Maîtriser les fondamentaux de la sécurité web et l’OWASP pour protéger vos applications

21 heures

3 jour(s)

OWASP-03

Objectifs

maîtriser les enjeux du Top 10 OWASP pour anticiper les vecteurs d’attaque les plus critiques du marché
identifier et analyser avec précision les vulnérabilités au sein d’une architecture web pour en évaluer les risques
appliquer des pratiques de codage sécurisé (Secure Coding) pour neutraliser les failles dès la phase de conception
utiliser des outils professionnels de scan de vulnérabilités (DAST/SAST) pour auditer la robustesse des applications
intégrer les contrôles de sécurité de manière fluide dans les pipelines CI/CD pour automatiser la conformité DevSecOp

Niveau requis

Cette formation s'adresse aux professionnels souhaitant blinder la sécurité de leurs développements web. Le public inclut notamment : les développeurs web qui désirent d'écrire un code propre et résistant aux attaques dès les premières lignes de code ; les architectes applicatifs qui souhaitent intégrer la sécurité par conception (Security by Design) dans leurs structures logicielles complexes ; les testeurs et auditeurs sécurité qui cherchent à perfectionner leurs méthodes de détection de failles et d'analyse de risques applicatifs ; les administrateurs systèmes et réseaux chargés du durcissement des serveurs et de la surveillance proactive des infrastructures web ; toute personne impliquée dans la conception ou la maintenance d'applications web critiques pour le business.

Public concerné

RSSI | DSI Développeurs, Chefs de projet informatique

Programme

Module 1 : Maîtriser les fondamentaux de la sécurité applicative

L’analyse des menaces actuelles et l’anatomie d’une cyberattaque web.
La présentation de l’OWASP : rôles, standards et ressources communautaires.
La mise en œuvre du cycle de vie de développement sécurisé (S-SDLC).

Étude de cas

Analyser un incident de sécurité réel pour identifier les vecteurs de compromission.

Module 2 : Décrypter le Top 10 OWASP et les vecteurs d’attaque

L’étude approfondie des vulnérabilités critiques (injections, authentification, exposition des données).
L’examen des modes opératoires des attaquants sur les applications modernes.

Travaux pratiques

Évaluer ses acquis via un quiz interactif sur les vulnérabilités majeures du Web.

Module 3 : Sécuriser les accès et neutraliser les injections

La protection contre les injections SQL et les Command Injections.
La sécurisation de la gestion des sessions et des mécanismes d’authentification.

Travaux pratiques

Exploiter puis corriger une injection SQL sur une application vulnérable test.

Module 4 : Garantir la confidentialité et prévenir les failles XSS

La mise en œuvre de la cryptographie pour protéger les données au repos et en transit.
La compréhension des attaques Cross-Site Scripting (XSS) : types et impacts.
Le déploiement de techniques de filtrage et d’encodage des entrées/sorties.

Travaux pratiques

Détecter et neutraliser une faille XSS sur un environnement simulé.

Module 5 : durcir la configuration et les contrôles d’accès

L’identification des mauvaises configurations de sécurité et des contrôles d’accès défaillants.
Le durcissement (hardening) des environnements et des serveurs web.

Travaux pratiques

Configurer une infrastructure de serveur sécurisée pour bloquer les accès non autorisés.

Module 6 : automatiser l’audit avec les outils OWASP

L’installation et la prise en main de l’outil de scan dynamique OWASP ZAP.
L’automatisation des tests de sécurité et l’interprétation des rapports de scan.

Travaux pratiques

Scanner une application web avec OWASP ZAP et prioriser les corrections prioritaires.

Module 7 : Orchestrer la sécurité dans le pipeline DevSecOps

L’intégration des tests de sécurité automatisés dans les chaînes CI/CD.
La promotion d’une culture de sécurité partagée entre les développeurs et les équipes opérationnels.

Travaux pratiques

Automatiser un pipeline CI/CD incluant un contrôle de sécurité natif.

Module 8 : établir la gouvernance et la réponse aux incidents

L’élaboration d’une politique de sécurité applicative adaptée aux besoins métiers.
La mise en place d’une surveillance continue et la gestion des mises à jour correctives.

Travaux pratiques

Développer un plan complet de sécurisation pour une application web critique.

Modalités

Présentiel

Distanciel

Durée

21 heures

3 jour(s)

Prochaines sessions

Dates à venir

Formations intra-entreprise

Votre société a besoin d’une offre personnalisée ?
Contactez-nous pour obtenir un devis!