Avec l’explosion du digital qui a multiplié les opportunités de développement, la sécurité dans la réalisation de logiciels est devenue un enjeu majeur pour les entreprises. Cette formation très riche vous apprendra méthodes et solutions nécessaires permettant d’assurer et tester la sécurité dans vos développements.
Inter
Intra
Sur mesure
Cours pratique en présentiel ou en classe à distance
Formation dans vos locaux, chez nous ou à distance
Réf. APD
2j - 14h
Vous souhaitez transposer cette formation, sans modification, pour votre entreprise ?
Formation à la carte
Vous souhaitez une formation adaptée aux spécificités de votre entreprise et de vos équipes ? Nos experts construisent votre formation sur mesure !
Avec l’explosion du digital qui a multiplié les opportunités de développement, la sécurité dans la réalisation de logiciels est devenue un enjeu majeur pour les entreprises. Cette formation très riche vous apprendra méthodes et solutions nécessaires permettant d’assurer et tester la sécurité dans vos développements.
Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
Maîtriser le modèle de maturité pour le développement d’applications sécurisées OpenSAMM
Savoir réaliser une analyse de la sécurité du logiciel audité
Identifier les parties essentielles du code source à vérifier
Tester la sécurité des applications
Public concerné
Développeurs, architectes applicatifs, chefs de projets amenés à sécuriser des applications.
Prérequis
Connaître le guide d’hygiène sécurité de l’ANSSI. Avoir suivi le parcours introductif à la cybersécurité. Connaissance d’un langage de programmation.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisantce test.
Programme de la formation
Introduction
Qu’est-ce que la sécurisation du code ?
Les acteurs de la sécurité : le CERT, l’OWASP, Le BSIMM…
Quels sont les risques liés au développement d’une application ?
Les traces laissées par les développeurs : mémoire, journaux…
Qu’est-ce que le codage sécurisé d’une application ?
Les types d’attaques.
La sécurité des applications avec OpenSAMM
Le modèle de maturité pour le développement d’applications sécurisées.
Les 4 niveaux de maturité.
Niveau implicite de départ.
Compréhension initiale et mise en place de pratiques de sécurité.
Amélioration de l’efficacité/efficience des pratiques de sécurité.
Maîtrise complète des pratiques de sécurité.
Mise en place d’OpenSAMM
Préparer.
Evaluer.
Définir la cible souhaitée.
Définir le plan.
Mettre en place.
Mettre à disposition.
Travaux pratiques
Calcul du niveau de maturité d’une organisation.
Introduction à BSIMM
Qu’est-ce que le BSIMM (Building Security In Maturity Model) ?
Constituer une base solide pour le développement d’une application.
Les bonnes pratiques.
Analyse de la sécurité de l’application auditée.
Identifier les parties critiques de son code.
Définir le périmètre de l’audit et se limiter aux parties critiques.
Les parties essentielles du code source à vérifier
Identifier les parties du code source essentielles à vérifier.
Les mécanismes d’authentification et cryptographiques.
La gestion des utilisateurs.
Le contrôle d’accès aux ressources.
Les mécanismes d’interactions avec d’autres applications.
L’accès aux bases de données.
La conformité des exigences de sécurité établies pour l’application.
Travaux pratiques
Exemple d’identification des parties du code source essentielles à vérifier.
Tester la sécurité des applications
Identifier les parties du code source essentielles à vérifier.
Les processus projet et les tests.
L'approche globale.
Le plan de test et ses déclinaisons. La stratégie de test.
L'approche par les risques. L'estimation.
Travaux pratiques
Exemple de test d’une application.
Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.
Avis clients
4 / 5
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
STÉPHANE P.
30/10/23
4 / 5
Très compliqué quand on ne connait pas LInux de faire correctement les exercices malgré toute la bonne volonté du formateurle temps ne le permet pas.
Au final ce n’est pas très grave quand on veut une vision globale du sujet. Cependant, dans ce cadre une seule journée aurait pu suffire.
Merci à l’intervenant.
Bien cordialement.
Stéphane Pin
JULIEN B.
30/10/23
4 / 5
Partie théorique interessante, notamment sur openSAMM.
FLORENT S.
