FC9CS15

Stage inter entreprise

Prix 2020 :

1 500 €

Comment financer sa formation ?

Durée :

2 jour(s)

Prochaine(s) session(s)

  • Du 07/12/2020 au 08/12/2020 à Paris - 1 500 €

Présentation

Cette formation présente, en introduction, le contexte actuel auquel les entreprises font face et les enjeux afférents. Puis, la partie " sécurité des infrastructures d'hébergement " montre les enjeux en tant qu'hébergeur, les problématiques et les solutions possibles. Ensuite, le module "sécurité du développement des applications Web" passe en revue l'ensemble des classes de vulnérabilité Web, tout en décrivant l'implémentation des mesures de protections corrigeant les vulnérabilités exposées.
Cette formation repose en grande partie sur des travaux pratiques qui seront effectués sur la plateforme CyberRange.

Objectifs

Expliquer les problématiques de sécurité, du développement à l’hébergement d'applications Web.

  • Programme

    Introduction à la sécurité des applications web

    • Protocole HTTP, technologies web, architecture d’une application web
    • Tendances des attaques web
    • Authentification, autorisation, vulnérabilités et moyens de protection

    Vulnérabilités des applications web (OWASP)

    • Vulnérabilités du SSL
    • Vol de session
    • API et librairies non sécurisées
    • Scanning et reconnaissance
    • Outils d'analyse Proxy (Burp Suite, ZAProxy)
    • Sniffing, spoofing, brute forcing, clickjacking, XSS, CSRF
    • Attaque par injection SQL/NoSQL/Shell/LDAP/XML/autres, …
    • DNS rebinding

    Vulnérabilités des services web

    • XML : Attaques et contre-mesures
    • AJAX : tendances des attaques, codes malveillants et moyens de protection
    • JavaScripts : codes malveillants, rétro-ingénierie, …
    • Flash, Java applet : vulnérabilités et moyens de protection

    Bonnes pratiques de sécurité web

    • Sécurisation du code, environnement, navigateur
    • Implémentation des aspects sécurité dans un cycle de vie logiciel : description de l'ensemble des mesures à mettre en œuvre dans un cycle de vie logiciel et/ou cycle projet (analyse de risques, formations, règles de développement sécurisé, audits automatisés, audits manuels, bug bounties, ...)
    • Protection des services hébergés contre les attaques applicatives
    • Stratégie de protection applicative au niveau de l'infrastructure
    • Mise en œuvre de filtrage applicatif : principes de fonctionnement, règles, déploiement
    • Supervision de sécurité des services/infrastructures et gestion d'incident (SIEM)
    • Stratégie de supervision de sécurité
    • Mise en œuvre de la stratégie de supervision de sécurité : collecte des journaux d'activité, analyse des journaux d'activité, remontées en supervision, contre-mesures, traitement des incidents, …

    Travaux pratiques

    • Ethical Hacking sur la plateforme CyberRange : XSS, CSRF, SQL Injection, Shellshock, LFI, RFI et XXE.
    • Détection et correction des vulnérabilités
    • Une mise en situation sera réalisée à la fin de la formation.
  • Points forts

    La formation repose sur l’utilisation de matériel de pointe tel que la CyberRange

  • Modalités pédagogiques

    Des exemples illustrent les concepts théoriques.

  • Public cible et prérequis

    Architectes de technologies Web, développeurs Web, chef de projet Web, responsable sécurité (RSSI).

    Des connaissances dans le domaine des technologies Web permettent de tirer le meilleur profit de cette formation.

  • Responsables

    • Reda YAICH

      Reda Yaich est Ingénieur-Docteur en Informatique. Il est responsable de l’équipe « sécurité numérique » au sein de l’IRT SystemX. Il est titulaire d’un doctorat de l’école des Mines de Saint-Etienne et d’un Master Recherche de l’Université Paris-Sud. Son domaine d’expertise couvre différents domaines de la cybersécurité, tels que l’autorisation, le contrôle d’accès et la détection d’intrusion. Reda a participé/piloté plusieurs projets nationaux (ANR, PIA, Régionaux, RAPID, etc.) et européens (FP7, COST, H2020, etc) et possède une longue expérience dans l’enseignement dans de nombreuses universités et écoles d’ingénieurs.

  • Partenaires

    IRT System X

    SystemX est un institut de recherche technologique (IRT) expert en analyse, modélisation, simulation et aide à la décision appliqués aux systèmes complexes. Seul IRT dédié à l’ingénierie numérique des systèmes, il coordonne des projets de recherche partenariale, réunissant académiques et industriels dans une perspective multi-filière. Ensemble, ils s’appliquent à lever des verrous scientifiques et technologiques majeurs de 4 secteurs applicatifs prioritaires : Mobilité et Transport autonome, Industrie du futur, Défense et Sécurité, Environnement et Développement durable.

    Au travers de projets orientés cas d’usage, les ingénieurs-chercheurs de SystemX répondent aux grands enjeux de notre temps, sociétaux et technologiques, et contribuent ainsi à l’accélération de la transformation numérique des industries, des services et des territoires.

    Basé sur le plateau de Paris-Saclay, Lyon et Singapour, SystemX a lancé depuis sa création en 2012, 53 projets de recherche (dont 29 en cours), impliquant plus de 100 partenaires industriels et 55 laboratoires académiques, et compte actuellement 197 collaborateurs en équivalent temps plein (ETP) dont 134 ressources propres.

Prochaine(s) session(s)

  • Du 07/12/2020 au 08/12/2020 à Paris - 1 500 €