Développer des applications sécurisées - Avancée



Référence de la formation

KSE011

Niveau

  • Débutant
  • Intermédiaire
     

Nombre de jours

32 heures (4 heures/jour)

Prix

2.707,50 € HT

Lieu de la formation

V: v-learning, classe virtuelle



Pre-requis

  • Expérience et compréhension du développement d'applications
  • Un niveau d'anglais business moyen est requis car la formation sera dispensée en anglais
     

Public

Les développeurs d'applications et tous ceux qui cherchent à mieux
comprendre comment créer des applications sécurisées.

Objectifs de la formation

En matière de sécurité, l'accent a principalement été mis sur la
sécurisation de l'infrastructure réseau (pare-feu, VPN, etc.) et du
système d'exploitation du serveur (par exemple, les systèmes de
gestion des correctifs). Cependant, au cours des dernières années,
l'accent s'est déplacé vers la couche application. En effet, la sécurité
de l'infrastructure (réseau et système d'exploitation) s'est
considérablement améliorée tandis que les applications sont restées
vulnérables. La couche application est devenue la principale cible des
attaques, tandis que les applications sécurisées sont devenues
synonymes de meilleure qualité.
Le cours couvre les différents aspects de la sécurité des applications,
y compris l'authentification, l'autorisation, l'audit, la confidentialité et
l'intégrité des données, ainsi que les différentes technologies
répondant à ces exigences. Il comprend le modèle d'analyse des
risques et explique comment l'utiliser pour analyser les risques
associés aux vulnérabilités des applications.
Les participants apprennent à créer des applications sécurisées : en
commençant par inclure la sécurité dans le cycle de vie de
développement d'applications et en continuant à sécuriser les
pratiques de codage et les outils de test de sécurité.

Contenu du cours

Table 1: KSE011 - Contenu du cours
Chapter Description
Introduction
 
• The risks caused by unsecure applications: application vulnerabilities and associated threats
• Examples of application layer attacks and associated risks
• Security infrastructure and how it helps to protect the application
Encryption and
hash functions

 
• Ensure data confidentiality and data integrity
• Symmetric encryption
− Stream encryption algorithms
− Block encryption algorithms
• Asymmetric encryption
• Message hash functions and HMAC
• Digital signatures and digital certificates
• How to secure the data
• Crypto++ examples
• Confidentiality best practices
Authentication
and Identity
Management
• Passwords including password management
• Challenge-resp authentication and tokens
• One-time passwords (OTP) and OTP tokens
• Smart cards and public key technology
• Password storage and management
• Brute force and dictionary attacks
• Biometric authentication
• Two factor authentication
• Ticket based authentication
• Digital certificates
• PKI / PAM / RADIUS / ID Management
Application
Layer
Vulnerabilities
• Coding vulnerabilities
− Input validation
− Injection attacks
− Application layer DoS
• Business logic vulnerabilities
Input Validation • Server side validation
• Client side validation
• Input validation using positive security logic
• Input validation using negative security logic
• Canonicalization and evasion
• Injection attacks and countermeasures
Authorization
and Access
Control
• The principle of least privileges
• Access control matrix
• Discretionary Access Control (DAC)
• Mandatory Access Control (MAC)
• Role Based Access Control (RBAC)
• Distributed enforcement model with centralized management
Auditing and
Logging
• The need
• Central logging
• Auditing and log analysis
Risk Analysis
and Threats
• Vulnerability, threat and risk
• Risk analysis and risk mitigation
• Security risks
• Identifying threats
• STRIDE threat model and threat modeling
• DREAD and risk management
• Responding to threats (risk mitigation)

SDLC – Secure
Development
Life Cycle
• The Methodology
• Integrating security requirements
• Secure design
• Secure coding
• Security testing
• Security in deployment, support and maintenance
• Security policy management
Secure Design • Guidelines to designing secure applications
• Reducing the attack surface
• Identifying trusts and secrets
Threat Modeling
and SDLC Tools
• Microsoft threat analysis and modeling tool
• Pattern and practice check lists
• Creating a threat model
Application
Layer
Vulnerabilities
• Business logic vulnerabilities
• Coding vulnerabilities
• Web application vulnerabilities
− Injection attacks
− Buffer overflow
− XSS, cross site scripting
− XSRF, cross site request forgery
− Application layer DoS and DDoS
Web Services
Security
Standards
• XML encryption
• XML digital signatures
• SAML
• XCAML
• Web service security
Secure
Communication
Protocols
• SSL
• IPSec
The End • Summary
• Q&A
• Course’s Evaluation

Dates


01 Sept 2020 au 01 Oct 2020


05 Oct 2020 au 28 Oct 2020


02 Nov 2020 au 25 Nov 2020


NOTE :
ATTENTION CETTE FORMATION EST SUR MESURE
CE COURS EST REALISABLE TOUTE L'ANNEE AVEC UN MINIMUM DE 5 PARTICIPANTS


Des questions ?

+33 (0) 950 20 91 64


Inscription ou Demande de devis