Sécurisez vos applications Web dès leur conception

Les applications sont désormais les cibles privilégiées des attaques, pourtant la majorité des investissements de sécurité se font sur des couches de niveau inférieur (réseau).

Sécuriser les applications Web (sites Internet et portail Intranet) dès leur conception fait sens quand on sait que le coût de la correction d’une faille de sécurité est de un en phase de conception, de huit en phase de développement, de seize lors des tests… et de soixante en production !

Il est donc logique d’intégrer la sécurité le plus tôt possible dans le cycle de vie de l’application.

Trop souvent, malheureusement, la sécurité logicielle est sacrifiée ou décalée dans le temps et la politique de l’autruche est de mise. Il est édifiant de relever des failles de sécurité telles que le Cross Site Scripting ou l’injection SQL, pourtant largement documentées.

Ceci s’explique par le fait que la sécurité est peu enseignée aux développeurs durant leur formation initiale.

Pour pallier cette absence de formation, l’ISEP propose une formation courte (2 jours)..

Cette formation s’inscrit dans la filière « Services Convergents IP », dont le Mastère Spécialisé VAMOS est le fer de lance.

Sans sécurité, pas de confiance. Sans confiance, peu de chance de réussir le lancement d’un nouveau service IP.

Lors de cette formation vous vous familiariserez avec les principes de le sécurité relative au développement d’applications Web et bénéficierez de bonnes pratiques (les « règles d’or ») et d’astuces de métier, vous ferez l’acquisition de réflexes, vous découvrirez des outils, des guides et des méthodes…

• Site Web non sécurisé : Une grande entreprise française se fait épingler par le Canard Enchaîné... et subit dans la foulée un contrôle de la CNIL. La communauté des RSSI en discute.
• Les sites en gouv.fr parmi les sites les plus infectés visités par les internautes francophones
• Une entreprise sanctionnée pour ses failles de sécurité

Rappelons qu'au titre de l'article 34 de la Loi Informatique & Libertés (sécurisation des données personnelles), le Responsable du traitement encourt jusqu'à 5 ans d'emprisonnement et 300.00 euros d'amende.

Il est également question que la notification des violations aux traitements de données personnelles soit prochainement obligatoire, auprès de la CNIL, voire des personnes concernées.

Enfin le SANS tente de formaliser un modèle de contrat qui obligerait les développeurs à garantir que leur code est à minima exempt de ces vingt-cinq erreurs types et que leurs ingénieurs sont formés aux techniques de développement sécurisé.

Grâce à cette formation

• Découvrez les techniques indispensables qui permettent de tenir les hackers à bonne distance ;
• Apprenez à verrouiller vos applications au cours de leurs différentes phases de développement, depuis la conception jusqu'aux tests ;
• Découvrez les principes de sécurité, les stratégies et les techniques de codage qui permettent d'écrire du logiciel qui résiste mieux aux attaques ;
• Apprenez à auditer des applications et découvrir les failles de sécurité.

L'intervenant

Sébastien Gioria est Auditeur Senior en Sécurité des Systèmes d'Informations au sein du cabinet d'audit Groupe Y, Responsable de l'OWASP en France, Membre du comité global d'éducation de l'OWASP et Président du CLUSIR Poitou-Charentes.

Public concerné

Développeurs informaticiens, Webmasters, Chargés de projets Web, Architectes de portails Intranet, Consultants, Auditeurs et Experts en sécurité

Pré-requis : Connaissance du protocole HTTP

Pédagogie : Cours magistral, avec démonstrations, études de cas, discussions, débats et laboratoires (travaux pratiques sur PC, dont exploitation de vulnérabilités XSS et SQL)).

Programme (extrait) : Les limites des Web Application Firewall et du chiffrement SSL, Analyse du Top Ten des attaques visant les applications Web (Cross Site Scripting, injections SQL, rupture des mécanismes de session ou d'authentification, référence directe non sécurisée aux objets, requêtes inter-sites CSRF, etc.), sécurité applicative vs sécurité réseau, test d'intrusion et revue de code, principes généraux du développement sécurisé, etc.), Cycle de développement sécurisé, etc..

Les notions dispensées dans cette session ne sont pas spécifiques à un langage de programmation ou à une technologie spécifique : elles sont applicables aux différents environnements (ASP, PHP, Java,.Net, etc.).

Prochaine session : Nous consulter

Cette formation courte est adaptée aux dispositions du DIF (Droit Individuel à la Formation), pour 14 heures.

Si vous êtes intéressé, n'hésitez pas à contactez Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. <!-- document.write( '</' ); document.write( 'span>' ); //--> tél 01.49.54.52.20 pour être informé des premières dates et recevoir un dossier complet.

Vous serez aussi intéréssé par la formation courte "Sécurisez vos bases de données Oracle !"