Formation Présentation de la sécurité de l’information et élaboration d’un parcours de carrière

Android est une plateforme ouverte pour les appareils mobiles tels que les téléphones et les tablettes. Elle offre une grande variété de fonctionnalités de sécurité pour faciliter le développement de logiciels sécurisés ; однако, il manque certains aspects de sécurité présents sur d'autres plateformes mobiles. Le cours donne un aperçu complet de ces fonctionnalités et met en évidence les lacunes les plus critiques à connaître liées au noyau Linux sous-jacent, au système de fichiers et à l'environnement en général, ainsi que concernant l'utilisation des permissions et d'autres composants de développement de logiciels Android.

Les pièges et vulnérabilités de sécurité typiques sont décrits tant pour le code natif que pour les applications Java, accompagnés de recommandations et de meilleures pratiques pour les éviter et les atténuer. Dans de nombreux cas, les problèmes discutés sont illustrés par des exemples réels et des études de cas. Enfin, nous donnons un bref aperçu de la manière d'utiliser des outils de test de sécurité pour révéler tout bug de programmation lié à la sécurité.

Les participants suivant ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les solutions de sécurité sur Android
• Apprendre à utiliser diverses fonctionnalités de sécurité de la plateforme Android
• Obtenir des informations sur certaines vulnérabilités récentes en Java sur Android
• Apprendre à éviter les erreurs courantes de codage
• Comprendre les vulnérabilités du code natif sur Android
• Se rendre compte des graves conséquences d'un traitement non sécurisé des tampons dans le code natif
• Comprendre les techniques de protection architecturale et leurs faiblesses
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Professionnels

Réaliser une application réseau sécurisée peut s’avérer difficile, même pour les développeurs qui ont déjà eu recours à divers blocs de construction cryptographiques (comme le chiffrement et les signatures numériques). Afin que les participants comprennent le rôle et l’utilisation de ces primitives cryptographiques, nous commençons par poser les bases solides des exigences principales de la communication sécurisée – accusé de réception sécurisé, intégrité, confidentialité, identification distante et anonymat – tout en présentant les problèmes typiques qui peuvent compromettre ces exigences ainsi que les solutions concrètes qui y sont appliquées.

La cryptographie étant un aspect critique de la sécurité des réseaux, nous abordons les algorithmes cryptographiques les plus importants en cryptographie symétrique, en hachage, en cryptographie asymétrique et en accord de clés. Plutôt que de développer un fondement mathématique approfondi, ces éléments sont analysés du point de vue des développeurs, avec des exemples de cas d’usage typiques et des considérations pratiques liées à l’usage du chiffrement, telles que les infrastructures à clés publiques (PKI). Les protocoles de sécurité dans divers domaines de la communication sécurisée sont présentés, avec un examen approfondi des familles de protocoles les plus répandues, telles qu’IPSEC et SSL/TLS.

Les vulnérabilités cryptographiques courantes sont traitées, tant pour certains algorithmes cryptographiques que pour des protocoles cryptographiques spécifiques, notamment BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE et similaires, ainsi que pour l’attaque par chronométrage sur RSA. Pour chaque problème, les considérations pratiques et les conséquences potentielles sont décrites, sans entrer dans des détails mathématiques complexes.

Finalement, la technologie XML étant centrale pour l’échange de données entre applications réseau, nous décrivons les aspects liés à la sécurité du XML. Cela inclut l’usage du XML dans les services Web et les messages SOAP, ainsi que les mesures de protection telles que la signature XML et le chiffrement XML, et aborde également les faiblesses de ces mécanismes de protection et les problèmes de sécurité spécifiques au XML, comme les injections XML, les attaques par entité externe XML (XXE), les bombes XML et les injections XPath.

Les participants qui assisteront à ce cours sauront

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Comprendre les exigences de la communication sécurisée
• Se familiariser avec les attaques et défenses réseau aux différentes couches OSI
• Avoir une compréhension pratique de la cryptographie
• Comprendre les protocoles de sécurité essentiels
• Comprendre certaines attaques récentes contre les systèmes cryptographiques
• Obtenir des informations sur certaines vulnérabilités récentes apparentées
• Comprendre les concepts de sécurité des services Web
• Accéder à des ressources et à des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs, Professionnels

Ce cours de trois jours aborde les principes fondamentaux de la sécurisation du code C/C++ contre les utilisateurs malveillants qui pourraient exploiter de nombreuses vulnérabilités liées à la gestion de la mémoire et au traitement des entrées. Il couvre également les principes de la rédaction de code sécurisé.

