Sécurité applicative : intégrer la sécurité dès la conception (SECAP) - Assimiler les bonnes pratiques de conception et développement d'une application sécurisée

Objectifs

• Concevoir une application “Secure by design”


• Maîtriser les bonnes pratiques de sécurité à toutes les phases de développement


• Identifier les principales failles de sécurité applicative et anticiper les menaces


• Appréhender le déroulement d'une attaque pour mieux la déjouer

Programme de la formation

Jour 1 
PRÉSENTATION DE LA DÉMARCHE DE SECURE CODING 
SECURE BY DESIGN :

• Présentation des 10 principes de sécurité pour concevoir une application sécurisée 


• Challenge offensif en équipe pour simuler une attaque applicative

 
SÉCURITÉ DU WEB : PRÉSENTATION DES MÉCANISMES DE SÉCURITÉ DES NAVIGATEURS WEB

• SOP (Same Origin Policy) 


• CORS (Cross-Origin Resource Sharing)


• CSP (Content Security Policy)

 REVUE DU TOP 10 OWASP (OPEN WEB APPLICATION SECURITY PROJECT)
 
MISE EN PRATIQUE DES PRINCIPALES ATTAQUES AVEC UNE APPLICATION VOLONTAIREMENT VULNÉRABLE.
Les participants doivent, de manière collaborative, exploiter la faille puis en identifier la cause pour ensuite la corriger

• Attaque XSS (Cross Site Scripting)


• Attaque SSTI (Server Side Templating Injection)


• Attaque REDOS (Regular expression Denial of Service)

Jour 2 
MISE EN PRATIQUE DES PRINCIPALES ATTAQUES (SUITE DU JOUR 1)

• Attaque IDOR (Insecure Direct Object Reference)


• Attaque Mass Assignment


• Attaque SQL injection


• Attaque CSRF (Cross Site Request Forgery)

 
BONNES PRATIQUES DE SÉCURITÉ

• Mesures de protection contre les Bot (Captcha)


• Sécurité des Cookies


• Protocole HTTPS: parametres TLS et entêtes  HTTP

 MISE EN PRATIQUE AU TRAVERS D'UN ATELIER DE SECURE CODING POUR DÉFINIR SA STRATÉGIE DE SÉCURITÉ APPLICATIVE

Identification d'un plan d'action post formation

 
SYNTHÈSE ET PARTAGE DES RETOURS SUR LA FORMATION

Validation et sanction

Attestation de formation

Type de formation

Non certifiante

Sortie

Sans niveau spécifique