Parcours métier de Correspondant / Responsable Sécurité Applicative

Atlas
  • Référence : SECDEV
  • Durée : 8 jours (56 heures)
  • Certification : Non
  • Eligible CPF : Non

CONNAISSANCES PREALABLES

  • Avoir déjà développé ou participé à un projet de développement d’applicatif
  • Avoir suivi le Parcours Introductif Cybersécurité
  • Connaître au moins un langage de développement
  • Connaitre le guide d’hygiène sécurité de l’ANSSI

PROFIL DES STAGIAIRES

  • Architectes applicatifs
  • Chefs de projet
  • Concepteurs
  • Développeurs

OBJECTIFS

  • Former les développeurs à la sécurité informatique
  • Transmettre les bonnes pratiques pour intégrer la sécurité informatique dans la conception, le développement et la mise en production
  • Connaître le fonctionnement de la pile
  • Repérer les erreurs dans le code
  • Connaître le rôle des acteurs et la classification des risques : CERT, CWE, OWASP
  • Appliquer les bonnes pratiques

METHODES PEDAGOGIQUES

  • Mise à disposition d’un poste de travail par participant
  • Remise d’une documentation pédagogique papier ou numérique pendant le stage
  • La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions

METHODES D'EVALUATION DES ACQUIS

  • Auto-évaluation des acquis par le stagiaire via un questionnaire
  • Attestation de fin de stage adressée avec la facture

FORMATEUR

Consultant-Formateur expert Sécurité défensive

CONTENU DU COURS

1 - Jour 1

  • Les problèmes de sécurité Applicative
  • Le monde du WEB : Top 10 OWASP 2017 : Injection – Broken Authentication – Sensitive Data Exposure – XML External Entities – Broken Access Control

2 - Jour 2

  • Security Misconfiguration
  • XSS – CSRF
  • Insecure Deserialization
  • Vulnérabilités connues
  • Manque de supervision et gestion log
  • Cycle de développement sécurisé (HTML,PHP,Java (Monde WEB)
  • DevOPS
  • Recommandation

3 - Jours 3 - 4

  • Le monde Java et la mobilité :
  • JVM : Limite de Java – Gestion de la mémoire – Contrôle du bytecode
  • Obfuscation : Problématique de la décompilation – Technique d’obfuscation – Hardcodage – Solutions du commerce
  • Exécution : Sérialisation des données – Déclaration et initialisation de variable
  • Contrôle & Exécution : Contrôle d’accès – Sérialisation des données – Vérification des entrées

4 - Jour 5

  • Le monde des binaires – C / C++
  • Les failles liées aux binaires C/C++
  • La gestion mémoire : BufferOverflow – Heap OverFlow – String Overflow
  • Développement sécurisé : Les chaînes de caractères – Les pointeurs – Les entiers
  • ASLR,DEP,No exec

5 - Jour 6

  • Vue globale sur les différents langages : Bash – Python – NET
  • Pentest : Analyses code source – Fuzzing applicatif – Framework
  • La sécurité applicative en mode projet : synthèse

6 - Dates de formation

  • Les 29 et 30 Avril + les 11, 12, 28 et 29 Mai + les 11 et 12 Juin
cookie