{"id":12738,"date":"2022-06-29T08:51:31","date_gmt":"2022-06-29T08:51:31","guid":{"rendered":"http:\/\/705consulting.com\/?page_id=12738"},"modified":"2023-02-21T17:16:54","modified_gmt":"2023-02-21T17:16:54","slug":"formation-developpement-securite","status":"publish","type":"page","link":"https:\/\/705consulting.com\/index.php\/formation-developpement-securite\/","title":{"rendered":"Formation D\u00e9veloppement S\u00e9curit\u00e9"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-page\" data-elementor-id=\"12738\" class=\"elementor elementor-12738\">\n\t\t\t\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-f33dc0e elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"f33dc0e\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-1dc8c4e\" data-id=\"1dc8c4e\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t\t\t<div class=\"elementor-element elementor-element-a234e79 elementor-widget elementor-widget-witr_section_service\" data-id=\"a234e79\" data-element_type=\"widget\" data-widget_type=\"witr_section_service.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\n\t\t\t<div class=\"service-item all_color_service text-left \">\n\t\t\t\t<div class=\"service_top_image\">\n\t\t\t\t\t<!-- image -->\n\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"http:\/\/705consulting.com\/wp-content\/uploads\/2021\/01\/video.jpg\" alt=\"\" \/>\n\t\t\t\t\t\t\t\t\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"text_box all_icon_color\">\n\t\t\t\t\t<!-- icon -->\n\t\t\t\t\t\t\t\t\t\t<!-- custom icon -->\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t<!-- image -->\n\t\t\t\t\t\t\n\t\t\t\t\t<!-- title -->\n\t\t\t\t\t\t\t\t\t\t<!-- content -->\n\t\t\t\t\t\t\t\t\t\t\t<p>Les applications sont maintenant ouvertes au monde et les vecteurs d'attaques ont \u00e9t\u00e9 d\u00e9multipli\u00e9s. L'exploitation de ces intrusions est m\u00eame devenue un param\u00e8tre \u00e9conomique important. \nInt\u00e9grer quelques \"bonnes pratiques\" n'am\u00e9liore que marginalement la s\u00e9curit\u00e9 d'un produit. Il est indispensable de construire une solution autour d'une \u00e9quipe qui a \u00e9t\u00e9 sensibilis\u00e9e \u00e0 la question de la s\u00e9curisation des d\u00e9veloppements. Nos consultants formateurs, tous fortement impliqu\u00e9s dans les aspects li\u00e9s \u00e0 la s\u00e9curit\u00e9 du d\u00e9veloppement des applications, sont oblig\u00e9s de suivre activement les nouveaut\u00e9s en la mati\u00e8re. Ainsi, les mises \u00e0 jour de nos programmes de cours sont faites pratiquement en temps r\u00e9el.\n\n <\/p>\t\t\n\t\t\t\t\t\t\t\t\t\t<!-- button -->\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t<\/div> <!-- text_box -->\t\t\t\t\t\t\t\n\t\t\t<\/div> <!-- service item -->\t\t\t\t\t\t\t\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-9cc7219 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"9cc7219\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-a684d43\" data-id=\"a684d43\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t\t\t<div class=\"elementor-element elementor-element-d310a8a elementor-widget elementor-widget-accordion\" data-id=\"d310a8a\" data-element_type=\"widget\" data-widget_type=\"accordion.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.7.8 - 02-10-2022 *\/\n.elementor-accordion{text-align:left}.elementor-accordion .elementor-accordion-item{border:1px solid #d4d4d4}.elementor-accordion .elementor-accordion-item+.elementor-accordion-item{border-top:none}.elementor-accordion .elementor-tab-title{margin:0;padding:15px 20px;font-weight:700;line-height:1;cursor:pointer;outline:none}.elementor-accordion .elementor-tab-title .elementor-accordion-icon{display:inline-block;width:1.5em}.elementor-accordion .elementor-tab-title .elementor-accordion-icon svg{width:1em;height:1em}.elementor-accordion .elementor-tab-title .elementor-accordion-icon.elementor-accordion-icon-right{float:right;text-align:right}.elementor-accordion .elementor-tab-title .elementor-accordion-icon.elementor-accordion-icon-left{float:left;text-align:left}.elementor-accordion .elementor-tab-title .elementor-accordion-icon .elementor-accordion-icon-closed{display:block}.elementor-accordion .elementor-tab-title .elementor-accordion-icon .elementor-accordion-icon-opened,.elementor-accordion .elementor-tab-title.elementor-active .elementor-accordion-icon-closed{display:none}.elementor-accordion .elementor-tab-title.elementor-active .elementor-accordion-icon-opened{display:block}.elementor-accordion .elementor-tab-content{display:none;padding:15px 20px;border-top:1px solid #d4d4d4}@media (max-width:767px){.elementor-accordion .elementor-tab-title{padding:12px 15px}.elementor-accordion .elementor-tab-title .elementor-accordion-icon{width:1.2em}.elementor-accordion .elementor-tab-content{padding:7px 15px}}.e-container>.elementor-widget-accordion{width:var(--container-widget-width,100%)}<\/style>\t\t<div class=\"elementor-accordion\" role=\"tablist\">\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2211\" class=\"elementor-tab-title\" data-tab=\"1\" role=\"tab\" aria-controls=\"elementor-tab-content-2211\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION BONNES PRATIQUES DE CODAGES AU SERVICE DE LA SECURITE  <\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2211\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"1\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2211\"><h2>Objectifs de la formation<\/h2><p>Cette<strong>\u00a0<\/strong><strong>formation Bonnes pratiques de codage au service de la s\u00e9curit\u00e9<\/strong>\u00a0va vous permettre d\u2019obtenir un code propre, lisible, simple et compr\u00e9hensible. Les cons\u00e9quences imm\u00e9diates sont des tests unitaires sont simplifi\u00e9s, des risques d\u2019erreur de codage minimis\u00e9s, et un apprentissage facilit\u00e9 du code m\u00e9tier.<\/p><p>Tout ceci concourt \u00e0 augmenter le niveau de fiabilit\u00e9, de stabilit\u00e9 et de s\u00e9curit\u00e9 du code de l\u2019application, en diminuant le risque d\u2019ouvrir des failles applicatives.<br \/>Les concepts pr\u00e9sent\u00e9s sont assez g\u00e9n\u00e9riques pour \u00eatre appliqu\u00e9s quel que soit le langage objet utilis\u00e9.<br \/><br \/>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances n\u00e9cessaires pour:<\/p><ul><li>Savoir mettre en oeuvre les bonnes pratiques SOLID et objets calisthenics.