Plan du cours
A01:2025 - Contrôle d'accès brisé
A02:2025 - Configuration de sécurité incorrecte
A03:2025 - Défaillances de la chaîne d'approvisionnement logicielle
A04:2025 - Échecs cryptographiques
A05:2025 - Injection
A06:2025 - Conception non sécurisée
A07:2025 - Défaillances d'authentification
A08:2025 - Défaillances de l'intégrité des logiciels ou des données
A09:2025 - Défaillances de la journalisation et de l'alerte de sécurité
A10:2025 - Mauvaise gestion des conditions exceptionnelles
A01:2025 Contrôle d'accès brisé - Le contrôle d'accès applique une politique selon laquelle les utilisateurs ne peuvent pas agir en dehors de leurs autorisations prévues. Les défaillances conduisent généralement à une divulgation non autorisée d'informations, à la modification ou à la destruction de toutes les données, ou à l'exécution d'une fonction commerciale au-delà des limites de l'utilisateur.
A02:2025 Configuration de sécurité incorrecte - La configuration de sécurité incorrecte se produit lorsqu'un système, une application ou un service cloud est mal configuré du point de vue de la sécurité, créant ainsi des vulnérabilités.
A03:2025 Défaillances de la chaîne d'approvisionnement logicielle - Les défaillances de la chaîne d'approvisionnement logicielle correspondent à des ruptures ou à d'autres compromissions dans le processus de construction, de distribution ou de mise à jour des logiciels. Elles sont souvent causées par des vulnérabilités ou des modifications malveillantes dans le code tiers, les outils ou d'autres dépendances dont le système dépend.
A04:2025 Échecs cryptographiques - En règle générale, toutes les données en transit doivent être chiffrées au niveau du transport (couche 4 du modèle OSI). Les obstacles précédents, tels que les performances du processeur et la gestion des clés privées et des certificats, sont maintenant gérés par les processeurs disposant d'instructions conçues pour accélérer le chiffrement (par exemple, le support AES) et la gestion simplifiée des clés privées et des certificats par des services tels que LetsEncrypt.org, les grands fournisseurs de cloud offrant des services de gestion des certificats encore plus intégrés pour leurs plateformes spécifiques. Au-delà de la sécurisation de la couche de transport, il est important de déterminer quelles données nécessitent un chiffrement au repos ainsi que quelles données nécessitent un chiffrement supplémentaire en transit (à la couche application, couche 7 du modèle OSI). Par exemple, les mots de passe, les numéros de carte de crédit, les dossiers de santé, les informations personnelles et les secrets commerciaux nécessitent une protection supplémentaire, surtout si ces données relèvent de lois sur la confidentialité, par exemple, le Règlement général sur la protection des données (RGPD) de l'UE, ou de réglementations telles que la norme de sécurité des données PCI (PCI DSS).
A05:2025 Injection - Une vulnérabilité d'injection est un défaut du système qui permet à un attaquant d'insérer du code ou des commandes malveillants (tels que du code SQL ou shell) dans les champs de saisie d'un programme, trompant le système pour qu'il exécute le code ou les commandes comme s'ils faisaient partie du système. Cela peut entraîner des conséquences véritablement désastreuses.
A06:2025 Conception non sécurisée - La conception non sécurisée est une catégorie large représentant différentes faiblesses, exprimées comme « la conception manquante ou inefficace de contrôles ». La conception non sécurisée n'est pas la source de toutes les autres catégories de risques du Top Ten. Notez qu'il existe une différence entre la conception non sécurisée et l'implémentation non sécurisée. Nous différencions les défauts de conception des défauts d'implémentation pour une bonne raison : ils ont des causes racines différentes, se produisent à des moments différents du processus de développement et nécessitent des remédiations différentes. Une conception sécurisée peut toujours présenter des défauts d'implémentation conduisant à des vulnérabilités qui peuvent être exploitées. Une conception non sécurisée ne peut pas être corrigée par une implémentation parfaite car les contrôles de sécurité nécessaires n'ont jamais été créés pour se défendre contre des attaques spécifiques. L'un des facteurs qui contribuent à une conception non sécurisée est l'absence de profilage des risques commerciaux inhérent au logiciel ou au système en cours de développement, et donc l'échec à déterminer le niveau de conception de sécurité requis.
A07:2025 Défaillances d'authentification - Cette vulnérabilité est présente lorsqu'un attaquant est capable de tromper un système pour qu'il reconnaisse un utilisateur invalide ou incorrect comme légitime.
