Formation La Toile Sombre

Cette formation en direct avec instructeur dans Canada (en ligne ou sur site) est destinée aux administrateurs système qui souhaitent utiliser 389 Directory Server pour configurer et gérer l'authentification et l'autorisation basées sur LDAP.

A l'issue de cette formation, les participants seront capables de :

• Installer et configurer 389 Directory Server.
• Comprendre les fonctionnalités et l'architecture de 389 Directory Server.
• Apprendre à configurer le serveur d'annuaire à l'aide de la console web et du CLI.
• Configurer et surveiller la réplication pour la haute disponibilité et l'équilibrage de charge.
• Gérer l'authentification LDAP en utilisant SSSD pour des performances plus rapides.
• Intégrer 389 Directory Server avec Microsoft Active Directory.

Cette formation en direct avec instructeur à Canada (en ligne ou sur site) est destinée aux administrateurs de systèmes qui souhaitent utiliser Microsoft Active Directory pour gérer et sécuriser l'accès aux données.

A l'issue de cette formation, les participants seront capables de :

• Mettre en place et configurer Active Directory.
• Configurer un domaine et définir les droits d'accès des utilisateurs et des appareils.
• Gérer les utilisateurs et les machines par le biais des stratégies de groupe.
• Contrôler l'accès aux serveurs de fichiers.
• Configurer un service de certificats et gérer les certificats.
• Mettre en œuvre et gérer des services tels que le cryptage, les certificats et l'authentification.

Ce cours de trois jours couvre les bases de la sécurisation du code C/C++ contre les utilisateurs malveillants qui pourraient exploiter de nombreuses vulnérabilités dans le code, en particulier celles liées à la gestion de la mémoire et à la gestion des entrées. Le cours aborde les principes d'écriture d'un code sécurisé.

Même les programmeurs Java expérimentés ne maîtrisent pas tous les services de sécurité offerts par Java et ne sont pas non plus conscients des différentes vulnérabilités qui sont pertinentes pour les applications web écrites en Java.

Le cours - en plus d'introduire les composants de sécurité de l'édition standard Java - traite des questions de sécurité de l'édition d'entreprise Java (JEE) et des services web. La discussion de services spécifiques est précédée par les fondements de la cryptographie et de la communication sécurisée. Divers exercices traitent des techniques de sécurité déclaratives et programmatiques dans JEE, tandis que la sécurité de la couche transport et de bout en bout des services web est abordée. L'utilisation de tous les composants est présentée à travers plusieurs exercices pratiques, où les participants peuvent essayer eux-mêmes les API et les outils présentés.

Le cours passe également en revue et explique les failles de programmation les plus fréquentes et les plus graves du langage Java et de la plate-forme, ainsi que les vulnérabilités liées au web. Outre les bogues typiques commis par les programmeurs de Java, les vulnérabilités de sécurité présentées couvrent à la fois les problèmes spécifiques au langage et les problèmes liés à l'environnement d'exécution. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis par les lignes directrices de codage recommandées et les techniques d'atténuation possibles.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Connaîtront les vulnérabilités du Web au-delà du OWASP Top Ten et sauront comment les éviter
• Comprendre les concepts de sécurité des services Web
• Apprendre à utiliser les différentes fonctions de sécurité de l'environnement de développement Java.
• Avoir une compréhension pratique de la cryptographie
• Comprendre les solutions de sécurité de Java EE
• Connaître les erreurs de codage typiques et savoir comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans le cadre Java.
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs

Description

Le langage Java et l'environnement d'exécution Java (JRE) ont été conçus pour être exempts des vulnérabilités de sécurité courantes les plus problématiques rencontrées dans d'autres langages, comme C/C++. Cependant, les développeurs de logiciels et les architectes ne doivent pas seulement savoir utiliser les diverses fonctionnalités de sécurité de l'environnement Java (sécurité positive), mais doivent également être conscients des nombreuses vulnérabilités qui restent pertinentes pour le développement Java (sécurité négative).

L'introduction des services de sécurité est précédée d'un bref aperçu des fondements de la cryptographie, fournissant une base commune pour comprendre le but et le fonctionnement des composants applicables. L'utilisation de ces composants est présentée à travers plusieurs exercices pratiques, où les participants peuvent essayer les APIs discutées par eux-mêmes.

