Formation DevSecOps : Détecter, trier et corriger les vulnérabilités applicatives dans le code et les composants logiciels
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
À l'issue de cette formation DevSecOps, vous aurez acquis les connaissances et compétences nécessaires pour :
- Appréhender la qualification des vulnérabilités logicielles
- Manipuler des outils et services modernes de détection, d’analyse et de remédiation / mitigation
- Être capable de discuter des impacts sur les organisations informatiques
- Connaître les meilleures pratiques et outils pour améliorer la sécurité des applications
| Tarif |
A partir de 2 100,00 € |
| Durée | 3 jours (21h) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
A partir de 2 100,00 € |
| Durée | 3 jours (21h) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Description
Le monde du développement logiciel évolue constamment et avec lui, les défis liés à la sécurité des applications. Dans cette formation DevSecOps, nous allons explorer l'importance croissante de la sécurité dans le cycle de développement et comment elle peut être intégrée efficacement pour détecter, trier et corriger les vulnérabilités.
Nous aborderons des sujets tels que :
- Les principes fondamentaux de DevSecOps et son importance dans le développement moderne
- Les méthodes pour identifier et analyser les vulnérabilités dans le code source et les composants logiciels
- Les stratégies pour prioriser et gérer les vulnérabilités en fonction de leur gravité et de leur impact potentiel
- Les meilleures pratiques et outils pour corriger les vulnérabilités et améliorer la sécurité des applications
Cette formation combine théorie et pratique, avec des études de cas réels, des démonstrations et des exercices pratiques. Notre objectif est de vous fournir les compétences et les connaissances nécessaires pour appliquer les principes de DevSecOps dans votre environnement de travail, améliorant ainsi la sécurité et la robustesse de vos applications.
Programme
Les principes fondamentaux de DevSecOps et l'importance de la sécurité dans le développement moderne
Introduction au DevSecOpsDéfinition et origine : comprendre ce qu'est DevSecOps et comment il évolue à partir des pratiques de DevOpsPrincipes clés : examiner les principes fondamentaux du DevSecOps, comme l'intégration de la sécurité dès le début du cycle de développement
Avantages : discuter des avantages du DevSecOps, notamment la réduction des risques et l'amélioration de la qualité du logicielIntégration de la sécurité dans le cycle de développementSécurité dès la conception : souligner l'importance d'intégrer la sécurité dès les premières phases de la conception
Outils et automatisation : présenter les outils couramment utilisés pour automatiser les tests de sécurité dans les pipelines CI/CD
Collaboration Interfonctionnelle : expliquer comment la collaboration entre les développeurs, les opérations et les équipes de sécurité est essentielle pour réussir le DevSecOpsRappel sur OWASP Top 10Introduction au projet OWASP Top 10, qui répertorie les 10 risques de sécurité les plus critiques pour les applications web. Brève histoire de l'OWASP Top 10 et comment il a évolué au fil des ans pour répondre aux nouvelles menaces.
Les risques de sécurité du Top 10 : Injection SQL, XSS, et autres vulnérabilités : discussion détaillée sur des vulnérabilités courantes comme les injections SQL et les attaques par cross-site scripting (XSS)
Exemples et études de Cas : analyse d'exemples réels d'attaques et de vulnérabilités pour illustrer comment elles se produisent et leurs impactsPrévention et mitigationStratégies de prévention : conseils sur les meilleures pratiques pour prévenir chaque risque listé dans l'OWASP Top 10
Outils et ressources : présentation d'outils et de ressources utiles pour détecter et atténuer les vulnérabilitésApplication de l’OWASP Top 10 dans le cadre DevSecOpsIntégration dans les pipelines CI/CD : comment intégrer la vérification des vulnérabilités du Top 10 dans les pipelines de développement continu
Formation et sensibilisation des Équipes : l'importance de former et de sensibiliser les équipes de développement et de sécurité aux risques du Top 10 et aux meilleures pratiques pour les éviter
Identification et analyse des vulnérabilités dans le code source et les composants logiciels
Comprendre les vulnérabilités dans le code sourceTypes de vulnérabilités : exploration des différentes catégories de vulnérabilités dans le codeExemples et analyse de Code : présentation d'exemples concrets de code vulnérable et analyse de pourquoi et comment ces vulnérabilités se produisent
