Introduction
- Présentation des normes et efforts de standardisation.
- Importance de la sécurité du développement.
- RGPD et sécurité du développement.
- Security by design.
- Security by default.
- Les acteurs.
Travaux pratiques
Quiz.
Méthodologies
- Principes SecDevOps.
- Architectures associées.
- DREAD et STRIDE.
- SSDLC.
- BSSIM.
- OWASP.
- Analyse de risques.
Travaux pratiques
Réalisation d’une analyse de risques.
Compréhension des vulnérabilités et exploitations associées
- Typologie des menaces, le top 10 OWASP.
- Failles applicatives.
- Attaques côté client.
- Gestion de session et authentification.
- Failles de configuration.
- Attaques de type DDOS.
- Attaque Buffer-Overflow, XXE.
Travaux pratiques
Etude du top 10 OWASP.
Sécuriser son architecture
- Firewalls n-tier.
- Filtres de requêtes HTTP.
- Rappels algorithmique.
- Autorités de certification.
- Chiffrement de données.
- Protocoles.
Travaux pratiques
Sécurisation d’un serveur, certificat, waf, authentification.
Sécuriser son code
- Protections basiques.
- Usurpation d'identité.
- Se protéger des attaques client.
- Se protéger contre CSRF.
- Sécurité d'accès au SGBD.
- Protections contre les attaques de force brute.
- Liste de contrôle d'accès.
- Cheat cheat.
Travaux pratiques
Protection d’un code vulnérable.
Audits et tests de sécurité
- Les types d’audits.
- Tester la robustesse.
- Apprendre à connaitre son architecture.
- Organiser une veille technologique.
- Tests statiques vs tests dynamiques.
Travaux pratiques
Exercice d'audit, étude de rapports d’audit.
Vue sur la sécurité des applications mobiles
- Composants et contexte.
- Taxonomie des risques.
- Les principales menaces et attaques.
- Principes de sécurisation.
Travaux pratiques
Attaque sur une application Android.
Examen
- Révisions, examen blanc.
- Exaamen.