<\/li><\/ul><ul><li>Comprendre les risques li\u00e9s au codage d\u2019une application (rigidit\u00e9, fragilit\u00e9, immobilisme, \u2026)<\/li><li>Conna\u00eetre les r\u00e8gles de base utilis\u00e9es en secure coding<\/li><\/ul><p>Comprendre et mettre en oeuvre les bonnes pratiques SOLID et object calisthenics<\/p><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>\u00a0Public :<\/strong><\/p><p>Cette formation s&#8217;adresse aux d\u00e9veloppeurs et chefs de projets.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Pour participer \u00e0 cette formation il est conseill\u00e9 d&#8217;avoir des connaissances d&#8217;un langage de programmation objet.<\/p><h2>Contenu du cours<\/h2><ol><li><h3>Cycle de vie d\u2019une application<\/h3><p>Cr\u00e9ation, maintenance, \u00e9volutivit\u00e9, testabilit\u00e9, &#8230;<br \/>Reprise du legacy code<br \/>Causes de r\u00e9gression et de bugs<br \/>Complexit\u00e9 cyclomatique<\/p><h3>CERT<\/h3><p>Pr\u00e9sentation des CERT<br \/>R\u00e8gles de bases g\u00e9n\u00e9riques<br \/>Syntaxe, utilisation des num\u00e9riques, initialisations, visibilit\u00e9s, \u2026<br \/>S\u00e9rialisation des objets<br \/>Utilisation des logs<\/p><h3>Utilisation des frameworks<\/h3><p>SQL vs ORM<br \/>Frameworks de s\u00e9curit\u00e9<\/p><h3>Les principes SOLID<\/h3><p><strong>Comment cr\u00e9er les principes une application maintenable, extensible, r\u00e9utilisable et testable avec les principes IMPORTANTS de la programmation objet<\/strong><\/p><p><strong>S<\/strong>ingle Responsability Principle &#8211; responsabilit\u00e9 unique<br \/><strong>O<\/strong>pen\/Close Principle &#8211; ouverture aux extensions et fermeture aux modifications<br \/><strong>L<\/strong>iskov Substitution Principle &#8211; substitution de Liskov<br \/><strong>I<\/strong>nterface Segregation Principle &#8211; s\u00e9gr\u00e9gation des interface<br \/><strong>D<\/strong>ependency Inversion Principle &#8211; inversion des d\u00e9pendances<\/p><h3>Object Calisthenics<\/h3><p>Comment penser son code autrement<br \/>Comment am\u00e9liorer la qualit\u00e9 de son code (lisibilit\u00e9, maintenabilit\u00e9, r\u00e9utilisabilit\u00e9, testabilit\u00e9, encapsulation)<\/p><p><strong>Les 9 r\u00e8gles de base<\/strong><\/p><p>Un niveau d\u2019indentation<br \/>Pas d\u2019utilisation de ELSE<br \/>Cr\u00e9er des classes enveloppes (wrappers) pour les types primitifs et String<br \/>Encapsuler les collections dans des classes<br \/>Un concept par ligne d\u2019instruction<br \/>Ne pas utiliser d\u2019abr\u00e9viation<br \/>Garder un code \u201cpetit\u201d<br \/>Pas de classes avec plus de deux variables d\u2019instance<br \/>Pas de getters et setters<\/p><h3>Quelques outils d\u2019analyse statique de code<\/h3><p>propri\u00e9taires vs libres<br \/>CodeSonar, RATS, CppLint, VCG,\u00a0<\/p><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2212\" class=\"elementor-tab-title\" data-tab=\"2\" role=\"tab\" aria-controls=\"elementor-tab-content-2212\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION SECURITE DES APPLICATIONS JAVA \/ JAVAEE <\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2212\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"2\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2212\"><h2>Objectifs de la formation<\/h2><p>Le langage Java contient intrins\u00e8quement de nombreux m\u00e9canismes permettant l&#8217;\u00e9laboration de programmes s\u00fbrs. Ces m\u00e9canismes couvrent diff\u00e9rentes facettes de la s\u00e9curit\u00e9 comme l&#8217;int\u00e9grit\u00e9, la confidentialit\u00e9, l&#8217;identification s\u00fbre ou la protection contre les malveillances.<\/p><p>Cette formation\u00a0<strong>S\u00e9curit\u00e9 des applications<\/strong>\u00a0<strong>Java<\/strong>\u00a0permet de passer en revue ces diff\u00e9rents sujets et propose \u00e0 chaque fois des ateliers p\u00e9dagogiques permettant de comprendre en profondeur les m\u00e9canismes d&#8217;ex\u00e9cution de la JVM. Le dernier chapitre se concentre sur les sp\u00e9cificit\u00e9s des applications web Java EE en d\u00e9taillant SSL, le mod\u00e8le de s\u00e9curit\u00e9 des diff\u00e9rents tiers ainsi que les sp\u00e9cificit\u00e9s des architectures SOA.<\/p><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Savoir s\u00e9curiser des applications Java.<\/li><\/ul><ul><li>Connaitre les concepts li\u00e9s \u00e0 la s\u00e9curit\u00e9<\/li><li>Savoir charger et v\u00e9rifier des classes<\/li><li>Connaitre le\u00a0 cross-site scripting et la s\u00e9curit\u00e9 li\u00e9e<\/li><li>Maitriser le\u00a0 gestionnaire de s\u00e9curit\u00e9 et permissions<\/li><li>Maitriser\u00a0 SSL et Java<\/li><\/ul><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>Public :<\/strong><\/p><p>Cette formation S\u00e9curit\u00e9 Java s&#8217;adresse \u00e0 des D\u00e9veloppeurs ou Chefs de projet.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Il est demand\u00e9 aux participants de conna\u00eetre les notions de base du langage Java.<\/p><h2>Contenu du cours<\/h2><ol><li><h3>Introduction aux concepts li\u00e9s \u00e0 la s\u00e9curit\u00e9<\/h3><p>Identification et m\u00e9thodes d&#8217;authentification.<br \/>Autorisations et permissions.<br \/>Confidentialit\u00e9, non-r\u00e9pudiation, cryptage, cl\u00e9s publiques\/priv\u00e9es, autorit\u00e9s de certification.<br \/>Pare-feu et DMZ, rupture de protocole.<br \/>Les types d&#8217;attaques.<br \/>Le mod\u00e8le de s\u00e9curit\u00e9 de la JVM<\/p><h3>Chargement et v\u00e9rification des classes<\/h3><p>Un des premiers m\u00e9canismes impl\u00e9ment\u00e9s par la JVM est de s&#8217;assurer que le code charg\u00e9 en m\u00e9moire ne peut contourner les m\u00e9canismes de protection du langage.<br \/>R\u00f4le du compilateur Java<br \/>R\u00f4le des classloader<br \/>Les diff\u00e9rentes zones m\u00e9moires de la JVM et leur gestion par le garbage collector<br \/>Hi\u00e9rarchie des diff\u00e9rents classloader<br \/>V\u00e9rification du byte-code<br \/>Chargement dynamique ce classe<br \/>Impl\u00e9menter un class loader<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Modification d&#8217;un fichier .class et ex\u00e9cution avec l&#8217;option -noverify, Impl\u00e9mentation d&#8217;un classloader chargeant des classes crypt\u00e9es.<\/em><\/p><h3>Cross-site scripting et s\u00e9curit\u00e9<\/h3><p>Le principe du XSS (injection de contenu)<br \/>Liens avec les programmes Java<br \/>D\u00e9clinaisons (Stored XSS, Reflected XSS, DOM-based XSS)<br \/>Nouvelles &#8220;possibilit\u00e9s&#8221; avec le HTML 5<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Exemples d&#8217;hame\u00e7onngae et de r\u00e9cup\u00e9ration de cookies.