Coder Sécuriser, ou Security by Design

Sécurisez vos applications Web dès leur conception

Les applications sont désormais les cibles privilégiées des attaques, pourtant la majorité des investissements de sécurité se font sur des couches de niveau inférieur (réseau).

sbastien gioria

Sécuriser les applications Web (sites Internet et portail Intranet) dès leur conception fait sens quand on sait que le coût de la correction d’une faille de sécurité est de un en phase de conception, de huit en phase de développement, de seize lors des tests… et de soixante en production !

Il est donc logique d’intégrer la sécurité le plus tôt possible dans le cycle de vie de l’application.

Trop souvent, malheureusement, la sécurité logicielle est sacrifiée ou décalée dans le temps et la politique de l’autruche est de mise. Il est édifiant de relever des failles de sécurité telles que le Cross Site Scripting ou l’injection SQL, pourtant largement documentées.

Ceci s’explique par le fait que la sécurité est peu enseignée aux développeurs durant leur formation initiale.

Pour pallier cette absence de formation, l’ISEP propose une formation courte (2 jours)..

Cette formation s’inscrit dans la filière « Services Convergents IP », dont le Mastère Spécialisé VAMOS est le fer de lance.

Sans sécurité, pas de confiance. Sans confiance, peu de chance de réussir le lancement d’un nouveau service IP.

Lors de cette formation vous vous familiariserez avec les principes de le sécurité relative au développement d’applications Web et bénéficierez de bonnes pratiques (les « règles d’or ») et d’astuces de métier, vous ferez l’acquisition de réflexes, vous découvrirez des outils, des guides et des méthodes…

Site Web non sécurisé : Une grande entreprise française se fait épingler par le Canard Enchaîné... et subit dans la foulée un contrôle de la CNIL. La communauté des RSSI en discute.
Les sites en gouv.fr parmi les sites les plus infectés visités par les internautes francophones
Une entreprise sanctionnée pour ses failles de sécurité

Rappelons qu'au titre de l'article 34 de la Loi Informatique & Libertés (sécurisation des données personnelles), le Responsable du traitement encourt jusqu'à 5 ans d'emprisonnement et 300.00 euros d'amende.

Il est également question que la notification des violations aux traitements de données personnelles soit prochainement obligatoire, auprès de la CNIL, voire des personnes concernées.

Enfin le SANS tente de formaliser un modèle de contrat qui obligerait les développeurs à garantir que leur code est à minima exempt de ces vingt-cinq erreurs types et que leurs ingénieurs sont formés aux techniques de développement sécurisé.

Grâce à cette formation

Découvrez les techniques indispensables qui permettent de tenir les hackers à bonne distance ;
Apprenez à verrouiller vos applications au cours de leurs différentes phases de développement, depuis la conception jusqu'aux tests ;
Découvrez les principes de sécurité, les stratégies et les techniques de codage qui permettent d'écrire du logiciel qui résiste mieux aux attaques ;
Apprenez à auditer des applications et découvrir les failles de sécurité.

>>>> Cliquer ici pour recevoir Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. <<<

L'intervenant

Sébastien Gioria est Auditeur Senior en Sécurité des Systèmes d'Informations au sein du cabinet d'audit Groupe Y, Responsable de l'OWASP en France, Membre du comité global d'éducation de l'OWASP et Président du CLUSIR Poitou-Charentes.

Public concerné

Développeurs informaticiens, Webmasters, Chargés de projets Web, Architectes de portails Intranet, Consultants, Auditeurs et Experts en sécurité

Pré-requis : Connaissance du protocole HTTP

Pédagogie : Cours magistral, avec démonstrations, études de cas, discussions, débats et laboratoires (travaux pratiques sur PC, dont exploitation de vulnérabilités XSS et SQL)).

Programme (extrait) : Les limites des Web Application Firewall et du chiffrement SSL, Analyse du Top Ten des attaques visant les applications Web (Cross Site Scripting, injections SQL, rupture des mécanismes de session ou d'authentification, référence directe non sécurisée aux objets, requêtes inter-sites CSRF, etc.), sécurité applicative vs sécurité réseau, test d'intrusion et revue de code, principes généraux du développement sécurisé, etc.), Cycle de développement sécurisé, etc..

