'appréhender une nouvelle façon de " penser " Différencier l'approche procédurale et l'approche objet Comprendre les principes de l'approche objet Maîtriser les fondamentaux de la notation UML, use case et diagrammes de classes. Comprendre et voir en action les design patterns.

35 heures de formations sur 5 Jours
En savoir plus

Formation continue

Action collective ATLAS "Java, .Net, C++"

F28034

Xamarin.Forms, développer des applications mobiles multi-plateformes

Comprendre le processus de développement d'une application mobile Xamarin.Forms   Architecturer une application mobile via le Pattern MVVM   Mettre en œuvre les différents composants graphiques pour concevoir des interfaces mobiles   Enrichir l'application mobile par l'accès aux données locales et distantes  

28 heures de formations sur 4 Jours
En savoir plus

Formation continue

Action collective ATLAS "Java, .Net, C++"

F28046

Bachotage Java – Certified JAVA SE8 Programmer

    • Comprendre comment se déroule une certification Java
    • Garantir le taux de réussite maximal à la certification Java, niveau 1 développeur (1Z0-808)
    • Faire usage de l'ouvrage de référence afin de passer sereinement l'examen
 

7 heures de formations sur 1 Jours
En savoir plus

Formation continue

Action collective ATLAS "Java, .Net, C++"

F28024

Programmation C# : développer en .NET avec Visual Studio

Maitriser le développement orienté objet   Appréhender les concepts, l’architecture et les principales technologies de la plateforme . Net  Maitriser la syntaxe et les fonctionnalités du langage C#   Savoir configurer et utiliser Visual Studio dans les projets de développement  

35 heures de formations sur 5 Jours
En savoir plus