<\/em><\/p><p><strong>Gestionnaire de s\u00e9curit\u00e9 et permissions<\/strong><\/p><p>Les permissions et le gestionnaire de s\u00e9curit\u00e9 permettent de contr\u00f4ler finement les autorisations d&#8217;un programme et ses interactions avec son environnement.<br \/>Op\u00e9rations contr\u00f4lables<br \/>Activation du gestionnaire de s\u00e9curit\u00e9<br \/>Domaine de protection, provenance du code et permissions<br \/>Parcours de l&#8217;API<br \/>Fichier .policy<br \/>Les classes Permission<br \/>Impl\u00e9mentation d&#8217;une classe Permission<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Mise au point d&#8217;un fichier .policy, impl\u00e9mentation d&#8217;une classe Permission.<\/em><\/p><h3>JAAS, Authentification et Autorisations<\/h3><p>JAAS offre les services d&#8217;authentification et d&#8217;autorisations des utilisateurs ou syst\u00e8mes externes interagissant avec l&#8217;application tout en restant du ind\u00e9pendant de la technologie d&#8217;authentification.<br \/>Pr\u00e9sentation de JAAS<br \/>LoginContext \/ LoginModule, Configuration et empilement des login modules<br \/>LoginModule commun\u00e9ment disponibles<br \/>Impl\u00e9mentation d&#8217;un login module sp\u00e9cifique, les CallbackHandler<br \/>Autorisations, Objet Subject et Principals, Configuration des permissions<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Impl\u00e9mentation d&#8217;un LoginModule, Configuration des autorisations \u00e0 partir de r\u00f4les utilisateurs.<\/em><\/p><h3>Signatures num\u00e9riques et chiffrement<\/h3><p>Les techniques de cryptographie permettent de garantir la provenance d&#8217;un code et sa non alt\u00e9ration.<br \/>Empreinte de messsage, SHA1 et MD5<br \/>Signature num\u00e9rique, cl\u00e9 publiques et cl\u00e9s priv\u00e9es<br \/>L&#8217;outil keytool et les keystore<br \/>L&#8217;outil jarsigner<br \/>Les autorit\u00e9s de certification<br \/>D\u00e9ploiement de code sign\u00e9 dans un intranet ou sur internet<br \/>Permissions bas\u00e9es sur des keystore<br \/>Chiffrement de donn\u00e9es, les algorithmes AES et RSA<br \/><strong><em>Atelier<\/em><\/strong><em>V\u00e9rification d&#8217;une empreinte, D\u00e9ploiement d&#8217;un applet dans un intranet, Chiffrement sym\u00e9trique et asym\u00e9trique.<\/em><\/p><h3>SSL et Java<\/h3><p>Fonctions de Java Secure Socket Extension (JSSE). Comparaison avec Java GSS-API<br \/>Authentification via certificats X.509. TLS et SSL.<br \/>Encryption \u00e0 base de cl\u00e9s publiques, Java Cryptography Extension (JCE).<br \/>Utilisation de SSL avec HTTP.<br \/>Atelier &#8211; Configurer SSL et mise en oeuvre de sockets SSL. Utiliser des outils du JDK (Keystore).<br \/>La s\u00e9curit\u00e9 d&#8217;une application JEE<br \/>Authentification au niveau des conteneurs Web et EJB.<br \/>R\u00f4les applicatifs, permissions et descripteurs de d\u00e9ploiement XML.<br \/>Contr\u00f4les dynamiques via les API Servlets et EJB.<br \/>La s\u00e9curit\u00e9 dans les API : JDBC\/JPA, JNDI, JTA, JMS, JCA.<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>S\u00e9curit\u00e9 d&#8217;une application d\u00e9ploy\u00e9e dans Tomcat.<\/em><\/p><h3>La s\u00e9curit\u00e9 des services web SOAP<\/h3><p>S\u00e9curit\u00e9 au niveau HTTP.<br \/>S\u00e9curit\u00e9 au niveau SOAP &amp; WSDL avec WS-Security (WSS4J, XWSS&#8230;) &amp; WS-Policy.<br \/>Les handlers SOAP WS-Security exploitant JAAS.<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Mise en pratique avec une impl\u00e9mentation de WS-Security (XWSS).<\/em><\/p><h3>La s\u00e9curit\u00e9 des services web REST<\/h3><p>Utilisation de SSL avec JAX-RS.<br \/>Les apports de oAuth (authentification sur Internet).<br \/>oAuth 1.0 et 2.0.<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Mise en pratique avec une impl\u00e9mentation Apache CXF de JAX-RS.<\/em><\/p><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2213\" class=\"elementor-tab-title\" data-tab=\"3\" role=\"tab\" aria-controls=\"elementor-tab-content-2213\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION SECURITE DE L\u2019ACTIVE DIRECTORY <\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2213\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"3\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2213\"><h2>Objectifs de la formation<\/h2><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Savoir concevoir des architectures Active Directory s\u00e9curis\u00e9es<\/li><\/ul><ul><li>Concevoir des architectures AD s\u00e9curis\u00e9es<\/li><li>Tester la s\u00e9curit\u00e9 de vos infrastructures AD<\/li><li>Utiliser PowerShell pour la s\u00e9curisation AD<\/li><\/ul><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>Public :<\/strong><\/p><p>Ce cours S\u00e9curit\u00e9 Active Directory s&#8217;adresse aux responsables de la s\u00e9curit\u00e9 SI, administrateurs Windows et Active Directory (AD), gestionnaires de projet ax\u00e9s sur la s\u00e9curit\u00e9, architectes d&#8217;infrastructure et de syst\u00e8me, int\u00e9grateurs syst\u00e8me et responsable des superviseurs informatiques et de la protection des donn\u00e9es.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Pour suivre cette formation S\u00e9curit\u00e9 Active Directory, il est n\u00e9cessaire d&#8217;avoir des connaissances de base des environnements Active Directory et des syst\u00e8mes Windows.