Sécurité applicative Java
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Reconnaître les mécanismes de sécurité du JDK (Java Development Kit)
- Décrire les principales failles de sécurité applicative
- Distinguer la sécurité applicative de la sécurité système et réseau
- Mettre en oeuvre les principales stratégies de sécurité en Java
- Utiliser JCE (Java Cryptography Extension)
- Authentifier et autoriser l'accès aux composants Java EE
- Créer des tests visant à éprouver la sécurité des applications
- Formuler des exigences de sécurité aux autres corps de métiers.
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Programme
Jour 1
Rappels sur la sécurité applicative
- Fonctionnement de la pile d'exécution
- L'analyse de code
- L'hijacking de ressources
- Les overflows
- Les protections lors de l'exécution
La sécurité des plateformes Java
- La sécurité de Java SE / ME / FX
- Le Java Class Loader
- Le Security Manager
- L'Access Controller
- Le Sandboxing
- Implémentation de la Default Policy
- La Policy File Syntax
- Contenu du Package java.security
Le chiffrement avec Java
- Rappel des bases du chiffrement
- Les fonctions de hash
- Les algorithmes symétriques type AES
- Les algorithmes asymétriques type RSA
- La librairie JCE (Java Cryptography Extension)
- La classe Cipher
- Générer des clés
- Générer des certificats
Exemples de travaux pratiques (à titre indicatif)
- Création d'un outil de chiffrement / déchiffrement symétrique
- Création d'un outil de vérification de l'intégrité de contenu d'un répertoire
Jour 2
La sécurité avec Java EE
- La sécurité de Java EE
- L'HTTPS avec JSSE (Java Secure Socket Extension)
- Gestion de l'authentification Web
- Exploitation des HTTP basic et HTTP form
- Utilisation du module JAAS (Java Authentication and Authorization Service)
- Utilisation du module LoginModule
- Définition des rôles et domaines
- Les fichiers .policy
- Créer des permissions avec Java Security Permission
- La protection des URL
- La protection des méthodes
- Les annotations de sécurité
- La sécurité programmatique de Java EE
Exemples de travaux pratiques (à titre indicatif)
- Mise en place d'une PKI
- Création d'un formulaire d'authentification
Tester les failles d'une application
- Anatomie d'une faille applicative
- Présentation de l'OWASP et de ses projets
- Les Security Cheat Sheets
- Le Top 10
- Les guides de l'OWASP (Test Guide, Dev Guide...)
- L'ASVS (Application Security Verification Standard)
- Les grandes familles de vulnérabilités
- Les CVE (Common Vulnerabilities and Exposures)
- Les CWE (Common Weakness Enumerations)
- Le scoring CVSS (Common Vulnerability Scoring System)
Exemples de travaux pratiques (à titre indicatif)
- Installation de WebGoat et ESAPI
- Estimation de la vunérabilité d'un produit commercial
Jour 3
Exemples de travaux pratiques (à titre indicatif) - Suite
- Exploitation :
- D'une injection d'entête HTTP
- D'une injection SQL
- D'une Cross-Site Scripting
- D'une Cross-Site Request Forgery
- D'une Server-Side Request Forgery
- D'un vol de session
- D'une désérialisation
- D'une référence directe à un objet
La sécurité du code externe
- Le cas des librairies
- Le cas des API
- La sécurité dans les API JDBC, JNDI, JTA, JMS et JCA
La sécurité des WebServices
- La sécurité des WebServices SOAP
- Utilisation de WS-Security avec WSS4J et XWSS
- Utilisation de WS-Policy
- La sécurité des WebServices REST
- Utilisation de JAX-RS
- Utilisation de OAuth 1.0 et 2.0
Mettre en place du Secure Code
- Durcir son application avec l'OWASP ASVS et l'OWASP Dev Guide
- Les bonnes pratiques de sécurisation du code
- La protection du bytecode
- Se protéger de la décompilation
- L'obfuscation du code
- Les descripteurs de déploiement XML
- L'authentification des conteneurs Web et EJB
- Les contrôles dynamiques
- Faire des tests et des validations
- Les tools des navigateurs
- La capture via proxy
- La capture via tcpdump ou Wireshark
- Les tests avec Postman
- Les vulnerability scanners
- Le DAST (Dynamic Application Security Testing)
- Le SAST (Static Application Security Testing)
- Sonatype Nexus
- Acunetix
- Contrast Security
- Filtrer les échanges
- Les WAF (Web Application Firewalls)
- Les IPS (Intrusion Prevention System) et les IDS (Intrusion Detection System)
- Limiter l'exposition
- Rôle des firewalls, proxies et DMZ
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Prérequis
Public
Ces formations pourraient vous intéresser
Réaliser en sécurité la maintenance courante d'un Vélo à Assistance Electrique (VAE)
Proposé par GROUPE LEXOMObjectifs de la formation
- Maîtriser les bases de la maintenance électrique spécifique aux VAE
- Diagnostiquer et résoudre les pannes courantes du système électrique d'un VAE
- Prévenir les pannes pour optimiser la longévité du système électrique d'un VAE
| Tarif |
A partir de 1 390,00 € |
| Durée |
1j / 7h |
| Modes |
|
Objectifs de la formation
Les objectifs de la formation Chef d’équipe SSIAP 2 - module complémentaire :
- Exercer la fonction de SSIAP 2 en prenant en compte les évolutions réglementaires et techniques - Diriger le poste de sécurité lors des sinistres
| Tarif |
A partir de 520,00 € |
| Durée |
4j / 28h |
| Modes |
|
Objectifs de la formation
- Mettre en œuvre une solution de gestion des identités
- Mettre en œuvre une solution d'authentification et de gestion des accès
- Mettre en œuvre la gestion des accès pour les applications
- Planifier et mettre en œuvre une stratégie de gouvernance des identité
| Tarif |
A partir de 2 690,00 € |
| Durée |
4j / 28h |
| Modes |
|
Objectifs de la formation
Tout utilisateur bureautique qui souhaite acquérir les compétences nécessaires pour être autonome avec l’utilisation et la gestion de son PC :
- Gérer des fichiers et des logiciels,
- utiliser les outils de communication
- gérer la sécurité informatique. La formation sera validée par le passage de la certification TOSA DigComp avec objectif le niveau opérationnel.
