Défense des applications Web

Jour 1

Introduction au DevSecOps

• Introduction au DevSecOps
• Rôle de la sécurité dans le cycle de développement
• Méthodologie DevSecOps
• Principes de sécurité dans le développement

Préparation et sécurisation de l'environnement de développement

• Configuration d'un environnement de développement sécurisé
• Utilisation d'outils de sécurité pour l'analyse statique du code
• Intégration de l'authentification forte et de la gestion des accès

Exemples de travaux pratiques (à titre indicatif)

• Configurer un environnement de développement sécurisé en utilisant des outils tels que Docker avec des images préconfigurées pour la sécurité
• Effectuer une analyse statique du code à l'aide d'un outil comme SonarQube

Jour 2

Détection de vulnérabilités

• Méthodes de détection des vulnérabilités dans le code
• Utilisation d'outils de test d'intrusion automatisés
• Analyses dynamiques de sécurité

Exemples de travaux pratiques (à titre indicatif)

• Les participants utilisent un outil de test d'intrusion automatisé tel qu'OWASP ZAP pour scanner une application Web factice à la recherche de vulnérabilités
• Ils analysent ensuite les résultats et proposent des solutions pour corriger les problèmes identifiés

Mise en place de contre-mesures

• Sécurisation de l'authentification et de l'autorisation
• Gestion des sessions sécurisées
• Validation et filtrage des données en entrée

Exemples de travaux pratiques (à titre indicatif)

• Mettre en place une authentification forte (par exemple, l'utilisation de l'authentification à deux facteurs) pour une application Web de démonstration
• Discuter des avantages et des inconvénients de différentes méthodes d'authentification

Jour 3

Mise en place de contre-mesures - Suite

• Protection contre les attaques XSS (Cross-Site Scripting)
• Prévention des attaques CSRF (Cross-Site Request Forgery)
• Utilisation de CSP (Content Security Policy) pour limiter les risques

Exemples de travaux pratiques (à titre indicatif)

• Travailler une application Web vulnérable aux attaques XSS et CSRF...
• Mettre en place des contre-mesures appropriées, telles que l'utilisation de balises de sécurité, de jetons anti-CSRF, et de Content Security Policy (CSP)

Intégration de la sécurité dans les flux DevOps

• Intégration de la sécurité dans les pipelines DevOps
• Automatisation des tests de sécurité
• Utilisation de ressources et guides de sécurité, y compris l'OWASP Top Ten
• Scénarios pratiques de sécurisation des applications Web dans un environnement DevSecOps

Exemples de travaux pratiques (à titre indicatif)

• Mettre en place un pipeline DevOps pour une application Web, en intégrant des tests de sécurité automatisés à chaque étape du processus de développement
• Utiliser les ressources de l'OWASP Top Ten pour identifier et corriger les vulnérabilités

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• En cours de formation, par des études de cas ou des travaux pratiques
• Et, en fin de formation, par un questionnaire d'auto-évaluation