Formation Le Web sombre

Cette formation en présentiel ou en ligne, dirigée par un instructeur, à Canada s'adresse aux administrateurs système souhaitant utiliser 389 Directory Server pour configurer et gérer l'authentification et l'autorisation basées sur LDAP.

À la fin de cette formation, les participants seront capables de :

• Installer et configurer 389 Directory Server.
• Comprendre les fonctionnalités et l'architecture de 389 Directory Server.
• Savoir configurer le serveur de répertoires à l'aide de la console web et de l'interface en ligne de commande (CLI).
• Mettre en place et surveiller la réplication pour assurer une haute disponibilité et une répartition de charge.
• Gérer l'authentification LDAP à l'aide de SSSD pour des performances optimisées.
• Intégrer 389 Directory Server avec Microsoft Active Directory.

Cette formation en direct, animée par un formateur, en Canada (en ligne ou en présentiel), s'adresse aux administrateurs système qui souhaitent utiliser Microsoft Active Directory pour gérer et sécuriser l'accès aux données.

À la fin de cette formation, les participants seront capables de :

• Configurer et installer Active Directory.
• Créer un domaine et définir les droits d'accès des utilisateurs et des appareils.
• Gérer les utilisateurs et les machines via les Stratégies de groupe.
• Contrôler l'accès aux serveurs de fichiers.
• Installer un service de certificats et gérer les certificats.
• Mettre en œuvre et gérer des services tels que le chiffrement, les certificats et l'authentification.

Android est une plateforme open source pour les appareils mobiles tels que les téléphones intelligents et les tablettes. Elle offre une grande variété de fonctionnalités de sécurité pour faciliter le développement de logiciels sécurisés ; toutefois, il lui manque certains aspects de sécurité présents sur d'autres plateformes mobiles. Ce cours présente un aperçu complet de ces fonctionnalités et met en évidence les lacunes les plus critiques qu'il faut connaître, liées au noyau Linux sous-jacent, au système de fichiers et à l'environnement en général, ainsi qu'à l'utilisation des permissions et des autres composants de développement logiciel d'Android.

Les pièges et vulnérabilités de sécurité typiques sont décrits tant pour le code natif que pour les applications Java, accompagnés de recommandations et de pratiques recommandées pour les éviter et les atténuer. Dans de nombreux cas, les problèmes abordés sont étayés par des exemples concrets et des études de cas. Enfin, nous donnons un bref aperçu de la manière d'utiliser les outils de test de sécurité pour révéler d'éventuels bogues de programmation liés à la sécurité.

Les participants suivant ce cours seront

• Comprendre les concepts de base de la sécurité, de la cybersécurité et du codage sécurisé
• Apprendre les solutions de sécurité sur Android
• Apprendre à utiliser diverses fonctionnalités de sécurité de la plateforme Android
• Obtenir des informations sur certaines vulnérabilités récentes de Java sur Android
• Apprendre à connaître les erreurs de codage typiques et comment les éviter
• Comprendre les vulnérabilités du code natif sur Android
• Réaliser les graves conséquences d'une manipulation non sécurisée des tampons dans le code natif
• Comprendre les techniques de protection architecturale et leurs faiblesses
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Professionnels

Réaliser une application réseau sécurisée peut s’avérer difficile, même pour les développeurs qui ont déjà eu recours à divers blocs de construction cryptographiques (comme le chiffrement et les signatures numériques). Afin que les participants comprennent le rôle et l’utilisation de ces primitives cryptographiques, nous commençons par poser les bases solides des exigences principales de la communication sécurisée – accusé de réception sécurisé, intégrité, confidentialité, identification distante et anonymat – tout en présentant les problèmes typiques qui peuvent compromettre ces exigences ainsi que les solutions concrètes qui y sont appliquées.