<\/p><h2><u>Contenu du cours <\/u><\/h2><ol><li><h3>Mesures de s\u00e9curisation de l&#8217;Active Directory<\/h3><p>Authentification par certificat et chiffrement TLS pour PowerShell<br \/>Certificats pour :<br \/>&#8211; L&#8217;authentification par carte \u00e0 puce de PowerShell Remoting<br \/>&#8211; Le chiffrement TLS de la communication \u00e0 distance PowerShell<br \/>&#8211; Signer des scripts PowerShell pour AppLocker<br \/>&#8211; Le chiffrement TLS des requ\u00eates WMI avec PowerShell<br \/>&#8211; Crypter les mots de passe administrateur (au lieu de LAPS)<br \/>&#8211; Les serveurs Web, les contr\u00f4leurs de domaine et tout le reste<br \/>Installer un serveur de certificats Windows avec PowerShell<\/p><h3>S\u00e9curit\u00e9 AD avanc\u00e9e<\/h3><p>Script d&#8217;installation PowerShell pour l&#8217;infrastructure \u00e0 cl\u00e9 publique (PKI)<br \/>G\u00e9rer les certificats num\u00e9riques avec PowerShell<br \/>Mod\u00e8les de certificats personnalis\u00e9s dans Active Directory<br \/>Contr\u00f4le de l&#8217;inscription automatique des certificats<br \/>Configuration d&#8217;une batterie de serveurs Web de r\u00e9pondeur OCSP (Online Certificate Status Protocol)<br \/>Configuration de la publication de la liste de r\u00e9vocation des certificats<br \/>D\u00e9ploiement de cartes \u00e0 puce, de jetons intelligents et de cartes \u00e0 puce virtuelles TPM<br \/>La r\u00e9f\u00e9rence en mati\u00e8re d&#8217;authentification multifacteur est une carte \u00e0 puce \/ un jeton<br \/>Jetons intelligents YubiKey pour la connexion, la communication \u00e0 distance PowerShell et bien plus<br \/>Cartes \u00e0 puce virtuelles Trusted Platform Module (TPM)<br \/>Enregistrer en toute s\u00e9curit\u00e9 des jetons et des cartes au nom d&#8217;autres utilisateurs<br \/>Comment r\u00e9voquer les certificats compromis<br \/>Script PowerShell pour :<br \/>&#8211; Auditer les autorit\u00e9s de certification racines de confiance<br \/>&#8211; Supprimer les certificats de pirate<\/p><h3>1.\u00a0\u00a0\u00a0 \u00a0<\/h3><h3>Automatisation du renforcement des serveurs pour DevOps<\/h3><p>Remplacement du gestionnaire de serveur par PowerShell<br \/>Ajout et suppression de r\u00f4les et de fonctionnalit\u00e9s<br \/>Collecte \u00e0 distance d&#8217;un inventaire des r\u00f4les et des fonctionnalit\u00e9s<br \/>Pourquoi utiliser Server Nano ou Server Core ?<br \/>Ex\u00e9cution automatique de PowerShell apr\u00e8s une panne de service<br \/>Identit\u00e9s, mots de passe et risques des comptes de service<br \/>Outils pour r\u00e9initialiser les mots de passe des comptes de service en toute s\u00e9curit\u00e9<\/p><h3>Script du pare-feu Windows<\/h3><p>Gestion PowerShell des r\u00e8gles du pare-feu Windows<br \/>Bloquer les connexions sortantes des logiciels malveillants<br \/>Contr\u00f4le d&#8217;acc\u00e8s bas\u00e9 sur les r\u00f4les pour les ports d&#8217;\u00e9coute<br \/>Int\u00e9gration IPsec approfondie pour l&#8217;authentification des utilisateurs<br \/>Journalisation du pare-feu dans les journaux d&#8217;\u00e9v\u00e9nements, pas dans les journaux texte<\/p><h3>2.\u00a0\u00a0\u00a0 \u00a0<\/h3><h3>Partager les autorisations pour les ports d&#8217;\u00e9coute TCP \/ UDP avec IPsec<\/h3><p>Gestion PowerShell des r\u00e8gles IPsec<br \/>IPsec pour bloquer les mouvements lat\u00e9raux post-exploitation<br \/>Limitation de l&#8217;acc\u00e8s aux ports en fonction de l&#8217;appartenance \u00e0 un groupe global<br \/>VLAN chiffr\u00e9s bas\u00e9s sur IPsec<br \/>IPsec n&#8217;est pas seulement pour les VPN !<\/p><h3>Protocoles et services exploitables<\/h3><p>Billets Kerberos<br \/>Attaques RDP (Remote Desktop Protocol)<br \/>Chiffrement natif SMBv3 vs Wireshark<br \/>NTLM, NTLMv2 et Kerberos<br \/>Gouffres DNS pour la d\u00e9tection des logiciels malveillants et des menaces<br \/>Attaques DNS DoS et limitation du taux de r\u00e9ponse<\/p><h3>\u00a0<\/h3><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2214\" class=\"elementor-tab-title\" data-tab=\"4\" role=\"tab\" aria-controls=\"elementor-tab-content-2214\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION PHP SECURITE <\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2214\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"4\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2214\"><h2>Objectifs de la formation<\/h2><p>De par sa nature m\u00eame, le service dynamique de pages web ouvre de nombreuses portes sur le monde ext\u00e9rieur. Pour le d\u00e9veloppeur, il est primordial de prendre conscience des types d&#8217;attaques auxquelles son code sera potentiellement expos\u00e9. Cette<strong>\u00a0<\/strong><strong>formation PHP S\u00e9curit\u00e9<\/strong>\u00a0se concentre sur le point de vue du d\u00e9veloppeur, les aspects &#8220;s\u00e9curisation serveur&#8221; \u00e9tant abord\u00e9s dans les cours d&#8217;administration. Une approche pratique bas\u00e9e sur des sessions de hacking \u00e9thique.<\/p><p>\u00a0<\/p><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Savoir s\u00e9curiser PHP avec de bons r\u00e9glages.<\/li><\/ul><ul><li>Connaitre les principes de &#8220;cookies&#8221; et de &#8220;Sessions&#8221; en PHP<\/li><li>Savoir s\u00e9curiser PHP .ini avec les bons r\u00e9glages<\/li><li>Maitriser PHP Object et PHP7<\/li><li>Prot\u00e9ger ses formulaires<\/li><li>Connaitre l\u2019acc\u00e8s au r\u00e9seau par PHP<\/li><li>Personnaliser la s\u00e9curit\u00e9 dans les Frameworks et briques logicielles<\/li><li>Savoir S\u00e9curiser l&#8217;emploi des extensions en PHP<\/li><\/ul><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>Public :<\/strong><\/p><p>Cette formation s&#8217;adresse aux d\u00e9veloppeurs PHP ayant d\u00e9j\u00e0 une bonne pratique du langage et d\u00e9sirant d\u00e9velopper des applications s\u00e9curis\u00e9es.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Les participants doivent bien conna\u00eetre la programmation sous PHP \/ Sql et avoir de bonnes notions de programmation Client (JavaScript).<\/p><h2>Contenu du cours<\/h2><ol><li><h3>Comprendre pour r\u00e9duire les risques des applications PHP<\/h3><p><strong>Les Risques<\/strong><\/p><p>Destruction de donn\u00e9es<br \/>D\u00e9tournement de site<br \/>Publication de donn\u00e9es confidentielles<br \/>Abus de ressources<br \/>Vol d&#8217;identit\u00e9<\/p><p><strong>Plan S\u00e9curit\u00e9<\/strong><\/p><p>Conception, D\u00e9veloppement et\u00a0 Maintenance<\/p><h3>S\u00e9curit\u00e9 et Pages Web<\/h3><p><strong>XSS<\/strong><\/p><p>Principe et m\u00e9thodes de protection<br \/>Moteur de recherche<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Mise en oeuvre et contrage d&#8217;une injection sur le site BDPhilia<\/em><\/p><p><strong>CSRF<\/strong><\/p><p>Principe et contre-mesures<br \/>Virus en base de donn\u00e9es<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Mise en oeuvre d&#8217;une propagation sur le forum BDPhilia<\/em><\/p><h3>Formulaires PHP : la grande porte<\/h3><p><strong>Les failles<\/strong><\/p><p>Validation et limitations de l&#8217;approche JavaScript HTML5<br \/>Cookies de contr\u00f4le<br \/>Cha\u00eenage, attaques HTTP et Ajax<br \/>Contre-mesures<br \/>Token<\/p><p><strong>Validation des entr\u00e9es<\/strong><\/p><p>Tests et principe des listes<br \/>Expressions r\u00e9guli\u00e8res, standards et filtres<\/p><p><strong>Upload