Pourquoi choisir la formation Développements sécurisés

Le logiciel est partout dans les dispositifs que nous utilisons au quotidien : ordinateurs, mobiles, objets connectés, voitures, … Le développement sécurisé consiste à protéger d’une part les logiciels et les environnements sur lesquels ils s’exécutent, mais aussi d’intégrer dans les pratiques de développement la sécurité comme une responsabilité de chacun des contributeurs.

Dans cette formation, nous présentons et expliquons les principales sources de vulnérabilités présentes dans les logiciels codés en C et C++ (mais ils sont applicables à l’ensembles de langages de programmation). Nous nous appuyons sur les recommandations d’organismes référents tels que le SEI, le CERT, le MITRE, le NIST, l’ANSSI et surtout l’OWASP. L’objectif est de sensibiliser aux principales vulnérabilités d’applications web et de former les participants à la défense en profondeur par une approche offensive que l’on appelle Bug Bounty, d’apprendre à corriger ces failles de manière ludique.

Par défaut, nous appuyons ce cours sur les langages C et le C++, qui sont largement utilisés pour développer les briques logicielles essentielles de ces dispositifs (OS, firmware, drivers, applications, …). Mais d’autres langages sont disponibles comme le PHP ou l’Angular et Java spring.

Intéressé ?

Téléchargez le catalogue des formations Formind

Niveau : Expert

Durée : 2 jours

A qui s’adresse cette formation ?

  • Toute personne impliquée dans le développement, la mise en production et le suivi des logiciels
  • Développeurs, chefs de projet, auditeurs.
  • Environnements Linux, Windows, systèmes embarqués

Prérequis

Connaître le guide d’hygiène sécurité de l’ANSSI.

Avoir suivi le parcours introductif à la cybersécurité.

Connaissance des langages de programmations C, C++, Java, etc

Objectifs pédagogiques

1Comprendre le développement logiciel en tenant compte dès sa spécification
2Comprendre l’intérêt des concepts de Secure Coding et Secure by Design
3Connaitre et appliquer des techniques de conception et de développement en vue de protéger les logiciels, les systèmes hôtes et leur environnement
4Savoir identifier et détecter des failles de sécurité et éviter leur(s) conséquence(s)
5Mettre en place des pratiques d’audit et de tests en vue d’identifier au plus tôt des vulnérabilités de code
6Savoir réduire les surfaces d’attaques d’un système
7Connaitre les recommandations SEI CERT, OWASP quant aux bonnes pratiques de développent C/C++
8Savoir consulter le classement CVE des vulnérabilités en lien avec les développements C/C++
Intéressé ?

> Renseignez le formulaire de pré-inscription

Programme

La formation se déroule sur deux jours en présentiel avec un formateur. Un quart du temps est dédié à une approche théorique de la sécurité applicative. Le reste es dédié à la pratique sous forme de bug Bounty.

Contenu de la formation et approche :

  • Présentation théorique des référentiels de vulnérabilité
  • Présentation des principales vulnérabilités du TOP10 OWASP
  • Apprendre par le jeu et la mise en pratique permet de faire passer des messages rapidement et de les intégrer dans la durée.
  • Apprendre à entrer dans la peau de hackers
  • Apprendre à identifier les vulnérabilités et à les corriger.
  • Par équipes de deux : compétition de type CTF.
  • Objectif de découvrir les vulnérabilités et identifier la bonne correction à appliquer Si c’est correct : des points sont gagnés !
  • Analyse à partir du code source de l’application
Jour 1

  • Introduction (3h), Tour de table, Objectifs
  • Principales vulnérabilités
  • Mise en place du jeu (30min), Règles du jeu
  • Démarrage des environnements
  • Présentation des outils
  • Jeu bug bounty (4h30)
  • Compétition par équipe
  • 30 vulnérabilités à trouver
  • Débriefings
  • Jour 2
  • Jeu bug bounty (5h)
  • Compétition par équipe
  • 30 vulnérabilités à trouver
  • Débriefings réguliers
  • Fin du jeu et correction (2h30)
  • Démonstration des vulnérabilités du jeu
  • Questions/réponses
  • Conclusion (30min)

Informations générales

  • Fourniture des supports de formation et de fiches pratiques.
  • Une attestation de participation sera délivrée.
  • Mise à disposition  d’une machine virtuelle vulnérable.
  • Nous garantissons la qualité de formations.

Matériel

Le cours s’appuie sur les standards actuels. Chaque thématique est illustrée d’exemples expliqués réels et récents. Dans le but de comprendre les concepts et de s’exercer efficacement, les parties pratiques s’appuient sur la réalisation d’exploitations de vulnérabilités, leur analyse, et sur l’audit de codes.

Ces exercices pratiques se feront à partir du l’ordinateur de l’apprenant disposant d’un accès internet et d’un logiciel de virtualisation.

Téléchargez le catalogue des formations Formind

Formind Academy propose des formations thématiques sur (ISC)2, Continuité résilience reprise, Cybersécurité, Développement & Investigation Numérique, ISACA, Protection des données personnelles, Sécurité de l’information ; ainsi que des programmes en sur-mesure conçus et animés par nos consultants experts. Devenez 100% opérationnels dans votre activité au quotidien.

JE TÉLÉCHARGE

Demande d’inscription en ligne

    Subscribe to get our latest news!