Utilisation de code source Sûr : discussion sur les pratiques de développement sécurisé, incluant la rédaction de code propre et sécuriséOutils pour détecter les vulnérabilitésScanners de vulnérabilités statiques (SAST) : introduction aux outils SAST, leur fonctionnement, et comment les intégrer dans le processus de développement
Scanners de vulnérabilités dynamiques (DAST) : présentation des outils DAST, leur rôle dans la détection des vulnérabilités au sein d'applications en cours d'exécution
Démos et tutoriels : démonstrations pratiques de l'utilisation de ces outils pour identifier les vulnérabilités
Analyse des composants logiciels
Gestion des dépendances : comprendre l'importance de gérer les dépendances logicielles et les risques liés aux bibliothèques/librairies/packages/images Docker tiersScanners de composants logiciels (SCA) : explication de la façon dont les scanners de composants logiciels aident à détecter les vulnérabilités dans les bibliothèques tierces
Meilleures pratiques : fournir des stratégies pour maintenir les dépendances à jour et sécuriséesTriage des vulnérabilitésPriorisation des risques : enseigner comment évaluer et prioriser les vulnérabilités en fonction de leur gravité et de leur impact potentiel (calcul de CVSS dans ses différentes versions)
Gestion des faux positifs : stratégies pour gérer efficacement les faux positifs souvent générés par les outils de scan de sécurité
Communication et collaboration : importance de la communication entre les équipes de développement et de sécurité pour un triage efficace des vulnérabilitésAteliers pratiquesExercices : séances d’identification et de correction de vulnérabilités dans des exemples de code
Analyse de cas réels : travailler sur des études de cas basées sur des scénarios réels pour appliquer les compétences acquises dans un contexte pratique
Feedback et discussions de groupe : sessions interactives pour discuter des résultats des ateliers, partager des expériences, et apprendre des meilleures pratiques des autres
Stratégies pour prioriser et gérer les vulnérabilités en fonction de leur gravité et impact potentiel
Comprendre la gravité et l'impact des vulnérabilitésÉvaluation des risques : introduction aux méthodes d'évaluation des risques associés aux vulnérabilités, y compris la gravité, l'exploitabilité, et l'impactFrameworks d'évaluation : présentation de cadres d'évaluation standard, tels que le Common Vulnerability Scoring System (CVSS), pour classer et prioriser les vulnérabilitésStratégies de priorisation des vulnérabilitésCritères de priorisation : discussion sur les critères à considérer pour prioriser les vulnérabilités, comme l'exposition, la criticité des systèmes affectés, et la facilité d'exploitation
Planification de la réponse : comment élaborer des plans d'action pour traiter les vulnérabilités en fonction de leur prioritéGestion des vulnérabilitésProcessus de gestion des vulnérabilités : établir un processus systématique pour la gestion des vulnérabilités, de la détection à la résolution
Outils de gestion des vulnérabilités : examiner les outils et plateformes disponibles pour aider à la gestion et au suivi des vulnérabilitésCorrection des vulnérabilitésTechniques de correction : techniques et meilleures pratiques pour corriger efficacement les vulnérabilités, y compris la réécriture du code, la mise à jour des dépendances et la configuration de la sécurité
Tests de non-régression : l'importance des tests post-correction pour s'assurer que les vulnérabilités sont entièrement résolues et que de nouvelles failles n'ont pas été introduitesDocumentation et rapportsDocumentation des vulnérabilités et des corrections : l'importance d'une documentation détaillée pour la traçabilité et la conformité
Rapports de sécurité : créer des rapports de sécurité efficaces pour communiquer les problèmes de vulnérabilités et les actions correctives aux parties prenantesAteliers et études de casExercices pratiques : ateliers pratiques pour appliquer les techniques de correction sur des cas de vulnérabilités réelles ou simulées
Retour d'expérience : analyser les retours d'expérience et les leçons apprises de cas réels de gestion et de correction de vulnérabilités
Meilleures pratiques et outils pour améliorer la sécurité des applications
Intégration de la sécurité dans le cycle de vie du développementDéveloppement sécurisé (Secure Coding) : approfondir les principes du développement sécurisé et comment ils s'intègrent dans le cycle de vie du développement logicielSécurité en tant que culture : encourager une culture de la sécurité au sein des équipes de développement, opérations et sécuritéOutils et technologies de sécurité dans DevSecOpsAutomatisation de la sécurité : présentation des outils et technologies pour automatiser la sécurité dans les pipelines CI/CD