Même les programmeurs Java expérimentés ne maîtrisent pas nécessairement tous les services de sécurité proposés par Java, et ne sont pas non plus conscients des différentes vulnérabilités pertinentes pour les applications web écrites en Java.

Le cours – outre l’introduction des composants de sécurité de l’Édition Standard de Java – aborde les questions de sécurité de l’Édition Entreprise de Java (JEE) et des services web. La discussion des services spécifiques est précédée par les fondements de la cryptographie et de la communication sécurisée. Divers exercices traitent des techniques de sécurité déclaratives et programmables dans JEE, tandis que la sécurité au niveau du transport et de bout en bout des services web est discutée. L’utilisation de tous ces composants est présentée à travers plusieurs exercices pratiques, où les participants peuvent essayer par eux-mêmes les API et outils discutés.

Le cours examine également et explique les défauts de programmation les plus fréquents et graves du langage et de la plateforme Java, ainsi que les vulnérabilités liées au web. Outre les bogues typiques commis par les programmeurs Java, les vulnérabilités de sécurité introduites couvrent à la fois les problèmes spécifiques au langage et les problèmes découlant de l’environnement d’exécution. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis des directives de codage recommandées et des techniques d’atténuation possibles.

Les participants suivant ce cours

• Comprendront les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendront les vulnérabilités web au-delà des OWASP Top Ten et sauront comment les éviter
• Comprendront les concepts de sécurité des services web
• Apprendront à utiliser diverses fonctionnalités de sécurité de l’environnement de développement Java
• Auront une compréhension pratique de la cryptographie
• Comprendront les solutions de sécurité de Java EE
• Apprendront les erreurs de codage typiques et comment les éviter
• Obtiendront des informations sur certaines vulnérabilités récentes du framework Java
• Obtiendront des connaissances pratiques sur l’utilisation des outils de test de sécurité
• Obtiendront des ressources et des lectures supplémentaires sur les pratiques de codage sécurisé

Audience

Développeurs

Description

Le langage Java et l’environnement d’exécution (JRE) ont été conçus pour être exempts des vulnérabilités de sécurité courantes les plus problématiques rencontrées dans d’autres langages, comme le C/C++. Pourtant, les développeurs et les architectes logiciels ne doivent pas seulement savoir utiliser les diverses fonctionnalités de sécurité de l’environnement Java (sécurité positive), mais doivent également être conscients des nombreuses vulnérabilités qui restent pertinentes pour le développement Java (sécurité négative).

La présentation des services de sécurité est précédée d’un bref aperçu des fondements de la cryptographie, fournissant une base commune pour comprendre l’objectif et le fonctionnement des composants applicables. L’utilisation de ces composants est illustrée par plusieurs exercices pratiques, où les participants peuvent tester par eux-mêmes les API discutées.

Le cours examine et explique également les défauts de programmation les plus fréquents et les plus graves du langage et de la plateforme Java, couvrant à la fois les bugs typiques commis par les programmeurs Java et les problèmes spécifiques au langage et à l’environnement. Toutes les vulnérabilités et les attaques pertinentes sont démontrées à travers des exercices faciles à comprendre, suivis des directives de codage recommandées et des techniques d’atténuation possibles.

Les participants suivant ce cours vont

• Comprendre les concepts de base de la sécurité, de la cybersécurité et du codage sécurisé
• Apprendre les vulnérabilités Web au-delà des OWASP Top Ten et savoir comment les éviter
• Apprendre à utiliser les diverses fonctionnalités de sécurité de l’environnement de développement Java
• Avoir une compréhension pratique de la cryptographie
• Apprendre sur les erreurs de codage typiques et comment les éviter
• Obtenir des informations sur certaines vulnérabilités récentes du framework Java
• Obtenir des sources et des lectures supplémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs

De nombreux langages de programmation sont disponibles aujourd'hui pour compiler du code vers les frameworks .NET et ASP.NET. Cet environnement offre des moyens puissants pour le développement sécurisé, mais les développeurs doivent savoir comment appliquer les techniques de programmation au niveau de l'architecture et du code afin d'implémenter les fonctionnalités de sécurité souhaitées, d'éviter les vulnérabilités ou d'en limiter l'exploitation.

Ce cours a pour objectif d'enseigner aux développeurs, à travers de nombreux exercices pratiques, comment empêcher le code non fiable d'exécuter des actions privilégiées, protéger les ressources grâce à une authentification et une autorisation robustes, fournir des appels de procédure à distance, gérer les sessions, proposer différentes implémentations pour certaines fonctionnalités, et bien plus encore.

