Prenez contact avec nous

Plan du cours

Jour 1

Sécurité informatique et codage sécurisé

  • Nature de la sécurité.
  • Termes liés à la sécurité informatique.
  • Définition du risque.
  • Différents aspects de la sécurité informatique.
  • Exigences des différents domaines d'application.
  • Sécurité informatique vs. codage sécurisé.
  • Des vulnérabilités aux botnets et à la cybercriminalité.
    • Nature des failles de sécurité.
    • Raisons des difficultés.
    • D'un ordinateur infecté aux ciblées ciblées.
  • Classification des failles de sécurité.
    • Taxonomie de Landwehr.
    • Les Sept Royaumes Périlleux (The Seven Pernicious Kingdoms).
    • OWASP Top Ten 2013.
    • Comparaison OWASP Top Ten 2003 - 2013.

Introduction au Cycle de Développement Sécurisé (SDL) de Microsoft®.

  • Ordre du jour.
  • Applications sous attaque...
    • Évolution de la cybercriminalité.
    • Les attaques se concentrent sur les applications.
    • La plupart des vulnérabilités se trouvent dans les applications des ISV (Independent Software Vendors) plus petites.
  • Origines du SDL de Microsoft...
    • Chronologie de la sécurité chez Microsoft...
    • Quelles applications doivent respecter le SDL ?
  • Cycle de Développement Sécurisé de la Sécurité Microsoft (SDL)
    • Cycle de Développement Sécurisé de la Sécurité Microsoft (SDL)
    • Prérequis avant le SDL : Formation à la sécurité.
    • Phase Un : Exigences.
    • Phase Deux : Conception.
    • Phase Trois : Implémentation.
    • Phase Quatre : Vérification.
    • Phase Cinq : Lancement – Plan de réponse.
    • Phase Cinq : Lancement – Revue de sécurité finale.
    • Phase Cinq : Lancement – Archivage.
    • Postrequis du SDL : Réponse.
    • Conseils sur le processus SDL pour les applications métier (LOB).
    • Conseils SDL pour les méthodologies agiles.
    • Le développement de logiciels sécurisés nécessite une amélioration des processus.

Principes de conception sécurisée

  • Surface d'attaque.
    • Réduction de la surface d'attaque.
    • Surface d'attaque – un exemple.
    • Analyse de la surface d'attaque.
    • Réduction de la surface d'attaque – exemples.
  • Vie privée.
    • Vie privée.
    • Compréhension des comportements et des préoccupations de l'application.
  • Défense en profondeur.
    • Principe fondamental du SDL : Défense en profondeur.
    • Défense en profondeur – exemple.
  • Principe du moindre privilège.
    • Moindre privilège – exemple.
  • Paramètres de sécurité par défaut.
    • Paramètres de sécurité par défaut – exemples.

Principes de mise en œuvre sécurisée

  • Ordre du jour.
  • Cycle de Développement Sécurisé de la Sécurité Microsoft (SDL).
  • Bases des débordements de tampon (buffer overflow).
    • Processeurs Intel 80x86 – registres principaux.
    • Mise en page de l'adresse mémoire.
    • Mécanisme d'appel de fonction dans C/C++ sur x86.
    • Variables locales et pile d'appels (stack frame).
    • Dépassement de pile (stack overflow).
      • Dépassement de tampon sur la pile.
      • Exercices – introduction.
      • Exercice BOFIntro.
      • Exercice BOFIntro – déterminer la disposition de la pile.
      • Exercice BOFIntro – un exploit simple.
  • Validation des entrées.
    • Concepts de validation des entrées.
    • Problèmes entiers.
      • Représentation des entiers négatifs.
      • Dépassement d'entier.
      • Dépassement arithmétique – devinez la sortie !
      • Exercice IntOverflow.
      • Quelle est la valeur de Math.Abs(int.MinValue) ?
    • Atténuation des problèmes entiers.
      • Atténuation des problèmes entiers.
      • Éviter le dépassement arithmétique – addition.
      • Éviter le dépassement arithmétique – multiplication.
      • Détection des débordements avec le mot clé checked en C#.
      • Exercice – Utilisation du mot clé checked en C#.
      • Exceptions déclenchées par les débordements en C#.
    • Étude de cas – Dépassement d'entier dans .NET.
      • Une vulnérabilité réelle de dépassement d'entier.
      • Exploitation de la vulnérabilité de dépassement d'entier.
    • Vulnérabilité de traversal de chemin.
      • Atténuation de la traversal de chemin.

