Sécurité applicative Java
Public admis
- Salarié en Poste
- Demandeur d'emploi
- Entreprise
- Etudiant
Financements
Eligible CPF Votre OPCO Financement personnel
Objectifs de la formation
A l'issue de cette formation, vous serez capable de :
- Reconnaître les mécanismes de sécurité du JDK (Java Development Kit)
- Décrire les principales failles de sécurité applicative
- Distinguer la sécurité applicative de la sécurité système et réseau
- Mettre en oeuvre les principales stratégies de sécurité en Java
- Utiliser JCE (Java Cryptography Extension)
- Authentifier et autoriser l'accès aux composants Java EE
- Créer des tests visant à éprouver la sécurité des applications
- Formuler des exigences de sécurité aux autres corps de métiers.
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
| Tarif |
A partir de 2 010,00 € |
| Durée | 3 jours (21h00) |
| Modes |
|
| Sessions | |
| Lieux | Partout en France |
Programme
Jour 1
Rappels sur la sécurité applicative
- Fonctionnement de la pile d'exécution
- L'analyse de code
- L'hijacking de ressources
- Les overflows
- Les protections lors de l'exécution
La sécurité des plateformes Java
- La sécurité de Java SE / ME / FX
- Le Java Class Loader
- Le Security Manager
- L'Access Controller
- Le Sandboxing
- Implémentation de la Default Policy
- La Policy File Syntax
- Contenu du Package java.security
Le chiffrement avec Java
- Rappel des bases du chiffrement
- Les fonctions de hash
- Les algorithmes symétriques type AES
- Les algorithmes asymétriques type RSA
- La librairie JCE (Java Cryptography Extension)
- La classe Cipher
- Générer des clés
- Générer des certificats
Exemples de travaux pratiques (à titre indicatif)
- Création d'un outil de chiffrement / déchiffrement symétrique
- Création d'un outil de vérification de l'intégrité de contenu d'un répertoire
Jour 2
La sécurité avec Java EE
- La sécurité de Java EE
- L'HTTPS avec JSSE (Java Secure Socket Extension)
- Gestion de l'authentification Web
- Exploitation des HTTP basic et HTTP form
- Utilisation du module JAAS (Java Authentication and Authorization Service)
- Utilisation du module LoginModule
- Définition des rôles et domaines
- Les fichiers .policy
- Créer des permissions avec Java Security Permission
- La protection des URL
- La protection des méthodes
- Les annotations de sécurité
- La sécurité programmatique de Java EE
Exemples de travaux pratiques (à titre indicatif)
- Mise en place d'une PKI
- Création d'un formulaire d'authentification
Tester les failles d'une application
- Anatomie d'une faille applicative
- Présentation de l'OWASP et de ses projets
- Les Security Cheat Sheets
- Le Top 10
- Les guides de l'OWASP (Test Guide, Dev Guide...)
- L'ASVS (Application Security Verification Standard)
- Les grandes familles de vulnérabilités
- Les CVE (Common Vulnerabilities and Exposures)
- Les CWE (Common Weakness Enumerations)
- Le scoring CVSS (Common Vulnerability Scoring System)
Exemples de travaux pratiques (à titre indicatif)
- Installation de WebGoat et ESAPI
- Estimation de la vunérabilité d'un produit commercial
Jour 3
Exemples de travaux pratiques (à titre indicatif) - Suite
- Exploitation :
- D'une injection d'entête HTTP
- D'une injection SQL
- D'une Cross-Site Scripting
- D'une Cross-Site Request Forgery
- D'une Server-Side Request Forgery
- D'un vol de session
- D'une désérialisation
- D'une référence directe à un objet
La sécurité du code externe
- Le cas des librairies
- Le cas des API
- La sécurité dans les API JDBC, JNDI, JTA, JMS et JCA
La sécurité des WebServices
- La sécurité des WebServices SOAP
- Utilisation de WS-Security avec WSS4J et XWSS
- Utilisation de WS-Policy
- La sécurité des WebServices REST
- Utilisation de JAX-RS
- Utilisation de OAuth 1.0 et 2.0
Mettre en place du Secure Code
- Durcir son application avec l'OWASP ASVS et l'OWASP Dev Guide
- Les bonnes pratiques de sécurisation du code
- La protection du bytecode
- Se protéger de la décompilation
- L'obfuscation du code
- Les descripteurs de déploiement XML
- L'authentification des conteneurs Web et EJB
- Les contrôles dynamiques
- Faire des tests et des validations
- Les tools des navigateurs
- La capture via proxy
- La capture via tcpdump ou Wireshark
- Les tests avec Postman
- Les vulnerability scanners
- Le DAST (Dynamic Application Security Testing)
- Le SAST (Static Application Security Testing)
- Sonatype Nexus
- Acunetix
- Contrast Security
- Filtrer les échanges
- Les WAF (Web Application Firewalls)
- Les IPS (Intrusion Prevention System) et les IDS (Intrusion Detection System)
- Limiter l'exposition
- Rôle des firewalls, proxies et DMZ
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Prérequis
Public
Ces formations pourraient vous intéresser
Objectifs de la formation
- S'approprier les concepts, les responsabilités, et les avantages liés à la sécurité du Cloud AWS
- Connaître les fonctions de gestion et de contrôle des accès intégrées à AWS
- Comprendre les méthodes de chiffrement des données au repos et en transit
- Être en mesure de sécuriser l'accès réseau aux ressources AWS
- Déterminer quels services AWS utiliser pour la journalisation et la surveillance de sécurité
| Tarif |
A partir de 750,00 € |
| Durée |
1 jour |
| Modes |
|
Objectifs de la formation
- Pendant la formation, le formateur évalue la progression pédagogique des participants via des QCM, des mises en situation et des travaux pratiques. Les participants passent un test de positionnement avant et après la formation pour valider leurs compétences acquises.
