Sécurité Applicative

La sécurité de l'information est un processus visant à protéger des données contre l'accès, l'utilisation, la diffusion, la destruction ou la modification non autorisée. Les applications se doivent d’être sécurisées afin d’éviter les risques allant de l’indisponibilité de services jusqu’à la fraude. Face à ces nouveaux enjeux, les équipes de développement doivent maîtriser la sécurité de leurs applications.

Objectifs pédagogiques

Les objectifs pour un candidat ayant suivi cette formation sont :

• Avoir les connaissances nécessaires pour renforcer la sécurité de l’application (sécurité défensive).
• Mieux appréhender les techniques des attaquants (sécurité offensive).

Public concerné

• Toute personne concernée par la sécurité des applications. 
• Développeur, Administrateur, Architecte, Ops, Testeur.

Prérequis

• Pratique des langages de développement Web (HTML, JavaScript, SQL).
• Connaissance du protocole HTTP.
• Idéalement la connaissance d'un framework front de type Angular, React …

Programme de la formation

Principes de développent logiciels

• Introduction. 
• Des Exemples réels.
• C’est quoi une vulnérabilité ? 
• Sécurité des SI : les impacts .
• Normes Vs Méthodes.
• Intégrer la sécurité plus tôt dans le cycle de développement. 
• La sécurité applicative ?
• Quels sont les risques de sécurité des applications ?
• Comment trouver les vulnérabilités avant les pirates ?
• Comment peut-on sécuriser le SDLC ?
• • Quelques Framework développement de logiciels sécurisés. 
  • Focus sur la phase de développement et codage.
  • Erreurs de développement menant à des vulnérabilités applicatives. 
• Principes du code SOLID.

Sécurisé par conception

• Défense en profondeur.
• Principe de moindre privilège.
• Diminuer la surface d'attaque.
• Ségrégation des tâches (ou Separation of duties).
• Échec en toute sécurité (ou Fail securely).
• Eviter la sécurité par l'obscurité.
• Programmation défensive.

Vulnérabilités courantes des applications et comment se protéger ? 

Les attaques par injection 

• Présentation du problème. 
• Les différentes formes d’attaque par injection.
• •Ateliers.  
• • Injections.  
  • XSS.
  • XXE.

• SQL vs ORM.
• La sécurité des Web services et des APIs.

Authentification 

• Les principales attaques sur les authentifications.
• Les mécanismes d’authentification des utilisateurs.
• Mécanisme de sécurité et sécurité des mécanismes d’authentification.
• Ateliers 
• • Illustration et scénarios d’attaque.  
  • Comment se protéger : les contres mesures.

Contrôle d'accès et Gestion des droits

• Quel est le problème ?
• Comment détecter. 
• Ateliers
• • Scénarios d’attaque.
  • Actions correctives possibles.
• Contrôle d'accès à base de rôles.

Protection des données

• Avec quel prix?
• Intégrité et confidentialité des données.  
• Ateliers
• • Exemple et Illustration.  
  • Solutions. 
  • Bonnes pratiques.

Comment une journalisation et une surveillance insuffisantes affectent-elles les entreprises ?

• Présentation du problème.
• Atelier
• • Exemples de scénarios d'attaque.
  • Mesures préventives.

Composants tiers vulnérables

• Principe. 
• Comment détecter. 
• Impacts techniques et métier.
• Atelier 
• • Illustration et scénarios d’attaque.  
  • Comment se protéger à moindre coût. 
• Comment se protéger: les contres mesures.

Configuration non sécurisée des serveurs, applications, base de données ou Framework.

• Quel problème ?
• Atelier
• • Scénarios d’attaques.
  • Solutions possibles.

Autres vulnérabilités 

• Présentation générale, scénarios d’attaque et solutions possibles.

La Sécurité Intégrée

• Les tests sécurité dans le cycle de vie.
• Les audits de sécurité en production.
• L’approche OWASP pour intégrer la sécurité dans le cycle de développement.
• Le Framework SKF de l’OWASP.

Moyens pédagogiques

• Exercices pratiques : Atelier