Jour 2

Principes de mise en œuvre sécurisée

  • Injection.
    • Méthodes d'attaque courantes d'injection SQL.
    • Injection SQL aveugle et basée sur le temps.
    • Méthodes de protection contre l'injection SQL.
    • Injection de commandes.
  • Authentification cassée - gestion des mots de passe.
    • Exercice – Faiblesse des mots de passe hachés.
    • Gestion et stockage des mots de passe.
    • Algorithmes de hachage spécialisés pour le stockage des mots de passe.
  • Cross-Site Scripting (XSS).
    • Cross-Site Scripting (XSS).
    • Injection CSS.
    • Exploitation : injection par d'autres balises HTML.
    • Prévention XSS.
  • Contrôle d'accès fonctionnel manquant.
    • Filtrage des téléchargements de fichiers.
  • Cryptographie pratique.
    • Assurer la confidentialité avec la cryptographie symétrique.
    • Algorithmes de chiffrement symétrique.
    • Chiffrements par blocs – modes de fonctionnement.
    • Hachage ou condensé de message.
    • Algorithmes de hachage.
    • Code d'authentification de message (MAC).
    • Assurer l'intégrité et l'authenticité avec une clé symétrique.
    • Assurer la confidentialité avec le chiffrement à clé publique.
    • Règle générale – possession de la clé privée.
    • Erreurs courantes dans la gestion des mots de passe.
    • Exercice – Mots de passe codés en dur.
    • Conclusion.

Principes de vérification sécurisée

  • Tests fonctionnels vs. tests de sécurité.
  • Vulnérabilités de sécurité.
  • Priorisation.
  • Tests de sécurité dans le SDLC.
  • Étapes de la planification des tests (analyse des risques).
  • Délimitation du périmètre et collecte d'informations.
    • Parties prenantes.
    • Actifs.
    • La surface d'attaque.
    • Objectifs de sécurité pour les tests.
  • Modélisation des menaces.
    • Modélisation des menaces.
    • Profils d'attaquants.
    • Modélisation des menaces basée sur des arbres d'attaque.
    • Modélisation des menaces basée sur des scénarios d'abus/détournement.
    • Scénarios d'abus/détournement – un exemple simple de boutique en ligne.
    • Approche STRIDE par élément pour la modélisation des menaces – MS SDL.
    • Identification des objectifs de sécurité.
    • Diagrammatisation – exemples d'éléments DFD.
    • Diagramme de flux de données – exemple.
    • Énumération des menaces – STRIDE de MS SDL et éléments DFD.
    • Analyse des risques – classification des menaces.
    • Le modèle de classement des menaces/risques DREAD.
  • Techniques et outils de tests de sécurité.
    • Approches générales de test.
    • Techniques pour les différentes étapes du SDLC.
  • Relecture de code.
    • Relecture de code pour la sécurité des logiciels.
    • Analyse de la contamination (taint analysis).
    • Heuristiques.
  • Analyse statique de code.
    • Analyse statique de code.
    • Exercice – Utilisation d'outils d'analyse statique de code.
  • Test de l'implémentation.
    • Vérification manuelle en temps d'exécution.
    • Tests de sécurité manuels vs. automatisés.
    • Tests de pénétration.
    • Tests de charge.
  • Fuzzing.
    • Tests de sécurité automatisés – fuzzing.
    • Défis du fuzzing.
  • Scanner de vulnérabilités Web.
    • Exercice – Utilisation d'un scanner de vulnérabilités.
  • Vérification et durcissement de l'environnement.
    • Système commun de cotation des vulnérabilités – CVSS.
    • Scanners de vulnérabilités.
    • Bases de données publiques.
  • Étude de cas – Contournement de l'authentification par formulaire.
    • Vulnérabilité de terminaison par octet nul.
    • La vulnérabilité de contournement de l'authentification par formulaire dans le code.
    • Exploitation du contournement de l'authentification par formulaire.