Le cours passe également en revue et explique les erreurs de programmation les plus fréquentes et graves du langage et de la plateforme Java, couvrant à la fois les bugs typiques commis par les programmeurs Java et les problèmes spécifiques au langage et à l'environnement. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis des directives de codage recommandées et des techniques de mitigation possibles.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et de la programmation sécurisée
• Apprendre les vulnérabilités Web au-delà des dix principales de l'OWASP et savoir comment les éviter
• Apprendre à utiliser diverses fonctionnalités de sécurité de l'environnement de développement Java
• Avoir une compréhension pratique de la cryptographie
• Apprendre les erreurs de codage typiques et comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans le framework Java
• Obtenir des sources et des lectures supplémentaires sur les pratiques de programmation sécurisée

Audience

Développeurs

Nombreux sont les langages de programmation disponibles aujourd'hui pour compiler du code vers les frameworks .NET et ASP.NET. L'environnement fournit des moyens puissants pour le développement de sécurité, mais les développeurs doivent savoir comment appliquer les techniques de programmation au niveau de l'architecture et du codage afin d'implémenter la fonctionnalité de sécurité souhaitée et d'éviter les vulnérabilités ou de limiter leur exploitation.

L'objectif de ce cours est d'enseigner aux développeurs, à travers de nombreuses exercices pratiques, comment empêcher le code non fiable d'exécuter des actions privilégiées, protéger les ressources grâce à une authentification et autorisation robustes, fournir des appels de procédure distante, gérer les sessions, introduire différentes implémentations pour certaines fonctionnalités, et bien plus encore.

L'introduction aux différentes vulnérabilités commence par la présentation de certains problèmes de programmation typiques commis lors de l'utilisation de .NET, tandis que la discussion sur les vulnérabilités d'ASP.NET aborde également diverses configurations de l'environnement et leurs effets. Enfin, le sujet des vulnérabilités spécifiques à ASP.NET ne traite pas seulement des défis généraux de la sécurité des applications web, mais aussi de problèmes particuliers et de méthodes d'attaque comme l'attaque sur ViewState ou les attaques par fin de chaîne.

Les participants à ce cours apprendront à

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités web au-delà des OWASP Top Ten et savoir comment les éviter
• Utiliser diverses fonctionnalités de sécurité de l'environnement de développement .NET
• Acquérir une connaissance pratique dans l'utilisation d'outils de test de sécurité
• Connaître les erreurs de codage typiques et savoir comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes dans .NET et ASP.NET
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public visé

Développeurs

La formation de base SDL combinée donne un aperçu de la conception, du développement et des tests de logiciels sécurisés via Microsoft Secure Development Lifecycle (SDL). Il fournit un aperçu de niveau 100 des éléments constitutifs fondamentaux de SDL, suivi de techniques de conception à appliquer pour détecter et corriger les défauts dans les premières étapes du processus de développement.

Traitant de la phase de développement, le cours donne un aperçu des bogues de programmation liés à la sécurité typiques du code géré et du code natif. Les méthodes d'attaque sont présentées pour les vulnérabilités discutées ainsi que les techniques d'atténuation associées, le tout expliqué à travers un certain nombre d'exercices pratiques offrant un plaisir de piratage en direct pour les participants. L'introduction de différentes méthodes de test de sécurité est suivie par la démonstration de l'efficacité de divers outils de test. Les participants peuvent comprendre le fonctionnement de ces outils à travers un certain nombre d'exercices pratiques en les appliquant au code vulnérable déjà discuté.

