Intitulé
Formation au développement sécurisé
Référentiel
Durée
Formateur
2 consultants expérimentés réalisant quotidiennement des tests d’intrusion et des audits de code
Prérequis
Formation ou expérience significative(s) dans le dévelopement web
Public
Objectifs pédagogiques
- Améliorer ou maintenir le niveau de sensibilité des développeurs aux problématiques de sécurité applicative
- Appréhender les meilleures pratiques en termes de développement sécurisé
- Appréhender le point de vue attaquant d’une application web
Compétences visées
- Être en capacité de développer de façon sécurisée
- Être en capacité d’évaluer le risque d’une vulnérabilité dans le code
- Être en capacité d’identifier les données à risque et savoir les protéger
Plan de formation
1. Aspects théoriques
- Introduction courte à l’hygiène sécurité
- Focus sur le TOP 10 de l’OWASP 2021/2023 : faiblesse, attaques, risques, prévention, spécificités des langages utilisés
2. Aspects pratiques
- Démonstration d’attaques et d’exploitation de vulnérabilités Web
- Mise en situation sur les failles du TOP 10 via des exercices et challenges
Focus et questions / réponses
Cas pratiques et quiz
- Conception non sécurisée
- Logiciels obsolètes et vulnérables
- Authentification défaillante
- Défaillances cryptographiques
- Sécurité des objets (rupture de contrôle d’accès)
- Sécurité des objets (sérialization)
- Injection
- Configuration incorrecte de la sécurité
Moyens pédagogiques et techniques d’encadrement
Un support de formation au format PDF, une checklist de bonnes pratiques de développement au format PDF. Un lot d’exercices variés accessibles via une machine virtuelle
Évaluation des stagiaires
Travaux pratiques réels sur l’ensemble de la journée
Suivi de l’exécution de la formation
- Feuille de présence par demi-journée
- Attestation de suivi à l’issue de la formation
Évaluation de la formation et des formateurs
2 questionnaires de satisfaction
Nombre de participants minimal
Nombre de participants maximal