Sélection et mise en œuvre d'outils : conseils pour choisir et implémenter efficacement les outils de sécurité dans le cadre DevSecOps (par exemple génération de SBOM)Patterns/Anti-Patterns, meilleures pratiques de sécuritéSécurité par conception : approfondir les concepts de "Security by Design" et leur application pratique
Gestion des secrets : stratégies pour la gestion sécurisée des secrets, comme les clés API et les mots de passeMonitoring et réponse aux incidentsSurveillance en continu : techniques pour la surveillance continue de la sécurité des applications
Planification et réponse aux incidents : établir des plans de réponse aux incidents de sécurité et pratiquer des simulations d'incidentConformité et normes de sécuritéConformité réglementaire : discussion sur les exigences de conformité liées à la sécurité des applications (comme RGPD, LPM, NIST, DORA …)
Normes et framework : introduction aux normes de sécurité reconnues et à leur application dans le cadre de DevSecOpsAteliers et discussionsScénarios pratiques : mise en pratique des meilleures pratiques à travers des scénarios et ateliers interactifs
Discussions de groupe : échanges sur les défis et solutions liés à l'intégration de la sécurité dans le développement logiciel
Prérequis
Public
Ces formations pourraient vous intéresser
Formation PowerVM sur IBM i - (I) : Implémentation de la Virtualisation et LPAR
Proposé par PLB CONSULTANTObjectifs de la formation
À l'issue de cette formation PowerVM sur IBM i, les participants auront acquis les compétences et connaissances nécessaires pour :
- Décrire les fonctionnalités de PowerVM
- Identifier, décrire et savoir reconnaître les composants matériels des modèles Power System, Flex System et Power Blade
- Identifier les options de virtualisation, les caractéristiques de fiabilité et les points de défaillance pour les serveurs Power Systems
- Implémenter System Planning Tool (SPT) pour la conception ou la mise à jour de votre système
- Expliquer Simultaneous Multithreading (SMT)
- Décrire l'allocation mémoire et les concepts d'affinité
- Comprendre et implémenter l'installation d'IBM i grâce à NFS
- Implémenter et assigner des disques VSCSI sur des partitions en VIOS
- Comprendre et décrire les caractéristiques d'IVM et la fonctionnalité NPIV PowerVM
- Comprendre comment implémenter IBM i sur Power Blades
- Décrire comment configurer les adaptateurs virtuels Fibre Channel sur des partitions Virtual I/O serveur et client
- Comprendre comment utiliser la console graphique HMC et les commandes pour travailler avec WorldWide Port Name (WWPN)
- Identifier les commandes utilisées pour examiner la configuration NPIV.
| Tarif |
A partir de 2 390,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
Plus concrètement, à l'issue de cette formation z/OS UNIX System Services vous aurez acquis les connaissances et compétences nécessaires pour :
- Définir le rôle de z/OS dans un environnement de systèmes ouverts
- Déterminer les conditions d'utilisation de base de l'environnement z/OS UNIX
- Définir les composants de z/OS UNIX
- Connaitre les fonctions principales fournies par z/OS UNIX
- Identifier les possibilités liées aux applications dans un environnement z/OS UNIX
- Utiliser les deux interfaces interactives offertes pour accéder aux services
| Tarif |
A partir de 2 390,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
- Comprendre le rôle central de Maven dans la prise en charge d’un projet Java.
- Créer des projets Java et Java EE utilisant Maven.
- Travailler dans l’arborescence d’un projet Maven en respectant les bonnes pratiques.
- Mettre en œuvre les cycles de vie Maven et les grandes étapes du cycle de vie par défaut.
- Paramétrer les principaux plugins de Maven.
- Utiliser Maven avec un gestionnaire de code source tel que Git.
- Gérer les dépendances logicielles.
- Compiler du code Java et exécuter des tests logiciels avec Maven.
- Produire des livrables et les déployer sur un serveur d’applications.
- Générer et publier la documentation des projets.
| Tarif |
Contacter l'organisme |
| Durée |
2j / 14h |
| Modes |
|
Microsoft 365 – Utilisation pratique des outils (Office Online, OneDrive, OneNote, Teams, SharePoint Online, Planner, Yammer, Forms)
Proposé par ENI ServiceObjectifs de la formation
- Se connecter et identifier les composants de Microsoft 365
- Créer et stocker des fichiers pour un usage collaboratif avec OneDrive et utiliser les fonctionnalités spécifiques des applications Office Online (Word, Excel et PowerPoint)
- Partager un bloc-notes numérique OneNote
- Gérer une équipe et ses fichiers. Communiquer et créer des réunions en ligne au travers de l'application Teams.
