> formation Technologies numériques > formation Cybersécurité > formation Sécurité logicielle > formation Sécurisation des applications, les méthodes de développement

Avis loadedNote : 3,8Length : 21TotalNote : 315TotalNote20 : 5
Toutes nos formations Sécurité logicielle

Formation Sécurisation des applications, les méthodes de développement

3,8 / 5
Stage pratique
Durée : 2 jours
Réf : APD
Prix  2021 : 1570 € H.T.
Pauses et déjeuners offerts
Financements
ActionsCo
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis clients
Programme

Avec l’explosion du digital qui a multiplié les opportunités de développement, la sécurité dans la réalisation de logiciels est devenue un enjeu majeur pour les entreprises. Cette formation très riche vous apprendra méthodes et solutions nécessaires permettant d’assurer et tester la sécurité dans vos développements.

Objectifs pédagogiques

À l’issue de la formation, le participant sera en mesure de :
  • Maîtriser le modèle de maturité pour le développement d’applications sécurisées OpenSAMM
  • Savoir réaliser une analyse de la sécurité du logiciel audité
  • Identifier les parties essentielles du code source à vérifier
  • Tester la sécurité des applications

Actions collectives

Ce cours fait partie des actions collectives Atlas, référence 27946
PROGRAMME DE FORMATION

Introduction

  • Qu’est-ce que la sécurisation du code ?
  • Les acteurs de la sécurité : le CERT, l’OWASP, Le BSIMM…
  • Quels sont les risques liés au développement d’une application ?
  • Les traces laissées par les développeurs : mémoire, journaux…
  • Qu’est-ce que le codage sécurisé d’une application ?
  • Les types d’attaques.

La sécurité des applications avec OpenSAMM

  • Le modèle de maturité pour le développement d’applications sécurisées.
  • Les 4 niveaux de maturité.
  • Niveau implicite de départ.
  • Compréhension initiale et mise en place de pratiques de sécurité.
  • Amélioration de l’efficacité/efficience des pratiques de sécurité.
  • Maîtrise complète des pratiques de sécurité.

Mise en place d’OpenSAMM

  • Préparer.
  • Evaluer.
  • Définir la cible souhaitée.
  • Définir le plan.
  • Mettre en place.
  • Mettre à disposition.

Travaux pratiques
Calcul du niveau de maturité d’une organisation.

Introduction à BSIMM

  • Qu’est-ce que le BSIMM (Building Security In Maturity Model) ?
  • Constituer une base solide pour le développement d’une application.
  • Les bonnes pratiques.

Analyse de la sécurité de l’application auditée.

  • Identifier les parties critiques de son code.
  • Définir le périmètre de l’audit et se limiter aux parties critiques.

Les parties essentielles du code source à vérifier

  • Identifier les parties du code source essentielles à vérifier.
  • Les mécanismes d’authentification et cryptographiques.
  • La gestion des utilisateurs.
  • Le contrôle d’accès aux ressources.
  • Les mécanismes d’interactions avec d’autres applications.
  • L’accès aux bases de données.
  • La conformité des exigences de sécurité établies pour l’application.

Travaux pratiques
Exemple d’identification des parties du code source essentielles à vérifier.

Tester la sécurité des applications

  • Identifier les parties du code source essentielles à vérifier.
  • Les processus projet et les tests.
  • L'approche globale.
  • Le plan de test et ses déclinaisons. La stratégie de test.
  • L'approche par les risques. L'estimation.

Travaux pratiques
Exemple de test d’une application.

Participants / Prérequis

» Participants

Développeurs, architectes applicatifs, chefs de projets amenés à sécuriser des applications.

» Prérequis

Connaître le guide d’hygiène sécurité de l’ANSSI. Avoir suivi le parcours introductif à la cybersécurité. Connaissance d’un langage de programmation.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.
Avis clients
picto avis clients
ADELINE H. 12/07/2021
4 / 5
Le formation était bien faite, cependant elle ne correspond pas totalement à mon besoin.

DAVID Q. 12/07/2021
4 / 5
La partie OpenSAMM et BISMM aussi importante soit elle m’a moins intéressée même si j’apprécie en avoir pris connaissance. Etant technicien, j’aime manipuler par moi-même donc j’ai apprécié les exercices. Même je suis sensibilisé aux différentes attaques classiques qu’on a pu voir, on comprend vraiment mieux quand on reproduit soi-même et ça me donne envie de tester davantage la s[eacute

PASCAL B. 12/07/2021
3 / 5
La formation présentait des failles de sécurités, mais pas les pratiques de développement permettant de s’en prémunir, comme le laissait penser l’intitulé de la formation.

CÉLINE C. 05/07/2021
5 / 5
J’ai appris bcp de chose ... par définition, formation réussie :)

ANDRÉA Z. 05/07/2021
5 / 5
Superbe

BONNIER P. 05/07/2021
4 / 5
Comme vu précédemment avec le formateur, la partie théorique sur opensamm et bsimm est moins adapté aux attentes de développeurs, en revanche la partie pratique était très formatrice. En revanche pour éviter de "perdre" les personnes les moins à l’aise, il serait sans doute plus efficace de mieux cadrer les différents exercices en faisant un point d’avancement régulier pour aligner tout le monde.