21/09/23
5 / 5
Contenu très intéressant que je pourrai appliquer dans mon contexte pro. Pour des profils purement développeurs, les parties sur OpenSAMM et BSIMM pourraient être raccourcies pour passer plus de temps sur l’analyse de sécurité, les parties du code source à vérifier et les tests de sécurité.
MARJOLAINE N.
11/09/23
5 / 5
Formation très intéressante et riche.
Formateur vraiment bien.
Temps de formation un peu court. Gagnerait à être sur 3 jours (pour que la partie 2 soit plus développée)
OLIVIER Z.
11/09/23
4 / 5
Sujets traités qui répondent à mes attentes, formateur intéressant malgré la difficulté de créer des interactions inhérente aux formations à distance.
NICOLAS M.
11/09/23
3 / 5
J’espérais un contenu + technique et + orienté sur l’aspect "comment se prémunir des problèmes de sécurité" (guides de bonnes pratiques, ...)
ANTOINE C.
11/09/23
4 / 5
Un cours riche qui permet d’en apprendre plus sur les démarches de sécurité dans le développement logiciel. Je recommande.
JÉRÔME N.
02/05/23
3 / 5
Voir plus de cas d’usage au lieu d’une liste exhaustive des points à voir et approfondir post formation. Peut-être trop dense sur la durée de la formation, alléger le programme avec plus de mise en pratique permettrai de mieux comprendre et mémorisé les sujets évoqués
Trop axés sur les attaques possibles du code et non sur les pistes d’implémentation pour la protection de son code
SÉBASTIEN D.
21/11/22
4 / 5
La formation est bien et son contenu intéressant il faut juste noter le retard de début de session de 30 minutes sur le début de chaque journée de formation.
ADIL B.
21/11/22
3 / 5
La formation est intéressante mais le contenu est trop technique pour un chef de projet
L’animateur maitrise son sujet mais les lenteurs de l’environnement technique n’aide pas suivre ses instructions
MARIE-HÉLÈNE G.
21/11/22
3 / 5
Cours intéressant mais il devrait plus insister sur la manière d’éviter les vulnérabilités et sur les bonnes pratiques
Exercices trop basés sur l’attaque et pas assez sur la défense
ALEXANDRE A.
21/11/22
5 / 5
Très bonne formation, très bonne animation du formateur.
AMADOU B.
21/11/22
4 / 5
Maitrise bien son sujet.
Attention à la ponctualité
MARK E.
21/11/22
4 / 5
dommage pour les deux retards du formateur (30 mn et 45 mn)
JEAN P.
21/11/22
4 / 5
Bonne approche des différents points, mais niveau trop différents des différents "élèves" ce qui entraine des temps d’attente très long sur des exercices qui devraient être simple.
On en est à des gens qui n’arrivent pas à saisir un mot de passe.....
LYAZID K.
29/08/22
4 / 5
Formateur disponible et compétent, contenu très riche, manque de TPs documentés que l’on peut refaire après la formation.
MESNARD PIERRE-MARIE D.
25/08/22
4 / 5
Contenu intéressant, pourrait être approfondi sur la partie code
LANDRY Y.
25/08/22
5 / 5
Très clair et compréhensible
ROMAIN M.
09/05/22
4 / 5
Je pense uniquement que 2 jours pour moi n’est pas suffisant pour pouvoir approfondir tous les sujets, mais sinon tout a été abordé
MATTHIEU B.
09/05/22
4 / 5
J’ai préféré la partie pratique à la partie théorique/gestion de projet
HUBERT B.
09/05/22
4 / 5
Si on met de côté le retard le matin et le long blabla d’intro, c’était parfait.
FLORENT S.
09/05/22
4 / 5
Manquerait un 3e jour ou une demi-journée en plus pour la pratique.
Trop de temps passé sur les injections SQL à mon goût le 2e jour
GUILLAUME G.
09/05/22
4 / 5
Bonne animation de la formation
Explications claires
Retour d’expérience
Intérêt des exercices pratiques
Maitrise du sujet, sauf sur la partie Windows
GÉRARD S.
09/05/22
5 / 5
Un peu plus d’exercices afin de couvrir plus de type d’attaque