La cryptographie étant un aspect critique de la sécurité des réseaux, nous abordons les algorithmes cryptographiques les plus importants en cryptographie symétrique, en hachage, en cryptographie asymétrique et en accord de clés. Plutôt que de développer un fondement mathématique approfondi, ces éléments sont analysés du point de vue des développeurs, avec des exemples de cas d’usage typiques et des considérations pratiques liées à l’usage du chiffrement, telles que les infrastructures à clés publiques (PKI). Les protocoles de sécurité dans divers domaines de la communication sécurisée sont présentés, avec un examen approfondi des familles de protocoles les plus répandues, telles qu’IPSEC et SSL/TLS.

Les vulnérabilités cryptographiques courantes sont traitées, tant pour certains algorithmes cryptographiques que pour des protocoles cryptographiques spécifiques, notamment BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE et similaires, ainsi que pour l’attaque par chronométrage sur RSA. Pour chaque problème, les considérations pratiques et les conséquences potentielles sont décrites, sans entrer dans des détails mathématiques complexes.

Finalement, la technologie XML étant centrale pour l’échange de données entre applications réseau, nous décrivons les aspects liés à la sécurité du XML. Cela inclut l’usage du XML dans les services Web et les messages SOAP, ainsi que les mesures de protection telles que la signature XML et le chiffrement XML, et aborde également les faiblesses de ces mécanismes de protection et les problèmes de sécurité spécifiques au XML, comme les injections XML, les attaques par entité externe XML (XXE), les bombes XML et les injections XPath.

Les participants qui assisteront à ce cours sauront

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Comprendre les exigences de la communication sécurisée
• Se familiariser avec les attaques et défenses réseau aux différentes couches OSI
• Avoir une compréhension pratique de la cryptographie
• Comprendre les protocoles de sécurité essentiels
• Comprendre certaines attaques récentes contre les systèmes cryptographiques
• Obtenir des informations sur certaines vulnérabilités récentes apparentées
• Comprendre les concepts de sécurité des services Web
• Accéder à des ressources et à des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs, Professionnels

Ce cours de trois jours aborde les principes fondamentaux de la sécurisation du code C/C++ contre les utilisateurs malveillants qui pourraient exploiter de nombreuses vulnérabilités liées à la gestion de la mémoire et au traitement des entrées. Il couvre également les principes de la rédaction de code sécurisé.

Même les programmeurs Java expérimentés ne maîtrisent pas nécessairement tous les services de sécurité proposés par Java, et ne sont pas non plus conscients des différentes vulnérabilités pertinentes pour les applications web écrites en Java.

Le cours – outre l’introduction des composants de sécurité de l’Édition Standard de Java – aborde les questions de sécurité de l’Édition Entreprise de Java (JEE) et des services web. La discussion des services spécifiques est précédée par les fondements de la cryptographie et de la communication sécurisée. Divers exercices traitent des techniques de sécurité déclaratives et programmables dans JEE, tandis que la sécurité au niveau du transport et de bout en bout des services web est discutée. L’utilisation de tous ces composants est présentée à travers plusieurs exercices pratiques, où les participants peuvent essayer par eux-mêmes les API et outils discutés.

Le cours examine également et explique les défauts de programmation les plus fréquents et graves du langage et de la plateforme Java, ainsi que les vulnérabilités liées au web. Outre les bogues typiques commis par les programmeurs Java, les vulnérabilités de sécurité introduites couvrent à la fois les problèmes spécifiques au langage et les problèmes découlant de l’environnement d’exécution. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis des directives de codage recommandées et des techniques d’atténuation possibles.