GENSÉRIC H. 05/07/2021
5 / 5
Très bonne formation, avec assez de temps pour la pratique.

DMYTRO I. 05/07/2021
5 / 5
Un bon équilibre des informations et des exercices pratiques sur le sujet de sécurité important & sensible & techniquement complexe. J’ai également appris des choses même sur mes bases de travail plus générales.

DAVID B. 17/06/2021
3 / 5
La première partie qui présente les méthodes est à la fois longue tout en survolant les concepts (peu concret). Sur la partie "Attaques", les supports WebGoat et Juice Shop sont très bien. Les explications sur les attaques sont faites sur le site, mais pourrait être expliquées par le formateur. Des présentations théoriques d’un plus grand nombre d’attaque pourrait être intéressan

JEROME S. 17/06/2021
5 / 5
très bien

LIAM J. 25/05/2021
3 / 5
Contenu très théorique au début, et au final on a fait près d’une journée et demie de lecture de slides (traduction des documents OWASP SAMM et Microsoft sans réel intérêt). Partie théorique intéressante mais pas très pédagogique, peu d’explications ou des réponses vagues aux questions, c’était plus de l’auto-formation avec la partie WebGoat - Juice Shop. Pas mal de fautes dans le

NICOLAS D. 25/05/2021
4 / 5
Le contenu de la formation théorique est plus ou moins inadapté. Il est trop long et fastidieux et mériterait d’être résumé plus rapidement pour attaquer la partie pratique plus tôt.

DAVID S. 25/05/2021
3 / 5
Personnellement, j’ai trouvé que la formation ne correspondait pas à mes attentes. La partie théorique était une peu longue et trop générale. Elle n’était pas assez mise en perspective avec les actions que nous pourrions-devrions mettre en place pour augmenter notre maturité sur ce sujet. Lors de TP, nous n’avons pas pu être guidé pour comprendre la démarche conduisant à la résoluti

ROGER F. 25/05/2021
4 / 5
Nous avons déjà fait ce premier round de formation afin de pouvoir adapter la formation aux besoins de notre population de développeurs. Le formateur a su prendre en compte nos demandes et à adapter le contenu de la formation avec une approche basée sur la pratique plus que la théorie.

ERIC T. 08/03/2021
4 / 5
Le contenu du 1er jour n’était vraiment celui attendu car il présente plus des méthodologies organisationnelles, pas forcément simple à mettre en oeuvre et pas forcément de mon ressort. Bien à connaitre, mais pas très concret lorsqu’on développe ou maintient des applications existantes. Le contenu du 2ème jour correspond plus au contenu attendu, mais seulement sur 1 jour du coup. Bonne animation avec les ex

JEAN CHRISTOPHE M. 08/03/2021
4 / 5
le formateur a de bonnes connaissances, de bonnes explications et fourni régulièrement des exemples. Mais les supports sont essentiellement des slides avec du texte qui sont lu quasi intégralement, ce qui n’est pas très attrayant d’un point de vue pédagogique. Le contenu reste néanmoins intéressant

DAVID T. 08/03/2021
4 / 5
Le premier exercice sur le choix d’outils pour mettre en place OpenSAMM nécessitait de connaitre au préalable un minimum d’outils. Très orientée management-qualité au départ, la formation est ensuite devenue plus pratique technique (profil du stagiaire).

AGOSTINHO P. 08/03/2021
3 / 5
En fait je ne m attendais pas pas ce contenu de formation. Je pensais qu’on serait plus sur de la sécurité du code au niveau des applications type IHM Le titre de la formation est accrocheur. Cette formation m’a permis d’apprendre et prendre quelques connaissances sur les bonnespratiques.

OLIVIER M. 05/10/2020
4 / 5
Globalement objectifs remplis par rapport au programme. Le support mériterait d’être revu sur la forme : nombreuses erreurs de traduction, de français. Le support papier différait du support présenté. La présentation d’OpenSAMM aurait mérité une phase pratique en utilisant directement l’évaluation en ligne plutôt qu’une description trop magistrale sur des slides.

HÉLÈNE P. 05/10/2020
4 / 5
Il faudrait apprendre les différents méthodes en nous faisant évaluer nous même des exemples. Peux être moins passer de temps sur les différents points de l’OpenSAMM et plus sur le comment s’en servir, trouver les informations et la mettre en place.

EMMANUEL B. 05/10/2020
4 / 5
- Trop de temps passé sur la description de chaque domaine et chaque niveau d’OpenSamm (36!) - Trop peu de temps accordé à la pratique par rapport à la théorie - Certaines parties du support de cours sont visiblement issues d’une traduction automatique médiocre => mauvaise compréhension
Avis clients 3,8 / 5

Les avis clients sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

CLASSE A DISTANCE

En inter et en intra-entreprise
Inscrivez-vous ou contactez-nous !

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[+]
CLASSE A DISTANCE
[+]
PARIS

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.