Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Fondamentaux de la sécurité et responsabilité partagée
- Modèles de service cloud (IaaS, PaaS, SaaS) et place de la sécurité des applications dans chaque modèle
- Modèle de responsabilité partagée et exemples de responsabilités client vs fournisseur
- Lignes de base de sécurité et normes de configuration (benchmarks CIS et meilleures pratiques des fournisseurs)
Gestion des identités, des accès et Zéro Confiance (Zero Trust)
- Fondamentaux de l'IAM cloud : rôles, politiques, groupes et conception selon le principe du moindre privilège
- Fédération, authentification unique (SSO) et authentification multifacteur (MFA) dans le cloud
- Principes du Zéro Confiance pour les applications cloud et patterns de segmentation du réseau
Infrastructure sécurisée et durcissement de la plate-forme
- Durcissement des machines virtuelles, des hôtes de conteneurs et des services gérés à l'aide de listes de contrôle prescriptives
- Gestion des clés et patterns de chiffrement (au repos et en transit) ; concepts de KMS et gestion des secrets
- Contrôles réseau, groupes de sécurité, bases du WAF et protection des points de terminaison de service
Développement logiciel sécurisé dans le cloud
- Concepts du SDLC sécurisé et pratiques « shift-left » : linting, SAST, analyse des dépendances et intégration SCA
- Patterns de codage sécurisé et pièges courants (OWASP Top Ten adapté au contexte du cloud)
- Gestion des secrets dans le code et les variables d'environnement ; considérations sur la chaîne d'approvisionnement (dépendances et runners CI/CD)
Menaces, vulnérabilités et mesures d'atténuation applicatives
- Menaces sur les applications web : contrôle d'accès brisé, injections, mauvaises configurations, échecs cryptographiques et leurs manifestations spécifiques au cloud
- Sécurité des API : authentification, limitation du débit, validation des schémas et contrôles de passerelle API
- Protections au runtime : réglage du WAF, concepts de RASP et défenses au runtime des conteneurs
Tests, analyses et évaluation continue
- SAST, DAST, IAST, analyse des dépendances et méthodes pour interpréter et prioriser les résultats
- Évaluation de la posture et de la configuration cloud : outils CSPM/CNAPP, benchmarking et vérifications automatisées de la conformité
- Concevoir une surveillance continue : journalisation, télémétrie, intégration SIEM et alerting (exemples CloudTrail, Azure Monitor, GCP Logging)
Tests d'intrusion et gestion des vulnérabilités
- Planification de tests d'intrusion cloud sûrs : règles d'engagement des fournisseurs, périmètre et considérations légales
- Chemins d'attaque courants dans le cloud et démonstrations pratiques d'exploitation de vulnérabilités en laboratoire (environnement contrôlé)
- Workflows de correction, stratégies de patching et suivi des vulnérabilités avec indicateurs clés de performance (KPI)
Sécurité des données et confidentialité dans le cloud
- Classification des données, architectures de chiffrement et patterns de tokenisation
- Sécurité des DBaaS et du stockage : contrôles d'accès, sauvegardes et instantanés sécurisés
- Considérations en matière de confidentialité et de conformité : résidence des données, bases du RGPD et contrôles contractuels
Conception d'applications cloud-natives sécurisées
- Microservices, mailles de services (service meshes) et patterns de communication sécurisés (mTLS, authentification mutuelle)
- Fondamentaux de la sécurité des conteneurs et de Kubernetes : durcissement des images, analyse et politiques au runtime
- Considérations de sécurité serverless : moindre privilège, injection d'événements et impacts liés au « cold start »
Intervention en cas d'incident, audit et gouvernance
- Détection et intervention en cas d'incident dans les environnements cloud : playbooks, forensic et collecte de preuves
- Audit et évaluation par des tiers : tests d'intrusion, revues de sécurité et mapping des certifications
- Gouvernance, automatisation des politiques et mesure de la posture de sécurité dans le temps
Projet final : Sécuriser une application cloud exemple
- Évaluation initiale : exécution d'une analyse de configuration cloud et d'analyses SAST/DAST de l'application
- Mise en œuvre des correctifs : IAM selon le moindre privilège, chiffrement et verrouillage de sécurité dans le pipeline CI/CD
- Validation des améliorations et production d'une feuille de route de correction et de surveillance
Résumé et prochaines étapes
Pré requis
- Une compréhension des concepts généraux du développement logiciel
- Une expérience avec au moins un langage de programmation ou une pile web
- Une familiarité avec les concepts de base du réseau et des systèmes d'exploitation
Audience cible
- Développeurs
- Gestionnaires
- Professionnels de l'IT et de la sécurité
21 Heures
Nos clients témoignent (1)
La sécurité web Azure correspondait davantage à mes attentes, quant aux tests d’intrusion, je ne les effectuerais jamais dans mon travail.
Toby
Formation - Application Security in the Cloud
Traduction automatique