de fichier<\/strong><\/p><p>Api File<br \/>Contr\u00f4le des fichiers charg\u00e9s<br \/>Failles et contre-mesures<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Ex\u00e9cution maligne d&#8217;un fichier t\u00e9l\u00e9charg\u00e9 via le backoffice de BDPhilia<\/em><\/p><h3>S\u00e9curit\u00e9 PHP : Cookies et Sessions<\/h3><p><strong>Cookies<\/strong><\/p><p>Principes et risques<br \/>Manipulation JavaScript<br \/>Tableaux de cookies<\/p><p><strong>Sessions<\/strong><\/p><p>Mode Cookie vs. Header<br \/>Principe du vol de session<\/p><h3>S\u00e9curiser PHP : les bons r\u00e9glages<\/h3><p><strong>PHP.ini<\/strong><\/p><p>Directives sensibles, sessions et erreurs<\/p><p><strong>Prot\u00e9ger les scripts<\/strong><\/p><p>Protection physique<br \/>Ex\u00e9cution de scripts distants ou \u00e0 la vol\u00e9e<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>R\u00e9glage des options sensibles. Discussion sur les cons\u00e9quences au niveau d\u00e9veloppement.<\/em><\/p><h3>S\u00e9curit\u00e9 PHP : Bases de Donn\u00e9es<\/h3><p><strong>Failles potentielles<\/strong><\/p><p>Risques : donn\u00e9es et administration<br \/>Stockage<\/p><p><strong>Injections SQL<\/strong><\/p><p>Principe et contre-mesure<br \/>Requ\u00eate pr\u00e9par\u00e9e<br \/>Proc\u00e9dures stock\u00e9es et requ\u00eates param\u00e9tr\u00e9es<br \/>Limites<\/p><p><strong>Fichiers d&#8217;acc\u00e8s<\/strong><\/p><p>Organisation et valeurs par d\u00e9faut<br \/>Acc\u00e8s anonymes et protocoles<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>R\u00e9\u00e9crire ses requ\u00eates sql en les prot\u00e9geant<\/em><\/p><h3>S\u00e9curit\u00e9 PHP : PHP Object et PHP7<\/h3><p>Ecriture Heredoc<br \/>Scope des variables et constantes<br \/>Heritage<br \/>MVC<\/p><p><strong><em>Travailler avec des M\u00e9thodes et Class prot\u00e9g\u00e9es<\/em><\/strong><\/p><h3>S\u00e9curiser l&#8217;emploi des extensions en PHP<\/h3><p><strong>Se prot\u00e9ger contre le SPAM<\/strong><\/p><p>Lire et \u00e9crire des fichiers XML<br \/>Lire et \u00e9crire des fichiers JSON<br \/>Les Webservices<br \/>Les Webservices securis\u00e9es<br \/>Deserialisation dans des classSpam via un formulaire de contact : Injections et contre-mesures<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Utiliser un formulaire de contact pour envoyer un mail \u00e0 3 adresses diff\u00e9rentes<\/em><\/p><p><strong>Acc\u00e8s r\u00e9seau par PHP<\/strong><\/p><p>Appels s\u00e9quentiels et r\u00e9cursifs<br \/>Attaque furtive<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Soumettre une url d\u00e9tourn\u00e9e PHP_SELF<\/em><\/p><p><strong>DoS<\/strong><\/p><p>Quotas et gestion des charges<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Test DDOS<\/em><\/p><p><strong>Mots de passe<\/strong><\/p><p>Renforcement et stockage<br \/>Cr\u00e9ation et rappel<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Projet de Recap<\/em><\/p><p><strong>Chiffrement et Signature<\/strong><\/p><p>Cryptage \/ d\u00e9cryptage : Impl\u00e9mentation PHP et MySql<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Cryptage des donn\u00e9es client<\/em><\/p><p><strong>Ruses de Sioux (Protection)<\/strong><\/p><p>Pot de Miel, Obfuscation et Turing invers\u00e9<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>Cr\u00e9er un pot de miel pour l&#8217;admin du BO, obfusquer les formulaires de recherche en MD5 et appliquer un test de Turing invers\u00e9 sur le formulaire de contact<\/em><\/p><p><strong>Frameworks et briques logicielles<\/strong><\/p><p>Gestion de la s\u00e9curit\u00e9 dans les d\u00e9veloppements composites<br \/>Sur des frameworks PHP (Symphony Laravel\u2026)<\/p><p><strong>Audit de S\u00e9curit\u00e9<\/strong><\/p><p>M\u00e9thodologie de base, Cross-test et Rapport d&#8217;Audit<\/p><p><strong><em>Atelier<\/em><\/strong><\/p><p><em>R\u00e9diger un rapport d&#8217;audit sur la version de base de BDPhilia et sur les mesures prises pour am\u00e9liorer la situation.<\/em><\/p><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2215\" class=\"elementor-tab-title\" data-tab=\"5\" role=\"tab\" aria-controls=\"elementor-tab-content-2215\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION DEVELOPPEMENT SECURISE EN C++ <\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2215\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"5\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2215\"><h2>Objectifs de la formation<\/h2><p>La s\u00e9curit\u00e9 informatique est devenue un enjeu technique et \u00e9conomique primordial.<\/p><p>Cette\u00a0<strong>formation D\u00e9veloppement S\u00e9curis\u00e9 en C++<\/strong>\u00a0a pour objectif de sensibiliser les d\u00e9veloppeurs et les chefs de projets \u00e0 la s\u00e9curit\u00e9 du code.<\/p><p>\u00a0<\/p><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Savoir ma\u00eetriser la s\u00e9curit\u00e9 du code.<\/li><\/ul><ul><li>Conna\u00eetre le fonctionnement de la pile<\/li><li>Rep\u00e9rer les erreurs dans le code<\/li><li>Conna\u00eetre le r\u00f4le des acteurs et la classification des risques : CERT, CWE, OWASP<\/li><li>Appliquer les bonnes pratiques.<p>La s\u00e9curit\u00e9 informatique est devenue un enjeu technique et \u00e9conomique primordial.<\/p><p>Cette\u00a0<strong>formation D\u00e9veloppement S\u00e9curis\u00e9 en C++<\/strong>\u00a0a pour objectif de sensibiliser les d\u00e9veloppeurs et les chefs de projets \u00e0 la s\u00e9curit\u00e9 du code.<\/p><p>\u00a0<\/p><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Savoir ma\u00eetriser la s\u00e9curit\u00e9 du code.<\/li><\/ul><ul><li>Conna\u00eetre le fonctionnement de la pile<\/li><li>Rep\u00e9rer les erreurs dans le code<\/li><li>Conna\u00eetre le r\u00f4le des acteurs et la classification des risques : CERT, CWE, OWASP<\/li><li>Appliquer les bonnes pratiques.<\/li><\/ul><\/li><\/ul><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>Public :<\/strong><\/p><p>Ce cours s&#8217;adresse aus D\u00e9veloppeurs et Chefs de projets.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Pour suivre cette formation, il est n\u00e9cessaire de pratiquer les langages C et C++.<\/p><h2>Contenu du cours<\/h2><ol><li><h5>1.