Sources de connaissances

  • Sources de codage sécurisé – une trousse de démarrage.
  • Bases de données de vulnérabilités.
  • Lignes directrices de codage sécurisé .NET sur MSDN.
  • Fiches pratiques de codage sécurisé .NET.
  • Livres recommandés – .NET et ASP.NET.
 14 Heures

Nombre de participants


Prix par participant

Les formations ouvertes requièrent plus de 3 participants.

Nos clients témoignent (3)

Le partage d'expérience, c'est le savoir-faire et la valeur de l'enseignant.

Carey Fan - Logitech
Formation - C/C++ Secure Coding

Traduction automatique

les connaissances du formateur étaient très élevées - il savait de quoi il parlait et avait les réponses à nos questions

Adam - Fireup.PRO
Formation - Advanced Java Security

Traduction automatique

Le sujet est d'actualité et j'avais besoin de me mettre à jour

Damilano Marco - SIAP s.r.l.
Formation - Secure Developer Java (Inc OWASP)

Traduction automatique

Cours à venir

Microsoft SDL Core

2026-07-20 09:30
14 heures
Louvain
2550 EUR (En ligne)
3450 EUR (Salle de Classe)

Microsoft SDL Core

2026-08-03 09:30
14 heures
Anvers
2550 EUR (En ligne)
3650 EUR (Salle de Classe)

Microsoft SDL Core

2026-08-17 09:30
14 heures
Courtrai
2550 EUR (En ligne)
3450 EUR (Salle de Classe)

Microsoft SDL Core

2026-08-31 09:30
14 heures
Gand
2550 EUR (En ligne)
3550 EUR (Salle de Classe)

Microsoft SDL Core

2026-09-14 09:30
14 heures
Hasselt
2550 EUR (En ligne)
3550 EUR (Salle de Classe)

Cours Similaires

Sécurité des réseaux et communications sécurisées

 21 Heures

La mise en œuvre d'une application réseau sécurisée peut s'avérer difficile, même pour des développeurs ayant préalablement utilisé divers composants cryptographiques (tels que le chiffrement et les signatures numériques). Afin que les participants comprennent le rôle et l'utilisation de ces primitives cryptographiques, nous établirons d'abord des bases solides sur les exigences principales de la communication sécurisée – accusé de réception sécurisé, intégrité, confidentialité, identification à distance et anonymat – tout en présentant les problèmes typiques susceptibles de compromettre ces exigences, ainsi que des solutions concrètes.

La cryptographie étant un aspect critique de la sécurité des réseaux, nous aborderons également les algorithmes cryptographiques les plus importants en cryptographie symétrique, en hachage, en cryptographie asymétrique et en échange de clés. Au lieu de proposer un fondement mathématique approfondi, ces éléments sont examinés du point de vue du développeur, avec des exemples d'utilisations typiques et des considérations pratiques liées à l'usage du chiffrement, telles que les infrastructures à clés publiques. Les protocoles de sécurité dans de nombreux domaines des communications sécurisées sont présentés, avec un examen approfondi des familles de protocoles les plus répandues, comme IPSEC et SSL/TLS.

Les vulnérabilités cryptographiques courantes sont analysées, tant en lien avec certains algorithmes cryptographiques qu'avec les protocoles de chiffrement, notamment BEAST, CRIME, TIME, BREACH, FREAK, Logjam, l'attaque par oracle de rembourrage (Padding oracle), Lucky Thirteen, POODLE et similaires, ainsi que l'attaque par chronométrage sur RSA. Dans chaque cas, les implications pratiques et les conséquences potentielles de chaque problème sont décrites, sans entrer dans les détails mathématiques approfondis.