L'introduction aux différentes vulnérabilités commence par la présentation de problèmes de programmation typiques commis lors de l'utilisation de .NET, tandis que la discussion sur les vulnérabilités d'ASP.NET traite également des divers paramètres d'environnement et de leurs effets. Enfin, le sujet des vulnérabilités spécifiques à ASP.NET ne se limite pas aux défis généraux de la sécurité des applications web, mais aborde également des problèmes particuliers et des méthodes d'attaque telles que l'attaque sur le ViewState ou les attaques par terminaison de chaîne.

Les participants suivant ce cours seront en mesure de

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendre les vulnérabilités web au-delà des OWASP Top Ten et savoir comment les éviter
• Apprendre à utiliser diverses fonctionnalités de sécurité de l'environnement de développement .NET
• Acquérir des connaissances pratiques sur l'utilisation des outils de test de sécurité
• Apprendre à connaître les erreurs de codage typiques et comment les éviter
• Obtenir des informations sur certaines récentes vulnérabilités dans .NET et ASP.NET
• Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs

Ce cours introduit les concepts de sécurité courants, offre un aperçu de la nature des vulnérabilités, indépendamment des langages de programmation et des plateformes utilisés, et explique comment gérer les risques liés à la sécurité des logiciels dans les différentes phases du cycle de vie du développement logiciel. Sans entrer dans les détails techniques, il met en lumière certaines des vulnérabilités les plus intéressantes et les plus préoccupantes dans diverses technologies de développement logiciel, et présente les défis des tests de sécurité, ainsi que des techniques et des outils que l'on peut appliquer pour trouver les problèmes existants dans leur code.

Les participants suivants suivront ce cours

• Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Comprendre les vulnérabilités web, tant côté serveur que côté client
• Réaliser les graves conséquences d'une gestion non sécurisée des tampons
• Être informés de certaines vulnérabilités récentes dans les environnements de développement et les frameworks
• Apprendre les erreurs de codage typiques et comment les éviter
• Comprendre les approches et les méthodologies de test de sécurité

Public cible

Gestionnaires

Ce cours offre aux développeurs PHP les compétences essentielles pour rendre leurs applications résistantes aux attaques contemporaines via Internet. Les vulnérabilités web sont abordées à travers des exemples basés sur PHP, en allant au-delà du OWASP Top Ten, en traitant divers types d'injections, les attaques par injection de scripts, les attaques contre la gestion de session de PHP, les références directes d'objets non sécurisées, les problèmes liés aux téléchargements de fichiers, et bien d'autres. Les vulnérabilités liées à PHP sont présentées selon les types standards de vulnérabilités : validation d'entrée manquante ou incorrecte, gestion incorrecte des erreurs et exceptions, utilisation inappropriée des fonctionnalités de sécurité et problèmes liés au temps et à l'état. Pour ces derniers, nous discutons d'attaques telles que le contournement de open_basedir, les dénis de service par nombre flottant ou encore les attaques par collision de tables de hachage. Dans tous les cas, les participants se familiariseront avec les techniques et fonctions les plus importantes à utiliser pour atténuer les risques énumérés.

Une attention particulière est accordée à la sécurité côté client, en traitant des problèmes de sécurité liés à JavaScript, Ajax et HTML5. Plusieurs extensions de sécurité pour PHP sont introduites, comme hash, mcrypt et OpenSSL pour la cryptographie, ou Ctype, ext/filter et HTML Purifier pour la validation d'entrée. Les meilleures pratiques de durcissement sont expliquées en lien avec la configuration de PHP (définition du php.ini), Apache et le serveur en général. Enfin, une vue d'ensemble des outils et techniques de test de sécurité utilisés par les développeurs et testeurs est donnée, incluant des analyseurs statiques, scanners de sécurité, tests de pénétration, sniffers, serveurs proxy, outils de fuzzing et exploiteurs.

L'introduction des vulnérabilités ainsi que les pratiques de configuration sont soutenues par de nombreux exercices pratiques démontrant les conséquences des attaques réussies, montrant comment appliquer des techniques d'atténuation et introduisant l'utilisation des extensions et outils.

Les participants suivant ce cours seront

• En mesure de comprendre les concepts de base de la sécurité, la sécurité informatique et le codage sécurisé
• Capables d'apprendre les vulnérabilités web au-delà du OWASP Top Ten et de savoir comment les éviter
• Informés sur les vulnérabilités côté client et les pratiques de codage sécurisé
• Capables de comprendre pratiquement la cryptographie
• En mesure d'utiliser diverses fonctionnalités de sécurité de PHP
• Informés des erreurs de codage typiques et de comment les éviter
• Avertis sur les vulnérabilités récentes du framework PHP
• Capables d'utiliser des outils de test de sécurité avec une connaissance pratique
• Informés des sources et lectures complémentaires sur les pratiques de codage sécurisé

Audience

Développeurs

La formation fondamentale sur la SDL combinée offre un aperçu de la conception, du développement et des tests de logiciels sécurisés via le Cycle de développement sécurisé (SDL) de Microsoft. Elle fournit une introduction de niveau 100 aux éléments de base constitutifs de la SDL, suivie de techniques de conception applicables pour détecter et corriger les vulnérabilités dès les premières étapes du processus de développement.