\u00a0<\/h5><h3>D\u00e9couvrir le Secure Coding<\/h3><p>Conna\u00eetre les risques li\u00e9s au d\u00e9veloppement<br \/>Rep\u00e9rer les traces laiss\u00e9es par les d\u00e9veloppeurs : m\u00e9moire, journaux\u2026<br \/>Identifier les attaques<br \/>Conna\u00eetre les diff\u00e9rents acteurs : CERT, PCI, CWE, OWASP\u2026<br \/>Apprendre le codage s\u00e9curis\u00e9 d\u2019une application<\/p><h3>Classification des risques CERT<\/h3><p>Les domaines : integer, string, floating point, array\u2026<br \/>Analyser la s\u00e9v\u00e9rit\u00e9, priorit\u00e9, etc.<br \/>Les guidelines<\/p><h3>Le langage C++<\/h3><p>Mod\u00e8le m\u00e9moire<br \/>Compilation<br \/>Comprendre les appels de fonction : structure de la pile<br \/>Legacy code en langage C<\/p><h3>Coder de mani\u00e8re \u00e0 s\u00e9curiser le code<\/h3><p>Exemples de code<br \/>Les cha\u00eenes de caract\u00e8res<br \/>Les pointeurs<br \/>Gestion de la m\u00e9moire<br \/>Les entiers<br \/>Les sorties format\u00e9es<br \/>Les fichiers<\/p><p><strong><em>Ateliers<\/em><\/strong><\/p><p><em>buffer overflow<\/em><em><br \/>SQL Injection<br \/>OS Command Injection<br \/>Integer Overflow<br \/>Ex\u00e9cution d&#8217;un code arbitraire<\/em><\/p><h3>Les bonnes pratiques<\/h3><p>Apprendre les bonnes pratiques de codage :<br \/>macro et inline<br \/>gestion de la m\u00e9moire : new, free, gestion des erreurs<br \/>structure des classes<br \/>passer \u00e0 C++14 et C++17 : g\u00e9n\u00e9ralit\u00e9s (nullptr, enum, deleted fonctions) , utilisation des smart pointers, nouveaux mots cl\u00e9s<br \/>Conna\u00eetre les standards de s\u00e9curit\u00e9<br \/>V\u00e9rifier son code<\/p><p><strong><em>Ateliers<\/em><\/strong><\/p><p><em>Am\u00e9liorer un legacy code<\/em><em><br \/>Gestion de la m\u00e9moire avec les smart-pointers<br \/>Am\u00e9liorer la lisibilit\u00e9 et la s\u00e9curit\u00e9 du code : sp\u00e9cificateurs default, delete,&#8230;<br \/>Utiliser les lambdas<\/em><\/p><h3>Conclusion<\/h3><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2216\" class=\"elementor-tab-title\" data-tab=\"6\" role=\"tab\" aria-controls=\"elementor-tab-content-2216\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION SECURITE DES APPLICATIONS.NET <\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2216\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"6\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2216\"><h2>Objectifs de la formation<\/h2><p>Le Framework .NET int\u00e8gre des fonctionnalit\u00e9s de s\u00e9curit\u00e9 tr\u00e8s \u00e9volu\u00e9es, qui s&#8217;appliquent aussi bien aux applications distribu\u00e9es, qu&#8217;aux applications Web ASP.NET ou aux applications de bureau Windows. L&#8217;\u00e9criture d&#8217;un code s\u00e9curis\u00e9, l&#8217;utilisation d&#8217;un certificat, le chiffrement de donn\u00e9es sont autant de challenges que le bon d\u00e9veloppeur .Net doit relever.<\/p><p>Cette\u00a0<strong>formation S\u00e9curit\u00e9 des applications .NET<\/strong>\u00a0vous permet de comprendre les diff\u00e9rentes probl\u00e9matiques de s\u00e9curit\u00e9 des applications Web, de conna\u00eetre les meilleures pratiques pour \u00e9crire un code de qualit\u00e9. Vous conna\u00eetrez \u00e9galement les principales attaques Web afin de pouvoir les anticiper.<\/p><p>\u00a0<\/p><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Savoir ma\u00eetriser la s\u00e9curit\u00e9 des applications web.<\/li><\/ul><ul><li>Comprendre les probl\u00e9matiques de s\u00e9curit\u00e9 des applications Web<\/li><li>Conna\u00eetre les meilleures pratiques pour \u00e9crire un code de qualit\u00e9 int\u00e9grant de fa\u00e7on native les fondamentaux de la s\u00e9curit\u00e9<\/li><li>Conna\u00eetre les principales attaques Web pour comprendre comment s\u2019en pr\u00e9munir<\/li><\/ul><p>Savoir appliquer les m\u00e9canismes techniques de pr\u00e9vention des risques tel que l\u2019authentification forte le cryptage de donn\u00e9es ou encore l\u2019utilisation de certificats<\/p><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>Public :<\/strong><\/p><p>Cette formation S\u00e9curit\u00e9 .NET s&#8217;adresse aux chefs de projet informatique et aux d\u00e9veloppeurs .NET avec une bonne exp\u00e9rience.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Connaissance du d\u00e9veloppement Web \/.NET et ma\u00eetriser un langage de programmation (C#, Java ou C++).<\/p><h2>Contenu du cours<\/h2><ol><li><h3>S\u00e9curit\u00e9 dans le Framework et du code<\/h3><p>Concepts fondamentaux<br \/>S\u00e9curit\u00e9 d\u2019acc\u00e8s du code et des ressources<br \/>S\u00e9curit\u00e9 bas\u00e9e sur les r\u00f4les<br \/>Le principe du W^X<br \/>Services de chiffrement<br \/>Validation et contr\u00f4le des entr\u00e9es \/ sorties<br \/>Gestion et masquage d\u2019erreurs<br \/>Gestion s\u00e9curis\u00e9e de la m\u00e9moire<br \/>Contr\u00f4le d\u2019authenticit\u00e9 et d\u2019int\u00e9grit\u00e9 d\u2019une application\/d\u2019un code<br \/>Offuscation du code<br \/>Reverse engineering sur : bundle C#, application Java, binaire Windows<br \/>Contr\u00f4le des droits avant ex\u00e9cution du code<br \/>S\u00e9curiser les donn\u00e9es sensibles pr\u00e9sentes dans un binaire<br \/>Stack\/Buffer\/Heap overflow<\/p><h3>Les bases de la cryptographie<\/h3><p>Cryptographie &#8211; Les d\u00e9finitions<br \/>Types de chiffrement : chiffrement \u00e0 cl\u00e9s partag\u00e9es, chiffrement \u00e0 cl\u00e9 publique<br \/>Sym\u00e9trique vs. asym\u00e9trique, combinaisons sym\u00e9trique \/ asym\u00e9trique<br \/>Fonctions de hachage<br \/>Utilisation des sels<br \/>Signatures num\u00e9riques, processus de signature, processus de v\u00e9rification<\/p><h3>Chiffrement, hash et signature des donn\u00e9es<\/h3><p>Cryptographie Service Providers (CSP)<br \/>Syst\u00e8me, s\u00e9curit\u00e9, cryptographie<br \/>Choix des algorithmes de chiffrement<br \/>Chiffrement sym\u00e9trique : algorithme (DES, 3DES, RC2, AES), chiffrement de flux, mode de chiffrement (CBC, ECB, CFB)<br \/>Algorithmes asym\u00e9triques<br \/>Algorithme : RSA, DSA, GPG<br \/>Algorithme de hachage : MD5, SHA1 \/ SHA2 \/ SH3<\/p><h3>Vue d\u2019ensemble d\u2019une infrastructure \u00e0 cl\u00e9 publique (PKI)<\/h3><p>Certificat num\u00e9rique : certificat X.509<br \/>PKI &#8211; Les d\u00e9finitions<br \/>Les fonctions PKI<br \/>PKI &#8211; Les composants<br \/>PKI &#8211; Le fonctionnement<br \/>Applications de PKI : SSL, VPN, IPSec<br \/>IPSec et SSL en entreprise<br \/>Smart Cards (cartes intelligentes)<br \/>Autorit\u00e9 de certification<\/p><h3>SSL et certificat de serveur<\/h3><p>Certificat de serveur SSL : pr\u00e9sentation, autorit\u00e9 de certification d\u2019entreprise, autorit\u00e9 de certification