Enfin, la technologie XML étant centrale pour l'échange de données entre applications réseau, nous décrirons les aspects de sécurité liés au XML. Cela inclut l'utilisation du XML dans les services Web et les messages SOAP, ainsi que les mesures de protection telles que la signature XML et le chiffrement XML – mais aussi les faiblesses de ces mécanismes de protection et les problèmes de sécurité spécifiques au XML, comme l'injection XML, les attaques par entités externes XML (XXE), les bombes XML et l'injection XPath.

Les participants suivant cette formation apprendront à

  • Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
  • Comprendre les exigences d'une communication sécurisée
  • Apprendre les attaques et les défenses réseau aux différentes couches du modèle OSI
  • Acquérir une compréhension pratique de la cryptographie
  • Comprendre les protocoles de sécurité essentiels
  • Comprendre certaines attaques récentes contre les systèmes cryptographiques
  • Obtenir des informations sur certaines vulnérabilités récentes apparentées
  • Comprendre les concepts de sécurité des services Web
  • Disposer de sources et de lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs, Professionnels

En savoir plus...

Programmation sécurisée en C/C++

 21 Heures

Écrire du code C et C++ sécurisé exige une défense rigoureuse contre les exploitations malveillantes, la corruption de la mémoire et les contournements de la validation des entrées. Ce programme examine des modèles de vulnérabilités tels que les débordements de tampon, l'utilisation après libération, les débordements entiers et les erreurs de type. Les participants appliquent des directives de codage sécurisé, des outils d'analyse statique et des techniques de programmation défensive pour éliminer les faiblesses, imposer la sanitisation des entrées et livrer un logiciel durci résistant aux cyberattaques.

En savoir plus...

Sécurité avancée de Java

 21 Heures

Même les programmeurs Java expérimentés ne maîtrisent pas nécessairement tous les services de sécurité offerts par Java et ne sont pas non plus conscients des différentes vulnérabilités pertinentes pour les applications web écrites en Java.

Le cours – outre l’introduction aux composants de sécurité de la plate-forme Standard Java Edition – traite des questions de sécurité liées à Java Enterprise Edition (JEE) et aux services web. L’analyse des services spécifiques est précédée par les fondements de la cryptographie et de la communication sécurisée. Divers exercices portent sur les techniques de sécurité déclarative et programmatique dans JEE, tandis que la sécurité au niveau du transport et de bout en bout des services web est abordée. L’utilisation de tous les composants est présentée à travers plusieurs exercices pratiques, permettant aux participants d’expérimenter eux-mêmes les API et outils discutés.

Le cours explore également et explique les failles de programmation les plus fréquentes et graves du langage Java et de sa plateforme, ainsi que les vulnérabilités liées au web. Outre les bugs typiques commis par les programmeurs Java, les vulnérabilités de sécurité introduites couvrent à la fois les problèmes spécifiques au langage et les problèmes découlant de l’environnement d’exécution. Toutes les vulnérabilités et les attaques associées sont démontrées à travers des exercices compréhensibles, suivis des directives de codage recommandées et des techniques d’atténuation possibles.

Les participants suivant ce cours sauront

  • Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
  • Apprendre les vulnérabilités web au-delà de l’OWASP Top Ten et savoir comment les éviter
  • Comprendre les concepts de sécurité des services web
  • Savoir utiliser diverses fonctionnalités de sécurité de l’environnement de développement Java
  • Avoir une compréhension pratique de la cryptographie
  • Comprendre les solutions de sécurité de Java EE
  • Se familiariser avec les erreurs de codage courantes et leur prévention
  • Obtenir des informations sur certaines vulnérabilités récentes dans le framework Java
  • Acquérir des connaissances pratiques sur l’utilisation des outils de test de sécurité
  • Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public

Développeurs

En savoir plus...

Développement de la sécurité avec .NET, C# et ASP.NET

 14 Heures

Aujourd'hui, de nombreux langages de programmation permettent de compiler du code pour les environnements .NET et ASP.NET. Cet environnement offre des outils puissants pour le développement de la sécurité, mais les développeurs doivent savoir appliquer les techniques de programmation au niveau de l'architecture et du code afin d'implémenter les fonctionnalités de sécurité souhaitées, éviter les vulnérabilités ou limiter leur exploitation.