| Tarif |
Contacter l'organisme |
| Durée |
4 jour(s) |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Identifier les concepts de base de la programmation en Vyper
- Concevoir, coder et déployer des contrats intelligents (smart contracts) en Vyper
- Interpréter les types de données, les structures de contrôle et les fonctions en Vyper
- Déployer et interagir avec des contrats intelligents sur la Blockchain Ethereum
- Décrire la sécurité des contrats intelligents et les bonnes pratiques de développement en Vyper
- Concevoir, mettre en oeuvre et déployer une application Blockchain fonctionnelle.
| Tarif |
A partir de 2 850,00 € |
| Durée |
3j / 21h |
| Modes |
|
Objectifs de la formation
- Identifier les règles essentielles de respect des BPL et de l’ISO 15189
- Adopter le comportement adapté en suivant les consignes de sécurité élémentaires de prévention des risques
- Utiliser les matériels et produits adaptés pour le nettoyage
- Suivre une procédure de nettoyage et désinfection
- Utiliser les auto-contrôles
| Tarif |
A partir de 1 160,00 € |
| Durée |
2j / 14h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Analyser et corriger des problèmes de conformité du système à l'aide d'OpenSCAP et de SCAP Workbench
- Utiliser et adapter le contenu de politiques de référence fourni avec Red Hat Enterprise Linux
- Gérer les activités en lien avec la sécurité sur vos systèmes à l'aide de l'infrastructure d'audit du noyau
- Mettre en oeuvre des techniques SELinux avancées pour restreindre l'accès au niveau des utilisateurs, des processus et des machines virtuelles
- Déterminer l'intégrité des fichiers et leurs permissions avec l'utilitaire AIDE
- Bloquer l'utilisation de périphériques USB non autorisés à l'aide d'USBGuard
- Protéger des données au repos avec déchiffrement automatique sécurisé dès le démarrage avec NBDE
- Identifier des risques et des erreurs de configuration de façon proactive sur les systèmes et correction à l'aide de Red Hat Insights
- Analyser l'état de conformité et corriger à grande échelle à l'aide d'OpenSCAP, de Red Hat Insights, de Red Hat Satellite et de Red Hat Ansible Tower.
| Tarif |
Contacter l'organisme |
| Durée |
5j / 26h |
| Modes |
|
Encadrant technique amiante sous-section 4 formation préalable relevant de l’habilitation Assurance maladie Risques Professionnels/INRS
Proposé par APAVE EXPLOITATION FRANCEObjectifs de la formation
Les objectifs de la formation Encadrant technique amiante sous-section 4 formation préalable relevant de l’habilitation Assurance maladie Risques Professionnels/INRS :
- Identifier les opérations spécifiques de l’activité exercée et les niveaux d’exposition et d’empoussièrement induits - Définir les procédures adaptées aux interventions - Connaître les principes généraux de ventilation et de captage des poussières à la source - Rédiger un mode opératoire sur la base des résultats de l’évaluation des risques, s’intégrant selon les cas dans un plan de prévention ou un Plan Particulier de Sécurité et de Protection de la Santé (PPSPS) et le faire appliquer
| Tarif |
A partir de 1 660,00 € |
| Durée |
5 jours - 35h |
| Modes |
|
Objectifs de la formation
- Exécuter en toute sécurité des opérations d'ordre non électrique dans un environnement présentant des risques électriques
- Manipuler du matériel et outillage de façon adaptée en fonction des risques électriques
- Gérer et appliquer la réglementation selon la norme NF C 18-510
- Maintenir son habilitation électrique initiale
| Tarif |
A partir de 1 390,00 € |
| Durée |
1j / 7h |
| Modes |
|
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Identifier les besoins et les attentes des usagers, les émotions et les besoins personnels, le besoin de sécurité affective en tant que méta besoin
- Expliquer les théories de l'attachement et les concepts de transfert et de contre-transfert
- Evaluer la relation d'aide et la bonne distance professionnelle en comparant les différents positionnements et leurs écueils
- Pratiquer l'écoute active et empathique dans la relation d'aide
- Exprimer vos émotions de manière authentique et constructive
- Utiliser l'écriture comme outil réflexif pour analyser vos pratiques éducatives
- Mettre en oeuvre des stratégies de régulation en appliquant les compétences d'intelligence émotionnelle dans les relations éducatives
- Reconnaître vos propres limites et demander de l'aide lorsque nécessaire en privilégiant une collaboration efficace en équipe dans un contexte éducatif
- Utiliser l'institution éducative comme tiers régulateur des relations d'aide
- Evaluer et ajuster constamment vos pratiques éducatives en fonction des besoins et des émotions des apprenants.
| Tarif |
A partir de 1 100,00 € |
| Durée |
2j / 14h |
| Modes |
|