| Tarif |
Contacter l'organisme |
| Durée |
14 jours (98 heures) |
| Modes |
|
Formation Cisco CCNA : Mettre en œuvre et administrer des solutions Cisco (cours officiel)
Proposé par PLB CONSULTANTObjectifs de la formation
À l'issue de cette formation Cisco CCNA vous aurez acquis les connaissances et les compétences nécessaires pour :
- Acquérir les connaissances et les compétences nécessaires pour installer, configurer et exploiter un réseau de petite et moyenne taille
- Acquérir des connaissances de base dans les domaines essentiels du réseautage, de la sécurité et de l'automatisation
- Vous préparer à l'examen CCNA 200-301, qui permet d'obtenir la certification CCNA
| Tarif |
A partir de 3 990,00 € |
| Durée |
5j / 35h |
| Modes |
|
Objectifs de la formation
- Exécuter en toute sécurité des travaux électriques sur des installations et équipements électriques basse tension
- Gérer et appliquer la réglementation selon la norme NF C 18-510
- Maintenir son habilitation électrique initiale
| Tarif |
A partir de 1 390,00 € |
| Durée |
2j / 11h |
| Modes |
|
Objectifs de la formation
- Mieux appréhender l’ensemble des risques liés à l’usage de batteries à différents stades du cycle de vie.
- Connaître les barrières de sécurité permettant de réduire le risque et les techniques d’intervention.
| Tarif |
A partir de 1 350,00 € |
| Durée |
1.5 jours (10.5 heures) |
| Modes |
|
Objectifs de la formation
- Acquérir une compréhension approfondie des principes de base en gestion des incidents de sécurité de l'information, essentiels pour la mise en œuvre efficace des stratégies de réponse aux incidents
- Appréhender les liens et interactions entre la norme ISO/IEC 27035 et d'autres normes et cadres réglementaires, pour assurer une conformité optimale et une intégration harmonieuse des politiques de sécurité
- Comprendre l'approche basée sur les processus pour gérer les incidents de sécurité de l'information de manière systématique et efficace, afin de minimiser les impacts et de garantir la continuité des opérations
| Tarif |
A partir de 1 900,00 € |
| Durée |
2 jours |
| Modes |
|
Formation AWS : Notions Essentielles sur le Cloud d'Amazon Web Services (cours officiel)
Proposé par PLB CONSULTANTObjectifs de la formation
À l'issue de cette formation AWS Cloud d'Amazon Web Services, vous aurez acquis les connaissances et compétences nécessaires pour :
- Définir ce qu'est le cloud AWS et l'infrastructure globale de base
- Décrire les services clés de la plate-forme AWS et leurs cas d'utilisation courants
- Décrire les principes architecturaux de base du cloud AWS
- Décrire les aspects sécurité et conformité de base de la plate-forme AWS et le modèle de sécurité partagé
- Définir les modèles de facturation, de gestion de compte et de tarification
- Identifier les sources de documentation ou d'assistance technique (livres blancs, billets d'assistance).
- Décrire la proposition de valeur du cloud AWS
- Décrire les caractéristiques de base/essentielles du déploiement et de l'exécution dans le cloud AWS
| Tarif |
A partir de 810,00 € |
| Durée |
1j / 7h |
| Modes |
|
Formation Certification Stormshield Network Troubleshooting & Support - CSNTS (cours officiel)
Proposé par PLB CONSULTANTObjectifs de la formation
Concrètement, à l’issue de cette formation Stormshield CSNTS, et après une révision des connaissances de base, vous serez capable de :
- Connaître l'organisation d'un système de fichiers et les démons et processus d’une appliance Stormshield Network
- Localiser, explorer et manipuler les différents fichiers de configuration et de journalisation des activités (logs)
- Distinguer des particularités et anomalies dans une configuration réseau et routage
- Réaliser et étudier des captures de trafic réseaux
- Étudier une politique de sécurité et en identifier les directives générales ainsi que les paramètres particuliers
- Identifier les traitements appliqués aux connexions en cours
- Produire un relevé d'informations adapté, complet et exploitable pour l'établissement d'un diagnostic
- Configurer des politiques de tunnels VPN IPSec
- Identifier les mécanismes activés et en diagnostiquer les dysfonctionnements
- Analyser et diagnostiquer une configuration en haute disponibilité
Attention : les dates affichées correspondent à des sessions de formations se déroulant à Lille, ou à distance.
| Tarif |
A partir de 3 950,00 € |
| Durée |
4j / 28h |
| Modes |
|
Blended-learning : Recyclage habilitation à la conduite et à la maintenance d’autoclaves (conformément à l'arrêté ministériel du 20 novembre 2017)
Proposé par APAVE EXPLOITATION FRANCEObjectifs de la formation
Les objectifs de la formation Blended-learning : Recyclage habilitation à la conduite et à la maintenance d’autoclaves (conformément à l'arrêté ministériel du 20 novembre 2017) :
- Conduire un autoclave et intervenir en sécurité lors des opérations de maintenance
| Tarif |
A partir de 815,00 € |
| Durée |
5 heures - 1,5 h E-learning + 3,5 h TP |
| Modes |
|
Objectifs de la formation
- Connaître les failles et les menaces des systèmes d’information
- Maîtriser le rôle des divers équipements de sécurité
- Mettre en œuvre les principaux moyens de sécurisation des réseaux
| Tarif |
Contacter l'organisme |
| Durée |
3j / 21h |
| Modes |
|