- Utiliser l'outil de gestion des tâches Planner pour mieux répartir le travail d'une équipe
- Mettre en place des listes et des bibliothèques de fichiers pour un usage collaboratif avec SharePoint Online
- Réaliser des enquêtes et des formulaires pertinents avec Forms
| Tarif |
A partir de 600,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
- Identifier les concepts et principes de l’automatisation
- Appréhender le fonctionnement de Puppet
- Installer et configurer Puppet
- Déployer des logiciels et leur configuration
| Tarif |
A partir de 1 590,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
- Connaître les rudiments de la sécurité informatique
- Comprendre les concepts de base de la sécurité informatique en entreprise
- Connaître le droit des T.I.C. et la sécurité en Europe
- Comprendre comment détecter les situations à risques
- Acquérir les bases de la sécurité réseau et la cryptographie
- Identifier les méthodes et techniques pour intégrer la sécurité au sein des projets
| Tarif |
A partir de 800,00 € |
| Durée |
1 jour |
| Modes |
|
Objectifs de la formation
D’ici 2020, Gartner estime que plus de 80% des accès utilisateurs aux applications d’entreprises se feront via les mobiles. Le mobile est un univers différent et les entreprises font donc face à un véritable challenge pour sécuriser les applications mobiles et les données éventuellement de grande valeur qui y sont associées. Le développement mobile reste assez neuf et les développeurs peuvent être tentés de se consacrer au fonctionnel et à l’ergonomie sans intégrer dès la conception la dimension sécurité.
Cette formation sur la sécurité des applications mobiles vise à vous présenter dans un premier temps le panorama des vulnérabilités et des solutions spécifiques aux plates-formes mobiles. Ensuite différents chapitres sur les logiciels de gestion de flotte mobile au niveau matériel (MDM, Mobile Device Management), applicatif (MAM, Mobile Application Management), et contenu (MCM, Mobile Content Management) vous permettront de disposer d’un échantillon très précis de solutions pour sécuriser votre flotte mobile.
Enfin, et c’est incontournable vu le thème de la formation, nous abordons les risques et solutions liés à l’utilisation d’un équipement personnel dans l’entreprise (BYOD). Parmi les thèmes clefs nous retrouverons les concepts de VPN, firewall, authentification réseaux, cohabitation Wifi/4G/5G, etc. avant de terminer sur les orientations de demain en matière de sécurité mobile. A la fin de cette formation vous serez capable d’auditer la sécurité d’une architecture mobile existante et de proposer des solutions.
| Tarif |
A partir de 1 770,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
- Comprendre les exigences règlementaires liées à la mise en place d’un système de management de la qualité
- Disposer d’une méthodologie de conduite d’une démarche qualité en imagerie médicale et médecine nucléaire
- Etablir les dispositions requises et construire un système qualité
- Piloter, gérer et manager un système qualité
- Gérer le système qualité mis en place
- Présenter les exigences qualité en en donnant une interprétation pragmatique accompagnée d’exemples concrets, mises en situation et jeux de rôle
| Tarif |
A partir de 2 900,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
À l'issue de cette formation Administrer un serveur Windows, vous aurez acquis les connaissances et les compétences nécessaires pour :
- Configurer un serveur dans un contexte d’entreprise (réseau, rôles, AD)
- Partager les données de façon sécuriser en respectant les bonnes pratiques (groupes locaux, globaux, clichés)
- Gérer des VM Hyper-V (création, accès à distance, cycle de vie)
- Installer une application ou un site WEB sous IIS avec certificats (https)
- Sauvegarder/restaurer une base SQL Server (automatisation, base miroir)
- Savoir lire un script PowerShell et l’exécuter
| Tarif |
A partir de 2 790,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
- Créer une base de données
- Développer les composants d'accès aux données
- Développer la partie back-end d'une application web ou web mobile
- Élaborer et mettre en œuvre des composants dans une application de gestion de contenu ou e-commerce
| Tarif |
Contacter l'organisme |
| Durée |
86j / 602h |
| Modes |
|
