Devenez Security Champion en 7 jours pour garantir la sécurité des applications
Dirigeants, managers, libéraux
À Paris Campus Cyber ou dans vos locaux
7 jours (49 heures)
CERTIFICATION : Attestation d’Acquisition des Compétences de l’EPITA
Le parcours de Security Champion en deux mots
Vous voulez devenir le Security Champion de votre équipe ?
Réalisez un parcours de 7 jours pour acquérir les compétences techniques et devenez Security Champion :
- 4 jours de formation intense en DevSecOps pour apprendre à concevoir, développer et déployer des programmes sécurisés en contexte agile
- 3 jours de challenges CTF coachés et cas pratiques inspirés du top 10 de l’OWASP pour booster vos réflexes
Ce parcours a été conçu grâce à 40 ans d’expertise informatique de l’EPITA.
La formation est dispensée par des experts en cybersécurité et enseignants-chercheurs des plus grandes institutions du domaine.
Intéressé par 1 seule partie du parcours de Security Champion ?
Objectifs de la formation
L’objectif de cette formation est de permettre aux DevWeb/DevOps d’acquérir les compétences en développement sécurisé pour devenir Security Champion.
Cette formation vous intéresse ? Remplissez ce court formulaire
La formation de Security Champion est-elle pour vous ?
- Sécuriser la conception et le développement des applications web afin d’éviter des intrusions et limiter des failles dans les systèmes d’information en intégrant la sécurité dans les spécifications fonctionnelles et en implémentant les fonctions de sécurité dans les spécifications techniques
- Diffuser une culture sécurité au sein des équipes de développement web
- Écarter les intrusions dans les systèmes d’information en développant des logiciels et des applications qui incluent les contre-mesures existantes dans les mécanismes intégrés aux noyaux spécifiques du développement web
- Tester le logiciel ou l’application pour éviter des intrusions et limiter des failles dans les systèmes d’information en mettant en œuvre des tests de robustesse sur les éléments développés
- Sécuriser le déploiement des applications pour éviter des intrusions et limiter des failles dans les systèmes d’information en vérifiant leur intégration dans l’environnement existant
- Augmenter la sécurité des systèmes de production et les administrer de manière sécurisée
- Savoir exploiter les vulnérabilités pour mettre en œuvre les contre-mesures
- Développer les réflexes pour les bonnes pratiques du développement sécurisé
La connaissance d’au moins un langage de programmation Web (Java, Node.js, PHP, Python, etc.) est nécessaire.
Des notions dans le fonctionnement des systèmes d’exploitation et en cryptographie sont un plus.
Salle de formation équipée de postes de travail informatiques disposant de tous les logiciels nécessaires au déroulement de la formation.
Pédagogie immersive qui allie apports théoriques, retours d’expériences et cas pratiques pour un ancrage durable des compétences.
Les cas pratiques sont fournis sur un système vulnérable fourni par SECURESPHERE.
BOOTCAMP avec 50 CTF proposés. Études de cas & restitution.
- Évaluation des acquis en cours de session au travers de cas pratiques et des questionnaires.
- Une AACE, Attestation d’Acquisition des Compétences de l’EPITA, est délivrée aux stagiaires ayant validé l’ensemble des compétences visées par le stage.
Pour les personnes en situation de handicap
La formation d’expert en cybersécurité est accessible aux personnes en situation de handicap. Nous vous invitons à préciser dans le formulaire de renseignement si vous avez besoin d’un accompagnement particulier.
En savoir plus sur l’accessibilité PSH, les modalités et les délais d’accès à nos formations.
Programme de la formation de Security Champion
PARTIE 1 – Concepts génériques liés aux vulnérabilités web
- Exemples réels et conséquences
- Identification des vulnérabilités (CVE)
- Criticité des vulnérabilités (CVSS) et politique de communication par les éditeurs logiciels
PARTIE 2 – Gestion de projets
- Principe de l’analyse de risques (OWASP A04)
- Intégration de la sécurité dans les projets (OWASP A04)
PARTIE 3 – Spécificités de l’hébergement dans le cloud et des offres software as a service (saas)
PARTIE 1 – Spécifications fonctionnelles
- Principe de sécurité par défaut (OWASP A04)
- Transparence vs sécurité par l’obscurité
- Protection des données sensibles et concepts cryptographiques (OWASP A02)
- Traçabilité (OWASP A09)
- Fonctionnalités dangereuses
- Gestion des mises à jour (OWASP A06)
PARTIE 2 – Spécifications techniques et implémentation des fonctions de sécurité
- Authentification (OWASP A07)
- Gestion des mots de passe
- Gestion des sessions
- Autorisation / Gestion des droits (OWASP A01)
- Cryptographie appliquée (OWASP A02)
- Gestion des erreurs
Vulnérabilités (dont OWASP top 10) liées au développement et contre-mesures
- Injections (OWASP A03, OWASP A10) :
- SQL, LDAP
- Commandes système
- Arguments de commandes
- Code interprété
- Cross-site scripting – XSS
- Directory transversal
- Injections XML – XXE (OWASP A05)
- ReDoS
- Désérialisation (OWASP A08)
- Cross-site request forgery (CSRF)
Vérification de la sécurité
- Tests manuels de sécurité
- Tests unitaires, audit statique de code
- Tests automatisés de sécurité
- Fuzzing et tests d’intrusion applicatifs
PARTIE 1 – Automatisation du déploiement
- Packaging et mise à disposition d’applications
- Infrastructure As Code (exemple Ansible)
- Conteneurisation d’application sous Linux
- Gestion des secrets et bonnes pratiques liées à Docker
- Orchestration de conteneurs
- Bonnes pratiques liées à Kubernetes
- Protection de chaîne d’automatisation (CI)
PARTIE 2 – Protections réseau
- Filtrage réseau et NIDS
- Relais et Web Application Firewall (WAF)
PARTIE 3 – Protections système
- Durcissement des configurations
- Protections intégrées aux systèmes d’exploitation
- Administration sécurisée
Introduction et explication
50 challenges CTF et cas pratiques sur le top 10 de l’OWASP (et plus !) avec l’aide de l’intervenant :
- Éxécution de code NodeJS ou PHP (6 séquences)
- Vulnérabilité upload & include (7 séquences)
- Reconnaissance, BruteForce & Contrôle d’accès (6 séquences)
- Injection système (6 séquences)
- Cryptographie (4 séquences)
- SQL Injection (7 séquences)
- Server Side Request Forgery (SSRF) (4 séquences)
- Vulnérabilité Unserialize (3 séquences)
- Composant vulnérable (1 séquence)
- Server Side Template Injection (SSTI) (1 séquence)
- Cross-Site Scripting (XSS) (3 séquences)
- XML External Entity (XXE) (2 séquences)
Étude de cas & restitution
Envie de vous inscrire ? Des questions ?
SECURE DEV PLUS : Bootcamp 50 challenges CTF
Apprenez en 3 jours à mettre en œuvre la sécurité dans les développements avec un bootcamp de 50 challenges CTF
SECURE PROJECT : Formation pour l’intégration de la sécurité dans les projets
Apprenez en 3 jours à sécuriser vos projets informatiques avec une formation délivrant une Attestation de l’EPITA
SECURE NET : Formation sur la sécurité des systèmes et des réseaux
Apprenez à sécuriser systèmes et réseaux en 3 jours avec une formation délivrant une Attestation de l’EPITA