Les participants suivant ce cours

• Comprendront les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendront les vulnérabilités web au-delà des OWASP Top Ten et sauront comment les éviter
• Comprendront les concepts de sécurité des services web
• Apprendront à utiliser diverses fonctionnalités de sécurité de l’environnement de développement Java
• Auront une compréhension pratique de la cryptographie
• Comprendront les solutions de sécurité de Java EE
• Apprendront les erreurs de codage typiques et comment les éviter
• Obtiendront des informations sur certaines vulnérabilités récentes du framework Java
• Obtiendront des connaissances pratiques sur l’utilisation des outils de test de sécurité
• Obtiendront des ressources et des lectures supplémentaires sur les pratiques de codage sécurisé

Audience

Développeurs

Description

Le langage Java et l’environnement d’exécution (JRE) ont été conçus pour être exempts des vulnérabilités de sécurité courantes les plus problématiques rencontrées dans d’autres langages, comme le C/C++. Pourtant, les développeurs et les architectes logiciels ne doivent pas seulement savoir utiliser les diverses fonctionnalités de sécurité de l’environnement Java (sécurité positive), mais doivent également être conscients des nombreuses vulnérabilités qui restent pertinentes pour le développement Java (sécurité négative).

La présentation des services de sécurité est précédée d’un bref aperçu des fondements de la cryptographie, fournissant une base commune pour comprendre l’objectif et le fonctionnement des composants applicables. L’utilisation de ces composants est illustrée par plusieurs exercices pratiques, où les participants peuvent tester par eux-mêmes les API discutées.

Le cours examine et explique également les défauts de programmation les plus fréquents et les plus graves du langage et de la plateforme Java, couvrant à la fois les bugs typiques commis par les programmeurs Java et les problèmes spécifiques au langage et à l’environnement. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis des directives de codage recommandées et des techniques d’atténuation possibles.

Les participants suivant ce cours vont

• Comprendre les concepts de base de la sécurité, de la cybersécurité et du codage sécurisé
• Apprendre les vulnérabilités Web au-delà des OWASP Top Ten et savoir comment les éviter
• Apprendre à utiliser les diverses fonctionnalités de sécurité de l’environnement de développement Java
• Avoir une compréhension pratique de la cryptographie
• Apprendre sur les erreurs de codage typiques et comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes du framework Java
• Obtenir des sources et des lectures supplémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs

De nombreux langages de programmation sont disponibles aujourd'hui pour compiler du code vers les frameworks .NET et ASP.NET. Cet environnement offre des moyens puissants pour le développement sécurisé, mais les développeurs doivent savoir comment appliquer les techniques de programmation au niveau de l'architecture et du code afin d'implémenter les fonctionnalités de sécurité souhaitées, d'éviter les vulnérabilités ou d'en limiter l'exploitation.

Ce cours a pour objectif d'enseigner aux développeurs, à travers de nombreux exercices pratiques, comment empêcher le code non fiable d'exécuter des actions privilégiées, protéger les ressources grâce à une authentification et une autorisation robustes, fournir des appels de procédure à distance, gérer les sessions, proposer différentes implémentations pour certaines fonctionnalités, et bien plus encore.

L'introduction aux différentes vulnérabilités commence par la présentation de problèmes de programmation typiques commis lors de l'utilisation de .NET, tandis que la discussion sur les vulnérabilités d'ASP.NET traite également des divers paramètres d'environnement et de leurs effets. Enfin, le sujet des vulnérabilités spécifiques à ASP.NET ne se limite pas aux défis généraux de la sécurité des applications web, mais aborde également des problèmes particuliers et des méthodes d'attaque telles que l'attaque sur le ViewState ou les attaques par terminaison de chaîne.

Les participants suivant ce cours seront en mesure de

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités web au-delà des OWASP Top Ten et savoir comment les éviter
• Apprendre à utiliser diverses fonctionnalités de sécurité de l'environnement de développement .NET
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Apprendre à connaître les erreurs de codage typiques et comment les éviter
• Obtenir des informations sur certaines récentes vulnérabilités dans .NET et ASP.NET
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs

Ce cours introduit les concepts de sécurité courants, offre un aperçu de la nature des vulnérabilités, indépendamment des langages de programmation et des plateformes utilisés, et explique comment gérer les risques liés à la sécurité des logiciels dans les différentes phases du cycle de vie du développement logiciel. Sans entrer dans les détails techniques, il met en lumière certaines des vulnérabilités les plus intéressantes et les plus préoccupantes dans diverses technologies de développement logiciel, et présente les défis des tests de sécurité, ainsi que des techniques et des outils que l'on peut appliquer pour trouver les problèmes existants dans leur code.