Concernant la phase de développement, le cours présente un aperçu des bogues de programmation courants liés à la sécurité, tant pour le code managé que natif. Les méthodes d'attaque sont exposées pour les vulnérabilités abordées, accompagnées des techniques d'atténuation associées, le tout illustré par une série d'exercices pratiques offrant aux participants une expérience de piratage en direct et interactif. Une introduction aux différentes méthodes de test de sécurité est suivie de la démonstration de l'efficacité de divers outils de test. Les participants pourront comprendre le fonctionnement de ces outils grâce à plusieurs exercices pratiques consistant à appliquer les outils au code vulnérable déjà étudié.

Les participants qui suivent cette formation

Comprendreont les concepts de base de la sécurité, de la sécurité des TI et du codage sécurisé.

Se familiariseront avec les étapes essentielles du Cycle de développement sécurisé (SDL) de Microsoft.

Apprendront les pratiques de conception et de développement sécurisées.

Acquerront des connaissances sur les principes de mise en œuvre sécurisée.

Comprendront la méthodologie des tests de sécurité.

• Obtiendront des sources bibliographiques et des lectures complémentaires sur les pratiques de codage sécurisé.

Public cible

Développeurs, Chefs de projet

Après avoir acquis une bonne compréhension des vulnérabilités et des méthodes d'attaque, les participants découvrent l'approche générale et la méthodologie des tests de sécurité, ainsi que les techniques applicables pour révéler des vulnérabilités spécifiques. Les tests de sécurité doivent commencer par la collecte d'informations sur le système (la Cible d'Évaluation, c'est-à-dire le Target of Evaluation), puis un modélisation des menaces approfondie doit identifier et évaluer toutes les menaces, aboutissant à un plan de test piloté par l'analyse des risques la plus appropriée.

Les évaluations de sécurité peuvent intervenir à différentes étapes du cycle de vie du développement logiciel (SDLC). Nous y abordons donc la révision de la conception, la revue de code, la reconnaissance et la collecte d'informations sur le système, le test de l'implémentation, ainsi que les tests et le durcissement de l'environnement pour un déploiement sécurisé. De nombreuses techniques de test de sécurité sont présentées en détail, telles que l'analyse du flux de taches (taint analysis) et la revue de code basée sur des heuristiques, l'analyse statique de code, les tests de vulnérabilité dynamique des applications web ou le fuzzing. Différents types d'outils sont présentés afin d'automatiser l'évaluation de la sécurité des produits logiciels, ce qui est également illustré par une série d'exercices durant lesquels nous utilisons ces outils pour analyser des codes vulnérables déjà discutés. De nombreux cas pratiques réels facilitent une meilleure compréhension des diverses vulnérabilités.

Ce cours prépare les testeurs et le personnel QA à planifier adéquatement et à exécuter avec précision des tests de sécurité, à sélectionner et utiliser les outils et techniques les plus adaptés pour découvrir même les failles de sécurité les plus cachées, offrant ainsi des compétences pratiques essentielles qui peuvent être appliquées dès le lendemain sur le lieu de travail.

Les participants suivant ce cours

• Comprendront les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendront les vulnérabilités web au-delà du OWASP Top Ten et sauront comment les éviter
• Apprendront les vulnérabilités côté client et les pratiques de codage sécurisé
• Comprendront les approches et méthodologies des tests de sécurité
• Obtiendront des connaissances pratiques sur l'utilisation des techniques et outils de tests de sécurité
• Obtiendront des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Audience cible

Développeurs, Testeurs

La protection des applications accessibles via le web exige des professionnels de la sécurité bien préparés, constamment informés des méthodes et des tendances actuelles en matière d'attaques. De nombreuses technologies et environnements permettent un développement confortable des applications web. Il ne suffit pas d'être conscient des problèmes de sécurité spécifiques à ces plateformes, mais aussi de toutes les vulnérabilités générales qui s'appliquent indépendamment des outils de développement utilisés.