A08:2025 Défaillances de l'intégrité des logiciels ou des données - Les défaillances de l'intégrité des logiciels et des données concernent le code et l'infrastructure qui ne protègent pas contre le traitement du code ou des données non valides ou non fiables comme s'ils étaient fiables et valides. Un exemple est celui où une application dépend de plugins, de bibliothèques ou de modules provenant de sources, de référentiels et de réseaux de diffusion de contenu (CDN) non fiables. Un pipeline CI/CD non sécurisée qui ne consomme pas et ne fournit pas de vérifications d'intégrité des logiciels peut introduire un potentiel d'accès non autorisé, de code non sécurisé ou malveillant, ou de compromission du système. Un autre exemple est un CI/CD qui récupère du code ou des artefacts depuis des endroits non fiables et/ou ne les vérifie pas avant utilisation (en vérifiant la signature ou un mécanisme similaire).
A09:2025 Défaillances de la journalisation et de l'alerte de sécurité - Sans journalisation et surveillance, les attaques et les violations ne peuvent pas être détectées, et sans alerte, il est très difficile de répondre rapidement et efficacement lors d'un incident de sécurité. Une journalisation insuffisante, une surveillance continue, la détection et l'alerte pour initier des réponses actives se produisent à tout moment
A10:2025 Mauvaise gestion des conditions exceptionnelles - La mauvaise gestion des conditions exceptionnelles dans les logiciels se produit lorsque les programmes ne parviennent pas à empêcher, détecter et répondre à des situations inhabituelles et imprévisibles, ce qui entraîne des plantages, un comportement inattendu et parfois des vulnérabilités. Cela peut impliquer un ou plusieurs des trois échecs suivants : l'application n'empêche pas une situation inhabituelle de se produire, elle n'identifie pas la situation alors qu'elle se produit, et/ou elle répond mal ou pas du tout à la situation par la suite.
Nous discuterons et présenterons les aspects pratiques de :
Contrôle d'accès brisé
- Exemples pratiques de contrôles d'accès brisés
- Contrôles d'accès sécurisés et meilleures pratiques
Configuration de sécurité incorrecte
- Exemples concrets de configurations incorrectes
- Étapes pour prévenir les configurations incorrectes, y compris la gestion de configuration et les outils d'automatisation
Échecs cryptographiques
- Analyse détaillée des échecs cryptographiques tels que les algorithmes de chiffrement faibles ou la gestion incorrecte des clés
- Importance des mécanismes cryptographiques forts, des protocoles sécurisés (SSL/TLS) et exemples de cryptographie moderne dans la sécurité web
Attaques par injection
- Décomposition détaillée des injections SQL, NoSQL, OS et LDAP
- Techniques d'atténuation utilisant des instructions préparées, des requêtes paramétrées et l'échappement des entrées
Conception non sécurisée
- Nous explorerons les défauts de conception qui peuvent conduire à des vulnérabilités, comme une validation incorrecte des entrées
- Nous étudierons les stratégies d'architecture sécurisée et les principes de conception sécurisée
Défaillances d'authentification
- Problèmes courants d'authentification
- Stratégies d'authentification sécurisée, comme l'authentification multifacteur et la gestion appropriée des sessions
Défaillances de l'intégrité des logiciels et des données
- Concentration sur les problèmes tels que les mises à jour logicielles non fiables et la modification des données
- Mécanismes de mise à jour sûrs et vérifications de l'intégrité des données
Défaillances de la journalisation et de la surveillance de sécurité
- Importance de la journalisation des informations pertinentes pour la sécurité et de la surveillance des activités suspectes
- Outils et pratiques pour une journalisation appropriée et une surveillance en temps réel afin de détecter les violations tôt
Pré requis
- Une compréhension générale du cycle de développement web
- De l'expérience dans le développement et la sécurité des applications web
Public cible
- Développeurs web
- Dirigeants
Nos clients témoignent (7)
Que chaque leçon technique soit accompagnée de plusieurs exercices pratiques pour bien maîtriser les concepts.
Andrei-Calin Bajea
Formation - OWASP Top 10 2025
Traduction automatique
formation très dynamique et flexible !
Valentina Giglio - Fincons SPA
Formation - OWASP Top 10
Traduction automatique
Exercices de laboratoire
Pietro Colonna - Fincons SPA
Formation - OWASP Top 10
Traduction automatique
Les composants interactifs et les exemples.
Raphael - Global Knowledge
Formation - OWASP Top 10
Traduction automatique
Approche pratique et connaissances du formateur
RICARDO
Formation - OWASP Top 10
Traduction automatique
Les connaissances du formateur étaient phénoménales
Patrick - Luminus
Formation - OWASP Top 10
Traduction automatique
exercices, même s'ils sortent de ma zone de confort.
Nathalie - Luminus
Formation - OWASP Top 10
Traduction automatique