Ce cours a pour objectif d'apprendre aux développeurs, à travers de nombreux exercices pratiques, comment empêcher du code non fiable d'effectuer des actions privilégiées, protéger les ressources grâce à une authentification et une autorisation robustes, fournir des appels de procédure à distance (RPC), gérer les sessions, présenter différentes implémentations pour certaines fonctionnalités, et bien plus encore.

L'introduction aux différentes vulnérabilités commence par la présentation de problèmes de programmation typiques commis lors de l'utilisation de .NET. La discussion sur les vulnérabilités d'ASP.NET traite également de divers paramètres d'environnement et de leurs effets. Enfin, le sujet des vulnérabilités spécifiques à ASP.NET aborde non seulement certains défis généraux de sécurité des applications web, mais aussi des problèmes particuliers et des méthodes d'attaque, telles que l'attaque de ViewState ou les attaques par terminaison de chaîne.

Les participants à ce cours seront capables de

  • Comprendre les concepts de base de la sécurité, de la sécurité informatique et du codage sécurisé
  • Apprendre les vulnérabilités web au-delà du OWASP Top Ten et savoir comment les éviter
  • Apprendre à utiliser les diverses fonctionnalités de sécurité de l'environnement de développement .NET
  • Obtenir des connaissances pratiques sur l'utilisation des outils de test de sécurité
  • Apprendre à connaître les erreurs de codage courantes et savoir comment les éviter
  • Obtenir des informations sur certaines vulnérabilités récentes dans .NET et ASP.NET
  • Obtenir des sources et des lectures complémentaires sur les pratiques de codage sécurisé

Public cible

Développeurs

En savoir plus...

Programmation sécurisée en PHP

 21 Heures

Le cours dispensent les compétences essentielles pour les développeurs PHP afin de rendre leurs applications résistantes aux attaques contemporaines via Internet. Les vulnérabilités web sont abordées à travers des exemples en PHP qui dépassent le OWASP Top Ten, traitant de divers types d'attaques par injection, d'injections de scripts, d'attaques contre la gestion de session de PHP, de références directes d'objets non sécurisées, de problèmes liés aux téléchargements de fichiers, et bien d'autres. Les vulnérabilités liées à PHP sont présentées regroupées par les types standards de vulnérabilités : validation d'entrée manquante ou inadéquate, gestion incorrecte des erreurs et des exceptions, utilisation inadéquate des fonctionnalités de sécurité et problèmes liés au temps et à l'état. Pour ces derniers, nous discuterons d'attaques comme l'évasion de open_basedir, le déni de service par le biais de magic float ou l'attaque par collision de table de hachage. Dans tous les cas, les participants prendront familiarité avec les techniques et fonctions les plus importantes à utiliser pour atténuer les risques énumérés.

Un accent particulier est mis sur la sécurité côté client, en abordant les problèmes de sécurité de JavaScript, Ajax et HTML5. Un certain nombre d'extensions liées à la sécurité pour PHP sont introduites comme hash, mcrypt et OpenSSL pour la cryptographie, ou Ctype, ext/filter et HTML Purifier pour la validation des entrées. Les meilleures pratiques de durcissement sont données en relation avec la configuration de PHP (paramètres de php.ini), Apache et le serveur en général. Enfin, une vue d'ensemble est donnée sur divers outils et techniques de test de sécurité que les développeurs et testeurs peuvent utiliser, y compris les scanners de sécurité, les tests de pénétration, les paquets d'exploitation, les analyseurs de paquets, les serveurs proxy, les outils de fuzzing et les analyseurs statiques de code source.

Tant l'introduction des vulnérabilités que les pratiques de configuration sont soutenues par un certain nombre d'exercices pratiques démontrant les conséquences des attaques réussies, montrant comment appliquer les techniques d'atténuation et introduire l'utilisation de diverses extensions et outils.