autonome<\/p><h3>Utilisation de SSL et des certificats clients<\/h3><p>Certificats clients<br \/>Fonctionnement de SSL : phase I, II, III et IV<br \/>V\u00e9rification de la couverture d\u2019utilisation d\u2019un certificat (lors du handshake)<br \/>V\u00e9rification des dates d\u2019utilisation d\u2019un certificat<\/p><h3>S\u00e9curit\u00e9 des services Web<\/h3><p>Objectifs de la s\u00e9curisation des services Web : authentification, autorisation, confidentialit\u00e9 et int\u00e9grit\u00e9<br \/>Limitations li\u00e9es \u00e0 SSL<br \/>S\u00e9curit\u00e9 des services Web : WSE 2.0, s\u00e9curisation des messages SOAP \/ REST<\/p><h3>Jetons de s\u00e9curit\u00e9<\/h3><p>Jetons de s\u00e9curit\u00e9 : User-Name Token, Binary Token, XML Token, JWT (JSON Web Tokens), Session-based Token<br \/>Int\u00e9grit\u00e9 d\u2019un jeton (MAC \/ HMAC)<br \/>Cycle de vie d\u2019un jeton, expiration automatique (ou pas), contexte d\u2019utilisation d\u2019un jeton<br \/>Habilitations suivant le contexte du jeton<br \/>Certificats X.509<br \/>Signature des messages SOAP \/ REST : cr\u00e9ation d\u2019un jeton de s\u00e9curit\u00e9, v\u00e9rification des messages (MAC \/ HMAC), chiffrement des messages, d\u00e9chiffrement du message<\/p><h3>S\u00e9curit\u00e9 et d\u00e9veloppement Web<\/h3><p>Classification des attaques : STRIDE, OWASP<br \/>Les erreurs classiques<br \/>Authentification par jeton et gestion des habilitations<br \/>Les handlers et m\u00e9thodes HTTP<br \/>S\u00e9paration des handlers par contexte de s\u00e9curit\u00e9<br \/>Attaque par injection<br \/>Injection HTML<br \/>Injection CSS<br \/>Injection JS<br \/>Injection SQLXSS (Injection crois\u00e9e de code) : XSS r\u00e9fl\u00e9chi, XSS stock\u00e9<br \/>XSS Cookie Stealer<br \/>CSRF : Cross-Site Request Forgery<\/p><h3>Outils de s\u00e9curit\u00e9 et d\u2019audit<\/h3><p>Outils du SDK li\u00e9s \u00e0 la s\u00e9curit\u00e9<br \/>Outils pour mener les tests de s\u00e9curit\u00e9<\/p><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2217\" class=\"elementor-tab-title\" data-tab=\"7\" role=\"tab\" aria-controls=\"elementor-tab-content-2217\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION DEVELOPPER DES APPLICATIONS WINDOWS SECURISEES <\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2217\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"7\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2217\"><h2>Objectifs de la formation<\/h2><p>Cette formation se propose d&#8217;initier les diff\u00e9rents membres d&#8217;une \u00e9quipe de d\u00e9veloppement sur la s\u00e9curisation du code et sur les processus de d\u00e9veloppements s\u00e9curis\u00e9s.<\/p><p>Le cours vous apprend comment construire un produit s\u00e9curis\u00e9 sur un environnement Microsoft Windows, de la mise en place des processus de gestion de projet, en passant par la mod\u00e9lisation jusqu&#8217;\u00e0 la mise en production.\u00a0<\/p><p>\u00a0<\/p><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Apprendre \u00e0 d\u00e9composer votre application en composants<\/li><li>Mod\u00e9liser les menaces et apporter des solutions techniques g\u00e9n\u00e9riques d\u2019att\u00e9nuation.<\/li><li>Exploiter les failles de type &#8220;Buffer Overrun&#8221; afin de vous sensibiliser sur les risques li\u00e9s \u00e0 ce type d&#8217;erreurs de robustesse de code<\/li><li>Comprendre les parades mises en place par Microsoft et vous-m\u00eame.<\/li><li>Maitriser les techniques de programmation s\u00e9curis\u00e9e sur les diff\u00e9rents th\u00e8mes abord\u00e9s lors de la mod\u00e9lisation des menaces<\/li><li>\u00a0<\/li><\/ul><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>Public :<\/strong><\/p><p>Ce stage s&#8217;adresse aux Chef de projet (avec pass\u00e9 de d\u00e9veloppeur), aux Responsables technique ainsi qu&#8217;aux D\u00e9veloppeurs.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Savoir d\u00e9velopper dans un environnement Microsoft. Conna\u00eetre Windows et ses APIs<\/p><h2>Contenu du cours<\/h2><ol><li><h3>Qu\u2019est-ce que la s\u00e9curisation du code ?<\/h3><p>Contexte<br \/>Int\u00e9grer la s\u00e9curisation dans les processus de d\u00e9veloppement<br \/>Principes g\u00e9n\u00e9raux<\/p><h3>Mod\u00e9lisation des menaces<\/h3><p>D\u00e9composer une application<br \/>D\u00e9terminer les menaces d&#8217;une application<br \/>Noter et classer les menaces<br \/>R\u00e9pondre aux menaces<\/p><h3>Exploitation de \u00ab Buffer overrun \u00bb<\/h3><p><strong>Initiation \u00e0 l&#8217;exploitation<\/strong>Principe g\u00e9n\u00e9ral<br \/>\u00c9crasement de l&#8217;adresse de retour<br \/>Exploitation des exceptions Win32<strong>S\u00e9curisation<\/strong>Options de compilation (Stack cookies, DEP, ALSR, etc.)<br \/>Diff\u00e9rences entre Windows 32 bits et Windows 64 bits<\/p><h3>Techniques de programmation s\u00e9curis\u00e9e :<\/h3><p>Ne pas faire confiances aux donn\u00e9es d&#8217;entr\u00e9e<br \/>S&#8217;ex\u00e9cuter avec les droits minimum<br \/>Les pi\u00e8ges du chiffrement<br \/>D\u00e9terminer les bons ACLs<br \/>Prot\u00e9ger les donn\u00e9es sensibles<br \/>Se prot\u00e9ger des attaques par d\u00e9ni de service<br \/>\u00c9viter d&#8217;utiliser des APIs non s\u00e9curis\u00e9es<br \/>Bonnes pratiques la synth\u00e8se<\/p><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<div class=\"elementor-accordion-item\">\n\t\t\t\t\t<div id=\"elementor-tab-title-2218\" class=\"elementor-tab-title\" data-tab=\"8\" role=\"tab\" aria-controls=\"elementor-tab-content-2218\" aria-expanded=\"false\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon elementor-accordion-icon-left\" aria-hidden=\"true\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-closed\"><i class=\"fas fa-plus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t<span class=\"elementor-accordion-icon-opened\"><i class=\"fas fa-minus\"><\/i><\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\t\t\t\t<a class=\"elementor-accordion-title\" href=\"\">FORMATION SECURITE DES APPLICATIONS WEB POUR LES DEVELOPPEURS<\/a>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t<div id=\"elementor-tab-content-2218\" class=\"elementor-tab-content elementor-clearfix\" data-tab=\"8\" role=\"tabpanel\" aria-labelledby=\"elementor-tab-title-2218\"><h2>Objectifs de la formation<\/h2><p>Cette formation dresse un panorama concret des menaces du Web. Elle d\u00e9taille aussi bien les types d&#8217;attaques que peut subir une application web que les failles les plus courantes des configurations serveurs ou des applications d\u00e9ploy\u00e9es. Le cours se concentre \u00e9galement sur les technologies et m\u00e9thodologies permettant de se prot\u00e9ger, ainsi que sur les outils permettant de contr\u00f4ler la s\u00e9curit\u00e9 des applications.