Les participants qui assistent à cette formation seront en mesure de 

Comprendre les concepts de base de la sécurité, de la sécurité IT et du codage sécurisé

Se familiariser avec les étapes essentielles du Microsoft Secure Development Lifecycle

Apprendre des pratiques de conception et de développement sécurisés

Acquérir des connaissances sur les principes d'implémentation sécurisée

Comprendre la méthodologie de test de sécurité

• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public

Développeurs, gestionnaires

Après s'être familiarisés avec les vulnérabilités et les méthodes d'attaque, les participants découvrent l'approche générale et la méthodologie des tests de sécurité, ainsi que les techniques qui peuvent être appliquées pour révéler des vulnérabilités spécifiques. Les tests de sécurité devraient commencer par la collecte d'informations sur le système (ToC, c'est-à-dire la cible de l'évaluation), puis une modélisation approfondie des menaces devrait révéler et évaluer toutes les menaces, pour aboutir au plan de test le plus approprié basé sur l'analyse des risques.

Les évaluations de sécurité peuvent avoir lieu à différentes étapes du cycle de développement durable, et nous discutons donc de l'examen de la conception, de l'examen du code, de la reconnaissance et de la collecte d'informations sur le système, du test de l'implémentation et du test et du durcissement de l'environnement pour un déploiement sécurisé. De nombreuses techniques de test de sécurité sont présentées en détail, comme l'analyse des taches et l'examen du code basé sur l'heuristique, l'analyse statique du code, le test de vulnérabilité dynamique du web ou le fuzzing. Différents types d'outils sont présentés qui peuvent être appliqués afin d'automatiser l'évaluation de la sécurité des produits logiciels, ce qui est également soutenu par un certain nombre d'exercices, où nous exécutons ces outils pour analyser le code vulnérable déjà discuté. De nombreuses études de cas réels permettent de mieux comprendre les différentes vulnérabilités.

Ce cours prépare les testeurs et le personnel d'assurance qualité à planifier de manière adéquate et à exécuter avec précision les tests de sécurité, à sélectionner et à utiliser les outils et les techniques les plus appropriés pour trouver les failles de sécurité même cachées, et donne ainsi des compétences pratiques essentielles qui peuvent être appliquées le jour suivant.

Les participants à ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités du Web au-delà du OWASP Top Ten et savoir comment les éviter
• Apprendre les vulnérabilités côté client et les pratiques de codage sécurisé
• Comprendre les approches et les méthodologies des tests de sécurité
• Acquérir des connaissances pratiques sur l'utilisation des techniques et des outils de test de sécurité
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé.

Public

Développeurs, testeurs

Protéger les applications accessibles via le web nécessite des professionnels de la sécurité bien préparés qui sont toujours conscients des méthodes d'attaque actuelles et des tendances. Une multitude de technologies et d'environnements permettent le développement confortable d'applications web. Il ne faut pas seulement être conscient des problèmes de sécurité pertinents pour ces plateformes, mais aussi de toutes les vulnérabilités générales qui s'appliquent, indépendamment des outils de développement utilisés.

Le cours donne un aperçu des solutions de sécurité applicables aux applications web, avec un accent particulier sur la compréhension des solutions cryptographiques les plus importantes à appliquer. Les différentes vulnérabilités des applications web sont présentées à la fois du côté serveur (suivant le Top Ten d'OWASP) et du côté client, démontrées à travers les attaques pertinentes, et suivies des techniques de codage recommandées et des méthodes d'atténuation pour éviter les problèmes associés. Le sujet de la programmation sécurisée est conclu en discutant de quelques erreurs de programmation typiques pertinentes pour la sécurité dans le domaine de la validation des entrées, de l'utilisation incorrecte des fonctionnalités de sécurité et de la qualité du code.

Les tests jouent un rôle très important dans l'assurance de la sécurité et de la robustesse des applications web. Diverses approches – allant de l'audit de haut niveau, des tests de pénétration à l'hacking éthique – peuvent être appliquées pour trouver des vulnérabilités de différents types. Cependant, si vous souhaitez aller au-delà des vulnérabilités faciles à trouver, les tests de sécurité doivent être bien planifiés et correctement exécutés. Rappelez-vous : les testeurs de sécurité devraient idéalement trouver tous les bugs pour protéger un système, tandis que pour les adversaires, il suffit de trouver une vulnérabilité exploitable pour y pénétrer.

Les exercices pratiques aideront à comprendre les vulnérabilités des applications web, les erreurs de programmation et surtout les techniques d'atténuation, ainsi que des essais pratiques de divers outils de test allant des analyseurs de sécurité, des sniffers, des serveurs proxy, des outils de fuzzing aux analyseurs de code source statique. Ce cours fournit les compétences pratiques essentielles qui peuvent être appliquées dès le lendemain au travail.

