• FNE
  • FSE

Formation Sécurité des serveurs et des applications Web

5 sur 5 étoiles

5 étoiles
100%
4 étoiles
0%
3 étoiles
0%
2 étoiles
0%
1 étoile
0%
Voir les 2 avis
(2 avis)
Durée 5 jours
Niveau Intermédiaire
Classe à distance
Possible

Vous pouvez suivre cette formation en direct depuis votre domicile ou votre lieu de travail. Plus d'informations sur notre solution de classe à distance...

Référence SSIN
Éligible CPF Non

Sécuriser les données de l’entreprise représente un défi constant pour les administrateurs.

On peut dire que, globalement, ils disposent des compétences et des moyens pour sécuriser leur infrastructure (firewall, VPN, DMZ, etc.), mais qu’ils sont souvent beaucoup moins au fait des concepts, ou en tout cas de leurs mises en œuvre, relatifs à la sécurisation des applications Web.
De plus, que l’on parle ici de sites Web ou d’applications Web, ces éléments ne sont pas dans la culture des développeurs. Or, c’est bien là que réside une faille béante pour les pirates, les visiteurs mal intentionnés, ou simplement les utilisateurs qui peuvent involontairement déclencher des « exploits » suite à certaines séquences de travail. Et ceci malgré toutes les précautions prises au niveau des firewalls ...

Cette formation Sécurité des applications, services et serveur Web vous permettra à la fois de disposer d’une culture générale sur la sécurité applicative mais aussi de connaître de façon très concrète les mécanismes d’échanges entre les différentes briques d’une application WEB (http, session, Web Service, etc.).

La mise en œuvre des différents éléments de sécurité (certificats, chiffrage, restriction http, fuites, injections, saisie, ajax, etc.) viendront donc naturellement se greffer sur les architectures applicatives sécurisées que vous mettrez en place durant cette formation et que vous serez également capable de tester et d’auditer de façon professionnelle.

Objectif opérationnel

Apprendre à concevoir, programmer, sécuriser et auditer ses sites et applications web.

Objectifs pédagogiques

Concrètement, à l'issue de cette formation vous serez en mesure de:

  • Comprendre les vulnérabilités les plus fréquentes du web
  • Analyser les risques encourus
  • Dresser un diagnostic complet de sa sécurité
  • Appliquer les contre-mesures effectives
  • Maîtriser le processus de développement

Public :

Cette formation s'adresse aux développeurs, testeurs, administrateurs et architectes, ou plus généralement toute personne concernée par la sécurité des applications Web au sens large (application Web, site Web, web service, etc.).

Prérequis :

Pour suivre cette formation, il est important de posséder certaines connaissances du fonctionnement des applications web.
Des connaissances sur l'administration de serveurs web sont également nécessaires.

Introduction aux risques et aux enjeux de la sécurité applicative

Les motivations des attaquants
Notions d’analyse de risque
Les grands principes récurrents de la sécurité

Rappels sur les technologies web

Encodages (URL, HTML, Base64)
HTTP / HTTPS
Introduction à un proxy Web pour intercepter, analyser et modifier les échanges HTTP(S)

La sécurité côté client

Same Origin Policy
Communication "cross-domain"
Injection XSS
Les entêtes de sécurité

Notions de cryptographie

Rappels sur les primitives de base (chiffrement, hash)
Cryptographie symétrique, asymétrique et hybride
Echange de clé
HSM, carte à puce et TPM
PKI et certificats
Réflexion sur la cryptographie post-quantique

Les processus d'authentification et d’autorisation

Les méthodes d'authentification http
Authentification forte/double facteur
Centralisation des méthodes d’authentification/d’autorisation
- SAML, OpenID, OAuth 2
Les attaques sur l'authentification
Durcissement des méthodes d’authentification

La gestion des sessions

Les jetons de session
Les cookies
Forge de requêtes inter-sites (CSRF)
Fixation de session
Forge de jetons de session
Cloisonnement des droits horizontaux et verticaux