Le cours donne un aperçu des solutions de sécurité applicables aux applications web, en mettant un accent particulier sur la compréhension des solutions cryptographiques les plus importantes à mettre en œuvre. Les diverses vulnérabilités des applications web sont présentées tant du côté serveur (suivant le Top Ten de l'OWASP) que du côté client, démontrées par des attaques pertinentes, puis suivies des techniques de codage recommandées et des méthodes d'atténuation pour éviter les problèmes associés. Le sujet du codage sécurisé est complété par la discussion de certaines erreurs de programmation typiques liées à la sécurité dans le domaine de la validation des entrées, de l'utilisation impropre des fonctionnalités de sécurité et de la qualité du code.

Le test joue un rôle très important dans l'assurance de la sécurité et de la robustesse des applications web. Différentes approches – allant de l'audit de haut niveau au test d'intrusion en passant par le piratage éthique – peuvent être appliquées pour trouver des vulnérabilités de différents types. Cependant, si vous voulez aller au-delà des fruits faciles à cueillir (les vulnérabilités évidentes), le test de sécurité doit être bien planifié et correctement exécuté. Souvenez-vous : les testeurs de sécurité devraient idéalement trouver tous les bugs pour protéger un système, tandis que pour les attaquants, il suffit de trouver une seule vulnérabilité exploitable pour y pénétrer.

Des exercices pratiques aideront à comprendre les vulnérabilités des applications web, les erreurs de programmation et, surtout, les techniques d'atténuation. Grâce à des essais concrets de divers outils de test, allant des scanners de sécurité aux outils d'analyse statique de code source, ce cours donne les compétences pratiques essentielles qui peuvent être appliquées dès le lendemain au travail.

Les participants suivant ce cours

• Comprendront les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
• Apprendront les vulnérabilités Web au-delà du Top Ten de l'OWASP et sauront comment les éviter
• Apprendront les vulnérabilités côté client et les pratiques de codage sécurisé
• Auront une compréhension pratique de la cryptographie
• Comprendront les approches et méthodologies de test de sécurité
• Obtiendront des connaissances pratiques sur l'utilisation des techniques et outils de test de sécurité
• Seront informés des récentes vulnérabilités dans diverses plateformes, frameworks et bibliothèques
• Obtiendront des sources et des lectures supplémentaires sur les pratiques de codage sécurisé

Public visé

Développeurs, Testeurs

Lors de ce cours en présentiel et encadré par un formateur à <lieu>, les participants apprendront à formuler la stratégie de sécurité appropriée pour relever les défis de la sécurité dans un environnement DevOps.

L'examen EC-Council Certified DevSecOps Engineer (ECDE) est une formation pratique conçue pour doter les professionnels des compétences nécessaires pour intégrer la sécurité tout au long du cycle de vie DevOps, permettant ainsi un développement logiciel sécurisé, de la planification au déploiement.

Cette formation en présentiel ou en ligne, dirigée par un instructeur, s'adresse aux professionnels du logiciel et de DevOps de niveau intermédiaire souhaitant intégrer des pratiques de sécurité dans les pipelines CI/CD, garantissant une livraison de code sécurisée et conforme.

À l'issue de cette formation, les participants seront en mesure de :

• Comprendre les principes et pratiques du DevSecOps.
• Sécuriser chaque étape du pipeline CI/CD à l'aide d'outils automatisés.
• Mettre en œuvre des pratiques de codage sécurisé et du scanning de vulnérabilités.
• Se préparer à la certification ECDE grâce à des laboratoires pratiques et à des révisions.

Format de la formation

• Conférences interactives et discussions.
• Utilisation pratique des outils DevSecOps dans des pipelines simulés.
• Exercices guidés axés sur le développement et le déploiement sécurisés.

Options de personnalisation de la formation

• Pour demander une formation personnalisée pour ce cours, adaptée aux workflows ou à la chaîne d'outils de votre équipe, veuillez nous contacter afin de convenir des détails.

Ce cours en Canada vise à aider dans les domaines suivants :

1. Aider les développeurs à maîtriser les techniques d'écriture de code sécurisé
2. Aider les testeurs logiciels à vérifier la sécurité des applications avant leur mise en production
3. Aider les architectes logiciels à comprendre les risques entourant les applications
4. Aider les chefs d'équipe à définir les normes de sécurité pour les développeurs
5. Aider les webmasters à configurer les serveurs afin d'éviter les mauvaises configurations

Ce cours aborde les concepts et principes de codage sécurisé avec Java, selon la méthodologie de test du projet Open Web Application Security Project (OWASP). Le Open Web Application Security Project est une communauté en ligne qui crée des articles, méthodologies, documentation, outils et technologies disponibles gratuitement dans le domaine de la sécurité des applications web.