Les participants suivants de ce cours vont

  • Comprendre les concepts de base de la sécurité, la sécurité informatique et la programmation sécurisée
  • Apprendre les vulnérabilités web au-delà du OWASP Top Ten et savoir comment les éviter
  • Apprendre les vulnérabilités côté client et les pratiques de programmation sécurisée
  • Avoir une compréhension pratique de la cryptographie
  • Apprendre à utiliser diverses fonctionnalités de sécurité de PHP
  • Apprendre les erreurs courantes de codage et comment les éviter
  • Être informé des récentes vulnérabilités du framework PHP
  • Obtenir des connaissances pratiques sur l'utilisation des outils de test de sécurité
  • Obtenir des sources et lectures complémentaires sur les pratiques de programmation sécurisée

Public

Développeurs

En savoir plus...

Sécurité DevOps : Élaborer une stratégie de sécurité DevOps

 7 Heures

Dans ce cours en direct dirigé par un formateur à Belgique, les participants apprendront comment élaborer une stratégie de sécurité appropriée pour relever le défi de la sécurité DevOps.

En savoir plus...

Ingénieur DevSecOps Certifié EC-Council (ECDE)

 28 Heures

L'Ingénieur DevSecOps Certifié EC-Council (ECDE) est un cours pratique conçu pour doter les professionnels des compétences nécessaires pour intégrer la sécurité tout au long du cycle de vie DevOps, permettant ainsi un développement logiciel sécurisé, de la planification au déploiement.

Ce cours en présentiel animé par un instructeur (en ligne ou sur site) s'adresse aux professionnels intermédiaires du développement logiciel et de l'ingénierie DevOps qui souhaitent intégrer des pratiques de sécurité dans les pipelines CI/CD, garantissant ainsi la livraison d'un code sécurisé et conforme.

À l'issue de cette formation, les participants seront capables de :

  • Comprendre les principes et pratiques du DevSecOps.
  • Sécuriser chaque étape du pipeline CI/CD à l'aide d'outils automatisés.
  • Mettre en œuvre des pratiques de codage sécurisé et des analyses de vulnérabilités.
  • Se préparer à la certification ECDE grâce à des laboratoires pratiques et une révision ciblée.

Format de la formation

  • Cours interactif et discussions.
  • Mise en pratique des outils DevSecOps dans des pipelines simulés.
  • Exercices guidés axés sur le développement et le déploiement sécurisés.

Options de personnalisation de la formation

  • Pour demander une formation personnalisée pour ce cours, adaptée aux workflows ou à la chaîne d'outils de votre équipe, veuillez nous contacter pour en convenir.
En savoir plus...

Comment écrire un Code Sécurisé

 35 Heures

Ce cours dans Belgique vise à aider à ce qui suit :

  1. Aider les développeurs à maîtriser les techniques d'écriture de code sécurisé
  2. Aider les testeurs logiciels à vérifier la sécurité de l'application avant sa publication en environnement de production
  3. Aider les architectes logiciels à comprendre les risques liés aux applications
  4. Aider les chefs d'équipe à définir les bases de sécurité pour les développeurs
  5. Aider les responsables web à configurer les serveurs afin d'éviter les erreurs de configuration
En savoir plus...

Développeur Java sécurisé (incluant OWASP)

 21 Heures

Ce cours couvre les concepts et principes de codage sécurisé avec Java, en se basant sur la méthodologie de test du Open Web Application Security Project (OWASP). Le Open Web Application Security Project est une communauté en ligne qui crée des articles, méthodologies, documentation, outils et technologies librement accessibles dans le domaine de la sécurité des applications web.

En savoir plus...

Développeur sécurisé .NET (inclus OWASP)

 21 Heures

Ce cours aborde les concepts et principes de codage sécurisé avec ASP.NET à travers la méthodologie de test du Open Web Application Security Project (OWASP). OWASP est une communauté en ligne qui crée des articles, méthodologies, documentation, outils et technologies freely disponibles dans le domaine de la sécurité des applications web.

Ce cours explore les fonctionnalités de sécurité du framework .NET et comment sécuriser les applications web.
 
 
 
 
 

En savoir plus...

Catégories Similaires

Secure Coding
Secure Coding