Défense de l’application côté serveur

Principes de base sur les injections
Injections de commande et de code
Injection sur les bases de données (SQL, HQL, NoSQL…)
Utilisation du XML : Injection et XXE
SSRF
Désérialisation
Inclusion de fichiers et injection de templates
Téléversement (upload) et Path traversal

Gestion des secrets et des données sensibles

Stockage et politiques de mots de passes
Secrets dans l’environnement de développement/production
Auditer la sécurité des mots de passes
Chiffrement et base de données
Conformité aux référentiels (données de santé, PCI-DSS, RGPD…)

La sécurité des communications

HTTPS, SSL, TLS
Dissection d'une suite cryptographique
Recommandations
Audits et contrôles

Webservices et clients lourds

SOAP, REST : leur fonctionnement et leur sécurité
Les clients lourds et leur sécurité
- Angular,, React, Vue…
- Gestion des permissions et des secrets côté client ?

Sécurité et processus de développement

Secure SDLC
Développement sécurisé
Les tests des fonctions de sécurité
La sécurité du produit en production
La gestion des vulnérabilités
La gestion des patchs
La gestion des dépendances et des vulnérabilités transitives

Durcissement des services

Gestion des logs et des erreurs
Réduction de la surface d’attaque
Durcissement du socle
Durcissement du service web

Les concepts essentiels développés dans la formation sont illustrés au travers de mises en pratique sur PC permettant d’acquérir des compétences concrètes applicables en entreprise.

Date de mise à jour du programme : 25/03/2025

Dates et lieux

Du 12 au 16 mai 2025
Lieu
Distanciel
Durée
5 jrs
3780 € HT
Du 12 au 16 mai 2025
Lieu
Paris
Durée
5 jrs
3780 € HT
Du 15 au 19 septembre 2025
Lieu
Distanciel
Durée
5 jrs
3780 € HT
Du 15 au 19 septembre 2025
Lieu
Paris
Durée
5 jrs
3780 € HT
Du 29 septembre au 03 octobre 2025
Lieu
Distanciel
Durée
5 jrs
3780 € HT
Du 29 septembre au 03 octobre 2025
Lieu
Paris
Durée
5 jrs
3780 € HT
Du 03 au 05 novembre 2025
Lieu
Distanciel
Durée
5 jrs
3780 € HT
Du 03 au 05 novembre 2025
Lieu
Paris
Durée
5 jrs
3780 € HT

Avis des participants à la formation Sécurité des serveurs et des applications Web

Note moyenne de 5/5(2)

Les avis figurant ci-dessous sont issus des fiches d’évaluation que remplissent les participants à la fin de la formation. Ils sont ensuite publiés automatiquement si les personnes ont explicitement accepté que nous les diffusions.

MJ
5/5

Mon avis sur le contenu du stage :

"Certains aspect sont très technique et un peu hors besoin pour moi, mais cependant m'ont montré a quels point cela avait évolué et toute les possibilités que cela apportent aujourd'huis"

Mon avis sur le formateur :

"c'était du sur mesure convivial. Trop TOP!"

BF
5/5

Mon avis sur le contenu du stage :

"la formation m'aura permis d'approfondir des choses déjà pratiquées et d'en découvrir de nouvelles."

Mon avis sur le formateur :

"Très bon contact, des anecdotes pertinentes, très disponible."

Ces formations peuvent aussi vous intéresser :

  • Niveau : Intermédiaire
  • Référence : SPCS

Développement d'application Java Sécurisée

  • Niveau : Avancé
  • Référence : JSJA

  • Niveau : Fondamental
  • Référence : SDAD

Pentest Active Directory

  • Niveau : Intermédiaire
  • Référence : SOAD


Formations Informatique
et Management
en ligne à ce jour

+
Stagiaires dans nos salles
de cours sur
l'année

%
De participants satisfaits
ou très satisfaits de nos
formations


Formateurs experts
validés par
PLB