Les participants suivants suivront ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Comprendre les vulnérabilités web, tant côté serveur que côté client
• Réaliser les graves conséquences d'une gestion non sécurisée des tampons
• Être informés de certaines vulnérabilités récentes dans les environnements de développement et les frameworks
• Apprendre les erreurs de codage typiques et comment les éviter
• Comprendre les approches et les méthodologies de test de sécurité

Public cible

Gestionnaires

Cette formation en direct, animée par un formateur en <lieu> (en ligne ou en présentiel), s'adresse aux administrateurs systèmes souhaitant utiliser FreeIPA pour centraliser l'authentification, l'autorisation et les informations de compte pour les utilisateurs, les groupes et les machines de leur organisation.

À la fin de cette formation, les participants seront en mesure de :

• Installer et configurer FreeIPA.
• Gérer les utilisateurs Linux et les clients depuis un seul emplacement central.
• Utiliser l'interface en ligne de commande (CLI), l'interface utilisateur Web (Web UI) et l'interface RPC de FreeIPA pour configurer et gérer les permissions.
• Activer l'authentification à jeton unique (Single Sign On) sur tous les systèmes, services et applications.
• Intégrer FreeIPA avec l'Active Directory Windows.
• Sauvegarder, répliquer et migrer un serveur FreeIPA.

Cette formation en direct, animée par un formateur, à Canada (en ligne ou en présentiel), s’adresse aux administrateurs système souhaitant utiliser Okta pour la gestion de l’identité et des accès.

À l’issue de cette formation, les participants seront capables de :

• Configurer, intégrer et gérer Okta.
• Intégrer Okta dans une application existante.
• Mettre en œuvre la sécurité grâce à l’authentification multifactorielle.

Cette formation en direct, dirigée par un instructeur, est offerte dans <lieu> (en ligne ou en présentiel) et s'adresse aux administrateurs système et aux professionnels de l'informatique de niveau intermédiaire souhaitant installer, configurer, gérer et sécuriser des répertoires LDAP à l'aide d'OpenLDAP.

À la fin de cette formation, les participants seront en mesure de :

• Comprendre la structure et le fonctionnement des répertoires LDAP.
• Installer et configurer OpenLDAP pour divers environnements de déploiement.
• Mettre en œuvre des mécanismes de contrôle d'accès, d'authentification et de réplication.
• Utiliser OpenLDAP avec des services et des applications tiers.

Cette formation en direct, dirigée par un formateur à <lieu> (en ligne ou sur site), s'adresse aux administrateurs système qui souhaitent utiliser OpenAM pour gérer les contrôles d'identité et d'accès pour leurs applications web.

À la fin de cette formation, les participants seront en mesure de :

• Configurer l'environnement serveur nécessaire pour commencer à définir les contrôles d'authentification et d'accès à l'aide d'OpenAM.
• Mettre en œuvre l'authentification unique (SSO), l'authentification multifacteur (MFA) et les fonctionnalités d'auto-service utilisateur pour les applications web.
• Utiliser les services de fédération (OAuth 2.0, OpenID, SAML v2.0, etc.) pour étendre la gestion des identités de manière sécurisée entre différents systèmes ou applications.
• Accéder aux services d'authentification, d'autorisation et de gestion des identités via les API REST et les gérer.

Cette formation en direct animée par un formateur en Canada (en ligne ou en présentiel) s'adresse aux administrateurs système souhaitant utiliser OpenDJ pour gérer les identifiants de leurs utilisateurs dans un environnement de production.

À l'issue de cette formation, les participants seront capables de :

• Installer et configurer OpenDJ.
• Entretenir un serveur OpenDJ, y compris la surveillance, le dépannage et l'optimisation des performances.
• Créer et gérer plusieurs bases de données OpenDJ.
• Sauvegarder et migrer un serveur OpenDJ.