<br \/>La formation s\u2019attache \u00e9galement \u00e0 vous communiquer les \u00ab bonnes pratiques \u00bb li\u00e9es au d\u00e9veloppement s\u00e9curis\u00e9 d\u2019applications.<\/p><p>\u00a0<\/p><p>\u00c0 l&#8217;issue de cette formation, vous aurez acquis les connaissances et les comp\u00e9tences n\u00e9cessaires pour :<\/p><ul><li>Maitriser les conceps fondamentaux de la s\u00e9curite des applications<\/li><li>Comprendre l\u2019environnement r\u00e9seau des applications<\/li><li>Savoir identifier les vuln\u00e9rabilit\u00e9s les plus courantes d\u2019une application web<\/li><li>Conna\u00eetre les bonnes pratiques pour un d\u00e9veloppement s\u00e9curis\u00e9<\/li><li>Savoir mettre en place une authentification s\u00e9curis\u00e9e des utilisateurs<\/li><li>Savoir mettre en place la s\u00e9curisation des flux avec SSL\/TLS<\/li><li>Conna\u00eetre les principes d\u2019utilisation d\u2019un reverse proxy pour la mise en \u0153uvre SSL\/TLS, l\u2019authentification, etc.<\/li><\/ul><p>Savoir tester si une application a \u00e9t\u00e9 s\u00e9curis\u00e9e au bon niveau d\u2019exigence<\/p><h2>\u00c0 qui s&#8217;adresse cette formation ?<\/h2><p><strong>Public :<\/strong><\/p><p>Cette formation s&#8217;adresse \u00e0 toute personne d\u00e9sireuse de prot\u00e9ger ses applications web d&#8217;attaques potentielles. Elle concerne plus particuli\u00e8rement les personnes directement impliqu\u00e9es dans le d\u00e9veloppement, la maintenance ou l&#8217;audit d&#8217;applications Web, tels que les d\u00e9veloppeurs d&#8217;applications web, le personnel charg\u00e9 de l&#8217;Assurance Qualit\u00e9 sur les logiciels, les testeurs et les auditeurs de la s\u00e9curit\u00e9 des applications web, ainsi que les administrateurs de la s\u00e9curit\u00e9.<\/p><p><strong>Pr\u00e9requis :<\/strong><\/p><p>Conna\u00eetre un langage de programmation (Java, C# ou C++) et disposer d\u2019une culture Web (HTML, formulaire, serveur web, base de donn\u00e9es).<\/p><h2>Contenu du cours<\/h2><ol><li><h3>Pr\u00e9sentation des menaces, vuln\u00e9rabilit\u00e9s des applications Web<\/h3><p>Pr\u00e9sentation des diff\u00e9rents efforts de standardisation de la terminologie li\u00e9e \u00e0 la s\u00e9curit\u00e9<br \/>Typologie des menaces selon le WASC, le top 10 des menaces selon OWASP<br \/>Failles applicatives : injection, protection d&#8217;URL, faille de r\u00e9f\u00e9rence, stockage non s\u00e9curis\u00e9<br \/>Attaques c\u00f4t\u00e9 client : Cross Site Scripting (XSS), gestion de session et authentification, attaque CSRF, Phishing\u2026<br \/>Failles de configuration : attaques sur les configurations standard<br \/>Attaques de type DDOS<br \/>Les dangers sp\u00e9cifiques du Web 2.0<\/p><h3>Technologies li\u00e9es \u00e0 la s\u00e9curit\u00e9<\/h3><p>Firewalls, panorama des outils, techniques de base r\u00e9seaux<br \/>Filtres des requ\u00eates HTTP<br \/>Empreinte de message, les algorithmes SHA-x et MD5<br \/>Signature num\u00e9rique, Cl\u00e9 publique\/ cl\u00e9 priv\u00e9e, Coffre \u00e0 cl\u00e9 et coffre de confiance, Autorit\u00e9s de certification<br \/>Chiffrement de donn\u00e9es, les algorithmes AES et RSA<br \/>Protocoles SSL v2\/v3 et TLS, PKI, certificats X509,<br \/>Techniques d&#8217;authentification HTTP, authentification par certificat<\/p><h3>S\u00e9curiser les applications Web<\/h3><p>Protections basiques : Re-post des donn\u00e9es, Time-out et d\u00e9connexion, Masquer les URL, Validation des donn\u00e9es<br \/>Usurpation d&#8217;identit\u00e9 : Cookies et certificats num\u00e9riques, Session ID et jeton de transaction, D\u00e9tournement<br \/>Se prot\u00e9ger des attaques client : XSS ou Cross Site Scripting, Utilisation des r\u00e9f\u00e9rences directes, CSRF ou Cross Site Request Forgery, S\u00e9curit\u00e9 d&#8217;acc\u00e8s au SGBD, SQL Injection, Utilisation du JavaScript, \u00c9chappement des tags HTML<br \/>Protections contre les attaques de force brute, Liste de contr\u00f4le d&#8217;acc\u00e8s<\/p><h3>Contr\u00f4ler la s\u00e9curit\u00e9 des applications Web<\/h3><p>Test d&#8217;intrusion, audit de s\u00e9curit\u00e9, scanners de vuln\u00e9rabilit\u00e9s<br \/>Organiser une veille technologique efficace<br \/>D\u00e9claration des incidents de s\u00e9curit\u00e9<\/p><p><strong><em>D\u00e9monstration<\/em><\/strong><\/p><p><em>Mise en \u0153uvre d&#8217;un serveur Web avec certificat X509 EV : analyse des \u00e9changes protocolaires<\/em><em><br \/>Exploitation d&#8217;une faille de s\u00e9curit\u00e9 critique sur le frontal HTTP<br \/>Attaque de type HTTPS Stripping<\/em><\/p><h3>Gestion de la s\u00e9curit\u00e9 mobile<\/h3><p>Composants d\u2019un syst\u00e8me d\u2019exploitation mobile<br \/>Risques auxquels sont expos\u00e9s les appareils mobiles<br \/>Les principales menaces pesant sur les appareils mobiles<br \/>\u00c9tudier les outils de piratage des appareils mobiles<br \/>M\u00e9thode pour s\u00e9curiser les environnements mobiles.<\/p><\/li><\/ol><\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Les applications sont maintenant ouvertes au monde et les vecteurs d&#8217;attaques ont \u00e9t\u00e9 d\u00e9multipli\u00e9s. L&#8217;exploitation de ces intrusions est m\u00eame devenue un param\u00e8tre \u00e9conomique important. Int\u00e9grer quelques &#8220;bonnes pratiques&#8221; n&#8217;am\u00e9liore que marginalement la s\u00e9curit\u00e9 d&#8217;un produit. Il est indispensable de construire une solution autour d&#8217;une \u00e9quipe qui a \u00e9t\u00e9 sensibilis\u00e9e \u00e0 la question de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-12738","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/pages\/12738","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/comments?post=12738"}],"version-history":[{"count":7,"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/pages\/12738\/revisions"}],"predecessor-version":[{"id":13590,"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/pages\/12738\/revisions\/13590"}],"wp:attachment":[{"href":"https:\/\/705consulting.com\/index.php\/wp-json\/wp\/v2\/media?parent=12738"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}