03 20 61 95 06

Formation – Sécurité des applications


  • FSA
  • Durée : 3 jours
  • Tarif : 1850 € HT

96%

Taux de satisfaction clients
(sur 1596 évaluations du 19/05/21 au 16/12/24)

Voir les avis

Objectifs

A l’issue de la formation le participant sera capable de :
Comprendre les problématiques de sécurité des applications
Connaitre les principales menaces et vulnérabilité
Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications
Mettre en place une stratégie de veille

Prérequis

Disposer d’une bonne connaissance de la programmation objet et de la programmation d’applications Web.
Un entretien en amont avec notre expert permet de prendre en compte le profil de chaque participant (niveau, objectifs et résultats attendus, contexte professionnel, enjeux…) et d’adapter le contenu de la formation si besoin.

Cette formation ne peut être financée que dans le cadre d’un projet d’entreprise (prise en charge entreprise ou OPCO). Les dossiers à financement personnel et CPF ne sont pas pris en compte.

Public

Développeurs

Dernière mise à jour

Programme mis à jour le 18 octobre 2024
enveloppe Cette formation vous intéresse ? Contactez-nous

Bon à savoir

Evaluez votre niveau

Pour vous aider à bien choisir votre formation, nous vous proposons soit un entretien avec le formateur soit un test d’évaluation. Cela vous assurera que vous disposez des connaissances nécessaires pour suivre la formation dans des conditions optimales.

Formations modulables

Toutes nos formations sont disponibles en présentiel comme en distanciel, en mode coaching individuel ou en groupe de 3 à 6 participants maximum.

Travaux pratiques

Nos formations comprennent de nombreux travaux pratiques pour un meilleur apprentissage (60 % de pratique). Nous proposons également de travailler sur vos données pour une meilleure expérience.
modules

Les Modules
de formation

Module1
Sécurité dans le Framework et du code

Concepts fondamentaux

Sécurité d’accès du code et des ressources
Sécurité basée sur les rôles
Le principe du W^X
Services de chiffrement
Validation et contrôle des entrées / sorties
Gestion et masquage d’erreurs
Gestion sécurisée de la mémoire
Contrôle d’authenticité et d’intégrité d’une application/d’un code
Offuscation du code
Reverse engineering sur : bundle C#, application Java, binaire Windows
Contrôle des droits avant exécution du code
Sécuriser les données sensibles présentes dans un binaire
Stack/Buffer/Heap overflow
Module2
Les bases de la cryptographie

Cryptographie – Les définitions

Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique
Symétrique vs. asymétrique, combinaisons symétrique / asymétrique
Fonctions de hachage
Utilisation des sels
Signatures numériques, processus de signature, processus de vérification
Module3
Chiffrement, hash et signature des données

Cryptographie Service Providers (CSP)

System, security, cryptographie
Choix des algorithmes de chiffrement
Chiffrement symétrique : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)
Algorithmes asymétriques
Algorithme : RSA, DSA, GPG
Algorithme de hachage : MD5, SHA1 / SHA2 / SH3
Module4
Vue d'ensemble d'une infrastructure à clé publique (PKI)

Certificat numérique : certificat X.509

PKI – Les définitions
Les fonctions PKI
PKI – Les composants
PKI – Le fonctionnement
Applications de PKI : SSL, VPN, IPSec
IPSec et SSL en entreprise
Smart Cards (cartes intelligentes)
Autorité de certification
Module5
SSL et certificat de serveur

Certificat de serveur SSL : présentation, autorité de certification d’entreprise, autorité de certification autonome

Module6
Utilisation de SSL et des certificats clients

Certificats clients

Fonctionnement de SSL : phase I, II, III et IV
Vérification de la couverture d’utilisation d’un certificat (lors du handshake)
Vérification des dates d’utilisation d’un certificat
Module7
Sécurité des services Web

Objectifs de la sécurisation des services Web : authentification, autorisation, confidentialité et intégrité

Limitations liées à SSL
Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP / REST
Module8
Jetons de sécurité

Jetons de sécurité : User-Name Token, Binary Token, XML Token, JWT (JSON Web Tokens), Session-based Token

Intégrité d’un jeton (MAC / HMAC)
Cycle de vie d’un jeton, expiration automatique (ou pas), contexte d’utilisation d’un jeton
Habilitations suivant le contexte du jeton
Certificats X.509
Signature des messages SOAP / REST : création d’un jeton de sécurité, vérification des messages (MAC / HMAC), chiffrement des messages, déchiffrement du message
Module9
Sécurité et développement Web

Classification des attaques : STRIDE, OWASP

Les erreurs classiques
Authentification par jeton et gestion des habilitations
Les handlers et méthodes HTTP
Séparation des handlers par contexte de sécurité
Attaque par injection
Injection HTML
Injection CSS
Injection JS
Injection SQL
XSS (Injection croisée de code) : XSS réfléchi, XSS stocké
XSS Cookie Stealer
CSRF : Cross-Site Request Forgery
Module10
Organiser la veille

Top 10 de l’OWASP

Le système CVE
Le système CWE

Les prochaines
sessions de formation

Sur demande
Vous souhaitez organiser cette formation à une date spécifique ?Contactez-nous en remplissant le formulaire ci-dessous
02 décembre 2024
20 janvier 2025
17 mars 2025
12 mai 2025

Cette formation vous intéresse ? Contactez-nous !

    Les données personnelles collectées sont destinées à Access IT Company et utilisées pour traiter votre demande et, lorsque vous ne vous y êtes pas opposé, vous communiquer nos offres commerciales. Les données obligatoires vous sont signalées sur le formulaire par un astérisque. L’accès aux données est strictement limité par Access IT Company aux collaborateurs en charge du traitement de votre demande. Conformément au Règlement européen n°2016/679/UE du 27 avril 2016 sur la protection des données personnelles et à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès, de rectification, d’effacement, de portabilité et de limitation du traitement des donnés vous concernant ainsi que du droit de communiquer des directives sur le sort de vos données après votre mort. Vous avez également la possibilité de vous opposer au traitement des données vous concernant. Vous pouvez exercer vos droits en contactant le DPO à l’adresse suivante : [email protected] ou à l’adresse postale suivante 2, Allée Lavoisier, 59650 Villeneuve d’Ascq. Pour plus d’informations sur le traitement de vos données personnelles par Access IT Company, veuillez consulter notre politique de confidentialité disponible sur notre site internet à l’adresse suivante : https://formation.access-it.fr/politique-de-confidentialite/