Description
Apprenez le DevSecOps en 4 jours. Développez, programmez, déployez et administrez de manière cyber-sécurisée en contexte Agile/DevOps
CERTIFICATION : Attestation d’Acquisition des Compétences de l’EPITA
PROGRAMME
INTRODUCTION
PARTIE 1 - Concepts génériques liés aux vulnérabilités web
- Exemples réels et conséquences
Identification des vulnérabilités (CVE)
Criticité des vulnérabilités (CVSS) et politique de communication par les éditeurs logiciels
PARTIE 2 - Gestion de projets
- Principe de l'analyse de risques (OWASP A04)
- Intégration de la sécurité dans les projets (OWASP A04)
PARTIE 3 - Spécificités de l’hébergement dans le cloud et des offres software as a service (saas)
CONCEPTION ET ÉLÉMENTS CLÉS DE SÉCURISATION
PARTIE 1 - Spécifications fonctionnelles
- Principe de sécurité par défaut (OWASP A04)
- Transparence vs sécurité par l'obscurité
- Protection des données sensibles et concepts cryptographiques (OWASP A02)
- Traçabilité (OWASP A09)
- Fonctionnalités dangereuses
- Gestion des mises à jour (OWASP A06)
PARTIE 2 - Spécifications techniques et implémentation des fonctions de sécurité
- Authentification (OWASP A07)
- Gestion des mots de passe
- Gestion des sessions
- Autorisation / Gestion des droits (OWASP A01)
- Cryptographie appliquée (OWASP A02)
- Gestion des erreurs
PROGRAMME (IN)SÉCURISÉE
Vulnérabilités (dont OWASP top 10) liées au développement et contre-mesures
- Injections (OWASP A03, OWASP A10) :
- SQL, LDAP
- Commandes système
- Arguments de commandes
- Code interprété
- Cross-site scripting – XSS
- Directory transversal
- Injections XML - XXE (OWASP A05)
- ReDoS
- Désérialisation (OWASP A08)
- Cross-site request forgery (CSRF)
OUTILS ET RECETTE SÉCURITÉ
Vérification de la sécurité
- Tests manuels de sécurité
- Tests unitaires, audit statique de code
- Tests automatisés de sécurité
- Fuzzing et tests d'intrusion applicatifs
DÉPLOIEMENT SÉCURISÉ
PARTIE 1 - Automatisation du déploiement
- Packaging et mise à disposition d’applications
- Infrastructure As Code (exemple Ansible)
- Conteneurisation d’application sous Linux
- Gestion des secrets et bonnes pratiques liées à Docker
- Orchestration de conteneurs
- Bonnes pratiques liées à Kubernetes
- Protection de chaîne d’automatisation (CI)
PARTIE 2 - Protections réseau
- Filtrage réseau et NIDS
- Relais et Web Application Firewall (WAF)
PARTIE 3 - Protections système
- Durcissement des configurations
- Protections intégrées aux systèmes d’exploitation
- Administration sécurisée
