Sécurité applicative : intégrer la sécurité dès la conception (Secure by Design)

Jour 1

Présentation de la démarche de Secure Coding

Secure by Design

• Présentation des 10 principes de sécurité pour concevoir une application sécurisée
• Challenge offensif en équipe pour simuler une attaque applicative

Sécurité du Web : présentation des mécanismes de sécurité des navigateurs Web

• SOP (Same Origin Policy)
• CORS (Cross-Origin Resource Sharing)
• CSP (Content Security Policy)

Revue du top 10 OWASP (Open Web Application Security Project)

Exemples de travaux pratiques (à titre indicatif)

• Mise en pratique des principales attaques avec une application volontairement vulnérable
• Les participants doivent, de manière collaborative, exploiter la faille puis en identifier la cause pour ensuite la corriger
• Attaque XSS (Cross Site Scripting)
• Attaque SSTI (Server Side Templating Injection)
• Attaque REDOS (Regular Expression Denial Of Service)

Jour 2

Exemples de travaux pratiques (à titre indicatif) - Suite

• Mise en pratique des principales attaques (suite du jour 1)
• Attaque IDOR (Insecure Direct Object Reference)
• Attaque Mass Assignment
• Attaque SQL injection
• Attaque CSRF (Cross Site Request Forgery)

Bonnes pratiques de sécurité

• Mesures de protection contre les "Bot" (Captcha)
• Sécurité des cookies
• Protocole HTTPS : paramètres TLS et entêtes HTTP

Exemple de travaux pratiques (à titre indicatif)

• Mise en pratique au travers d'un atelier de Secure Coding pour définir sa stratégie de sécurité applicative
• Identification d'un plan d'action post formation

Synthèse et partage des retours sur la formation

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• Tout au long de la formation, au travers d'ateliers et de mises en pratique