Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Fondements de la cybersécurité et du codage sécurisé
- Compréhension du triptyque CIA : Confidentialité, Intégrité, Disponibilité comme principes fondamentaux de la sécurité
- Vulnérabilités et attaques courantes à travers les langages/plateformes (SQLi, XSS, CSRF, SSRF, etc.)
- Le rôle du SDLC sécurisé dans la prévention, la détection et les stratégies d’atténuation des menaces au niveau du code
Sécurité des applications Web dans le contexte Java
- OWASP Top Ten : aligner les normes de l’industrie avec les défauts courants de Java
- Atténuation des injections : utilisation des instructions préparées, des couches ORM et des requêtes paramétrées
- Vulnérabilités d’authentification (gestion de session cassée, XSS comme vecteur) et modèles de remédiation
- Validation des entrées pour la robustesse contre les attaques de traversal de répertoire et de manipulation de chemin
Fondements de la sécurité Java et approfondissement de la cryptographie
- Concepts fondamentaux de la cryptographie : chiffrement symétrique vs asymétrique, algorithmes de hachage, signatures numériques
- Protocoles de communication sécurisés : meilleures pratiques pour la configuration TLS/SSL dans les applications Java (HTTPS)
- Labo pratique : configuration de connexions sécurisées entre le serveur Web et les services backend en utilisant SSL/TLS
Services de sécurité Java et fonctionnalités de sécurité entreprise
- Utilisation de l’API de sécurité intégrée pour implémenter une authentification forte (JAAS, KeyStore, CertificatePath, SecureRandom)
- Gestion des sessions utilisateur avec un risque minimal de piratage ou de fixation de session
- Labo : implémentation de modèles de gestion de session sécurisée et atténuation des risques de vol de cookies de session
Erreurs de codage courantes et vulnérabilités dans Java
- Reconnaître les modèles de codage insécures menant à des vulnérabilités de chargement de classe (CVE liées à la désérialisation, extraction JAR)
- Prévenir l’utilisation non sécurisée de la réflexion menant à l’exécution de code arbitraire sous élévation de privilèges
- Comprendre l’impact de l’utilisation de frameworks de journalisation insécures et atténuer le risque par des gestionnaires sécurisés ou des niveaux de journalisation
- Labo pratique : refactorisation d’échantillons de code Java insécures en modèles sécurisés (exercice de refactorisation FindSecurityBugs)
Cryptographie en pratique et modèles de codage sécurisé modernes
- Chiffrement pratique : conception d’une gestion de clés sécurisée, protection des données sensibles en transit et au repos
- Hachage pour la vérification de l’intégrité : stockage des mots de passe, validation du contenu des fichiers et workflows de signature numérique
- Labo : implémentation d’un hachage de données sécurisé (SHA-256) pour le stockage des mots de passe et validation des hachages stockés par rapport aux entrées
Codage sécurisé avancé et modélisation des menaces
- Intégration de l’analyse statique de code dans les pipelines CI/CD en utilisant FindSecurityBugs dans Maven/Gradle
- Identification des risques tôt dans la phase de conception par des ateliers de modélisation des menaces
- Atelier : application de la modélisation des menaces à une application Java exemple, priorisation des risques et mise en œuvre des pratiques de codage sécurisé
Projet final et feuille de route de codage sécurisé
- Les participants sélectionnent un projet Java du monde réel (application Web, microservice ou bibliothèque)
- Analyse de la base de code pour les vulnérabilités OWASP Top Ten (injection, authentification cassée, SSI, etc.)
- Refactorisation du code insécure en modèles de meilleures pratiques et implémentation de configurations de services sécurisées
- Documentation du processus, des défis rencontrés et des nouveaux acquis, avec revue par les pairs et retour du facilitateur
Q&R ouvertes, distribution des ressources et revue finale
- Forum de discussion ouvert pour aborder les questions courantes sur le codage sécurisé, clarifier les concepts avancés et partager les expériences du monde réel
- Bibliothèque de ressources sélectionnées : OWASP Java Secure Coding Top Ten CheatSheet, guide de refactorisation FindSecurityBugs et bibliothèques de codage sécurisé recommandées
- Clôture du cours et soutien post-formation pour appliquer les nouvelles compétences dans les projets en cours
Pré requis
- Compétences informatiques de base pour utiliser un ordinateur portable/desktop moderne et les outils standards de productivité de bureau (traitement de texte, tableurs)
- Aucune expérience préalable en programmation Java ou en sécurité n’est requise ; une compréhension de niveau fondamental des concepts orientés objet et des flux de travail de développement Web est encouragée
- Volonté de s’engager dans des exercices pratiques, des quiz et l’analyse d’études de cas réels pour pratiquer l’application des compétences
14 Heures
Nos clients témoignent (3)
Nous avons eu un aperçu complexe du contexte, par exemple pourquoi nous avons besoin de certaines annotations et ce qu'elles signifient. J'ai apprécié la partie pratique de la formation - avoir à exécuter manuellement les commandes et appeler les API REST.
Alina - ACCENTURE SERVICES S.R.L
Formation - Quarkus for Developers
Traduction automatique
interactions par le biais d'exercices et également de partage de projets
Claudiu - MSG system
Formation - Advanced Spring Boot
Traduction automatique
Les informations supplémentaires qui ont été partagées indiquaient que la formation n'était pas simplement basée sur Groovy, ce qui était appréciable.
Covenant - Vodacom
Formation - Groovy Programming
Traduction automatique