Les participants à ce cours

• Comprendront les concepts de base de la sécurité, de la sécurité informatique et de la programmation sécurisée
• Apprendront les vulnérabilités web au-delà du Top Ten d'OWASP et sauront comment les éviter
• Apprendront les vulnérabilités côté client et les pratiques de programmation sécurisée
• Auront une compréhension pratique de la cryptographie
• Comprendront les approches et méthodologies de tests de sécurité
• Acquerront des connaissances pratiques sur l'utilisation des techniques et outils de tests de sécurité
• Seront informés des vulnérabilités récentes sur diverses plateformes, frameworks et bibliothèques
• Obtiendront des sources et des lectures supplémentaires sur les pratiques de programmation sécurisée

Public cible

Développeurs, Testeurs

Cette formation en direct dans Canada (en ligne ou sur site) est destinée aux administrateurs système qui souhaitent utiliser FreeIPA pour centraliser les informations d'authentification, d'autorisation et de compte pour les utilisateurs, les groupes et les machines de leur organisation.

A l'issue de cette formation, les participants seront capables de :

• Installer et configurer FreeIPA.
• Gérer les utilisateurs et les clients de Linux à partir d'un emplacement central unique.
• Utiliser l'interface CLI, l'interface Web et l'interface RPC de FreeIPA pour configurer et gérer les autorisations.
• Activer l'authentification unique sur tous les systèmes, services et applications.
• Intégrer FreeIPA à Windows Active Directory.
• Sauvegarder, répliquer et migrer un serveur FreeIPA.

Cette formation en direct avec instructeur dans Canada (en ligne ou sur site) est destinée aux administrateurs de systèmes qui souhaitent utiliser Okta pour la gestion des identités et des accès.

A l'issue de cette formation, les participants seront capables de :

• Configurer, intégrer et gérer Okta.
• Intégrer Okta dans une application existante.
• Mettre en œuvre la sécurité avec l'authentification multi-facteurs.

Cette formation en direct avec formateur dans Canada (en ligne ou sur site) s'adresse aux administrateurs système et professionnels IT de niveau intermédiaire qui souhaitent installer, configurer, gérer et sécuriser les répertoires LDAP à l'aide de OpenLDAP.

À la fin de cette formation, les participants seront capables de :

• Comprendre la structure et le fonctionnement des répertoires LDAP.
• Installer et configurer OpenLDAP pour divers environnements de déploiement.
• Mettre en œuvre des mécanismes de contrôle d'accès, d'authentification et de réplication.
• Utiliser OpenLDAP avec des services et applications tiers.

Cette formation en direct avec instructeur dans Canada (en ligne ou sur site) est destinée aux administrateurs système qui souhaitent utiliser OpenAM pour gérer les contrôles d'identité et d'accès pour les applications web.

A l'issue de cette formation, les participants seront capables de :

• Mettre en place l'environnement serveur nécessaire pour commencer à configurer l'authentification et les contrôles d'accès à l'aide de OpenAM.
• Mettre en œuvre des fonctionnalités d'authentification unique (SSO), d'authentification multifactorielle (MFA) et de libre-service pour les applications web.
• Utiliser des services de fédération (OAuth 2.0, OpenID, SAML v2.0, etc.) pour étendre la gestion des identités en toute sécurité à différents systèmes ou applications.
• [Utiliser des services d'authentification, d'autorisation et d'identité par le biais d'API REST.

Cette formation en direct dans Canada (en ligne ou sur site) est destinée aux administrateurs de systèmes qui souhaitent utiliser OpenDJ pour gérer les informations d'identification des utilisateurs de leur organisation dans un environnement de production.

A l'issue de cette formation, les participants seront capables de :

• Installer et configurer OpenDJ.
• Maintenir un serveur OpenDJ, y compris la surveillance, le dépannage et l'optimisation des performances.
• Créer et gérer plusieurs bases de données OpenDJ.
• Sauvegarder et migrer un serveur OpenDJ.