Formation Informatique

Qualité et sécurité des applications : sécuriser une application

4-JA-SEA

3 jours, soit 21 heures

Parcours concourant au développement des compétences.
Action de formation réalisée en application des articles L 6313-1 et L 6313-2 du Code du travail.

Si vous êtes en situation de handicap, contactez-nous avant le début de votre formation pour que nous puissions vous orienter efficacement et vous accueillir dans les meilleures conditions.

Objectif(s) de la formation

  • Connaitre les différents types d’attaques (attaques par injection SQL, attaques XSS, attaques CSRF, attaques brute force, …) et les moyens à mettre en œuvre pour s’en prémunir

Prochaines Sessions & délais d'accès

Aucune session programmées actuellement pour cette formation.
Veuillez nous consulter pour plus de renseignements.

Délai d'accès maximum : 2 mois,
sauf intra-entreprise ou spécifique : 4 semaines

Les Pré-requis

  • Cette formation s’adresse aux développeurs souhaitant connaître les différentes techniques de sécurisation d’une application

  • Pour suivre ce stage, il est nécessaire d’avoir une bonne connaissance de la programmation orientée objet et de la programmation d’applications Web

Les Modalités

Modalités de formation et d'évaluation :

  • Formation réalisée en présentiel, à distance ou mixte,
  • Evaluation des acquis tout au long de la formation : QCM, mises en situation, TP, évaluations orales,
  • Toutes nos formations peuvent être organisées dans nos locaux ou sur site,
  • Feuille de présence signée en demi-journée, questionnaires d'évaluation de la satisfaction en fin de stage et 60 jours après, attestation de stage et certificat de réalisation.

Les Moyens Pédagogiques

Les Moyens pédagogiques et méthodes mobilisées :

  • Formateur expert dans le domaine,
  • Mise à disposition d'un ordinateur, support de cours remis à chaque participant, vidéo projecteur, tableau blanc et paperboard,
  • Formation à distance à l'aide du logiciel Teams pour assurer les interactions avec le formateur et les autres stagiaires, l'accès aux supports et aux évaluations,
  • La formation est basée sur une alternance d'apports théoriques et de mises en pratique.

Programme détaillé

1. Concepts de sécurité logicielle

  • Pourquoi sécuriser une application
  • Identifier et comprendre les vulnérabilités de vos applications Attaques « brute-force »
  • Attaques par « déni de services » (DOS - Denial Of Service)
  • Attaques par analyse de trames IP
  • Attaques par « Injection SQL »
  • Attaques « XSS » (Cross site scripting)
  • Attaques « CSRF » (Cross site request forgery)
  • Autres types d’attaques
  • Outils de détection de faille de sécurité
  • Travaux pratiques : tests de ces différents types de problèmes sur une application mal développée et utilisation des outils de détection de faille de sécurité

2. Validation des données entrantes

  • Protection contre les entrées d'utilisateurs nuisibles
  • Utilisation d'expressions régulières
  • Détecter et contrer les « injections SQL »
  • Détecter et contrer les attaques « XSS »
  • Détecter et contrer les attaques « CSRF »
  • Détecter et contrer les attaques « bruteforce »
  • Sécuriser les données en Cookie
  • Protection contre les menaces de déni de service
  • Ne pas présenter à l’utilisateur les détails des erreurs techniques
  • Travaux pratiques : modification du code de l’application initialement proposée pour interdire ces différents types d’attaques

3. Sécuriser les données stockées en base

  • Authentification et Autorisation du SGBDr (Système de Gestion de Base de Données relationnelle)
  • Rôles serveur et rôles de base de données
  • Propriété et séparation utilisateur schéma
  • Chiffrement de données dans la base de données
  • Travaux pratiques : stocker de manière sécurisée les mots de passe en base de données

4. Sécuriser le système de fichier

  • Crypter les données sensibles dans les fichiers de configuration
  • Détecter les tentatives de remplacement des fichiers sources de l’application Signer les fichiers
  • Protéger les informations des fichiers de log

5. Oauth 2.0 et l’authentification au niveau du navigateur

  • Présentation de l'architecture Oauth 2.0
  • Utilisation de l’API Oauth 2.0
  • Travaux pratiques : mise en œuvre de Oauth

6. Sécuriser les échanges de données

  • Modèle de chiffrement
  • Conception orientée flux
  • Configuration du chiffrement
  • Choix d'un algorithme
  • Mettre en œuvre le chiffrage symétrique
  • Mettre en œuvre le chiffrage asymétrique
  • Travaux pratiques : réaliser une communication sécurisée à l’aide d’un certificat

Nos conseillers en formation sont disponibles pour vous recommander les parcours à suivre selon votre niveau et vous proposer des formations sur-mesure.

Une formation pour un applicatif métier, un déploiement national de formation, nous vous orientons dans votre plan de développement des compétences.

VOIR LES FORMATIONS

planifiées en 2022/2023 dans un de nos centres