Les notions dispensées dans cette session ne sont pas spécifiques à un langage de programmation ou à une technologie spécifique : elles sont applicables aux différents environnements (ASP, PHP, Java,.Net, etc.).

Prochaine session : Nous consulter

Cette formation courte est adaptée aux dispositions du DIF (Droit Individuel à la Formation), pour 14 heures.

Si vous êtes intéressé, n'hésitez pas à contactez Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. tél 01.49.54.52.20 pour être informé des premières dates et recevoir un dossier complet.

Vous serez aussi intéréssé par la formation courte "Sécurisez vos bases de données Oracle !"

Bases de données Oracle : Comment les sécuriser ?

Formations courtes VAMOS

Sécurisez vos bases de données Oracle

La Base de Données est le coeur de l'entreprise.

C’est là que résident les actifs immatériels qui sont la base de l'activité : données financières, informations client, fichiers RH ... La valeur de ces données en fait une cible évidente et une attaque peut impacter l'entreprise et dégrader son image, voire entraîner la responsabilité personnelle du responsable des traitements (au titre de la loi Informatique et Libertés).

La protection des données est aujourd'hui une priorité.

Mais la sécurisation des bases de données est un art qui n'est pas enseigné aux DBA (Data Base Administrator).

Pour pallier cette absence de formation, l’ISEP propose une formation courte (2 jours) conçue en partenariat avec l’un des experts mondiaux les plus réputé.

Cette formation s’inscrit dans la filière « Services Convergents IP », dont le Mastère Spécialisé VAMOS est le fer de lance.

Lors de cette formation vous vous familiariserez avec les principes de la sécurité des bases de données et bénéficierez de bonnes pratiques (les « règles d’or ») et d’astuces de métier, vous ferez l’acquisition de réflexes, vous découvrirez des outils, des guides et des méthodes…

Grâce à cette formation

Découvrez les techniques indispensables qui permettent de tenir les hackers à bonne distance ;
Apprenez à verrouiller vos bases de données et sécuriser les données qu'elles hébergent ;
Découvrez les principes de sécurité, les stratégies et les techniques qui permettent de mettre vos bases de données en situation de résistance aux attaques ;
Apprenez à auditer la sécurité des bases de données et à découvrir les failles de sécurité.

>>>> Cliquer ici pour recevoir Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. <<<

L'intervenant

L'intervenant est un Expert mondialement reconnu, crédité de la découverte de multiples failles de sécurité sur les bases de données Oracle : Pete Finnigan.

Il est l’auteur du livre « Oracle security step-by-step - a survival guide for Oracle security », des chapitres sécurité du récent ouvrage "Expert Oracle Pratices" et de nombreux livres blancs de référence.

Ces deux journées sont une opportunité unique de bénéficier de son expertise, illustrée par de multiples anecdotes, astuces et bonnes pratiques.
C’est aussi l’occasion de connaître l’opinion de cet expert sur les outils de sécurisation de bases de données actuellement disponibles (commerciaux et open source).

Public concerné

BDA Oracle, Gestionnaires et Administrateurs de bases de données, System Administrator, Développeurs informaticiens, Architectes en système d'informations, Consultants, Auditeurs et Experts en sécurité

Pré-requis : Connaissance des bases de données Oracle, anglais parlé.

Pédagogie : Cours magistral (langue anglaise), études de cas, discussions, débats.

Programme (extrait) : Architecture des bases de données Oracle (du point de vue sécurité), Privilèges, Chiffrement, Audits, Traçabilité et éléments de preuve (Forensics), Les différents scenario d'attaques d'une base de données Oracle, durcissement d'une configuration d'une base de données Oracle, Gestion des patches (CPU Oracle) et des versions, maîtriser les accès SYSDBA, Protéger les ressources, etc.

Prochaine session : Nous consulter

Cette formation courte est adaptée aux dispositions du DIF (Droit Individuel à la Formation), pour 14 heures.

Vous serez également intéressé par les formations courtes "Coder Sécuriser, ou Security by Design" et "Anonymisation des données personnelles".