Formation Développement web sécuriséConnaître les principales attaques, écrire du code plus sûr

Objectifs

Malgré des systèmes et des réseaux de mieux en mieux sécurisés, les applications et les bases de données sont régulièrement la cible des attaques de hackers. A travers de très nombreux exemples pratiques, cette formation permet d'acquérir les bonnes pratiques de développement sécurisé.

Un atelier "Google Gruyere" permet de connaître les principales attaques sur le Web et la manière concrète d'écrire du code plus sûr. Au terme de cette formation, les participants auront acquis une vue d'ensemble des aspects du développement sécurisé.

A qui s'adresse cette formation ?

Toute personne impliquée dans la définition, le développement, la mise en oeuvre ou l'audit d'une application web. La formation s'adresse aussi aux managers informatiques souhaitant connaître les fondamentaux du développement sécurisé.

Programme

Premier jour

1. Les fondamentaux

• La menace : attaque d'un système d'information
• Attaque d'un système (serveur)
• Attaque d'une application Web
• Attaque du maillon humain : le social engineering
• Contraintes réglementaires et légales
• Les principes de base du développement sécurisé
• PDCA : Plan - Do - Check - Act
• Gestion de projet et cycle de vie d'une application sécurisée

Deuxième jour

2. Atelier "Google Gruyère"

• Utiliser le système d'authentification unifié
• Avoir conscience de ses droits et privilèges élevés
  - Social engineering
  
• Éviter la configuration par défaut
• Prévoir et gérer les erreurs et cas particuliers
• Exemple du firewall qui tombe "open"
• Contrôler les entrées / sorties utilisateur
• Principe du privilège minimal
• Logs et traces : qui, quoi, quand, comment, pendant combien de temps

Troisième jour

3. Atelier "Google Gruyere" (suite)

• Sécurité dans l'accès à l'environnement de production
• Conception et design sécurisés d'une application
• Vérification des entrées / sorties
• Overflows (buffer, heap, format string)
• Fonctions dangereuses
• Dénis de services applicatifs
• Dépassement de la capacité prévue
• Blocage de compte
• Gestion des répertoires - commentaires
• Durcissement des serveurs web
• Développement des applications : erreurs de conception - erreurs d'implémentation

Formateur

Cette formation est animée par Dominique Jouniot .

Il est expert en sécurité informatique, ancien directeur international de la sécurité du Bureau Veritas, Lead Auditor 27001 et expert en analyse des risques (EBIOS). Il a mené de nombreux audits de sécurité auprès de grands groupes et administrations.