Plan du cours
A01:2025 - Contrôle d'accès brisé
A02:2025 - Configuration de sécurité incorrecte
A03:2025 - Failles de la chaîne d'approvisionnement logicielle
A04:2025 - Echecs cryptographiques
A05:2025 - Injection
A06:2025 - Conception non sécurisée
A07:2025 - Echecs d'authentification
A08:2025 - Failles d'intégrité des logiciels ou des données
A09:2025 - Echecs de journalisation et d'alerte de sécurité
A10:2025 - Gestion incorrecte des conditions exceptionnelles
A01:2025 Contrôle d'accès brisé - Le contrôle d'accès applique une politique selon laquelle les utilisateurs ne peuvent pas agir en dehors de leurs permissions prévues. Les échecs conduisent généralement à une divulgation non autorisée d'informations, à une modification ou une destruction de toutes les données, ou à l'exécution d'une fonction métier hors des limites de l'utilisateur.
A02:2025 Configuration de sécurité incorrecte - Une configuration de sécurité incorrecte se produit lorsqu'un système, une application ou un service cloud est configuré de manière incorrecte d'un point de vue sécurité, créant ainsi des vulnérabilités.
A03:2025 Failles de la chaîne d'approvisionnement logicielle - Les failles de la chaîne d'approvisionnement logicielle sont des ruptures ou d'autres compromissions dans le processus de construction, de distribution ou de mise à jour des logiciels. Elles sont souvent causées par des vulnérabilités ou des modifications malveillantes dans du code tiers, des outils ou d'autres dépendances sur lesquelles le système repose.
A04:2025 Echecs cryptographiques - De manière générale, toutes les données en transit devraient être chiffrées au niveau du transport (couche 4 du modèle OSI). Les obstacles précédents tels que les performances du processeur et la gestion des clés privées et des certificats sont désormais gérés par les processeurs disposant d'instructions conçues pour accélérer le chiffrement (par exemple, le support AES) et la simplification de la gestion des clés privées et des certificats par des services comme LetsEncrypt.org, avec les principaux fournisseurs de cloud offrant des services de gestion de certificats encore plus intégrés pour leurs plateformes spécifiques. Au-delà de la sécurisation de la couche de transport, il est important de déterminer quelles données nécessitent un chiffrement au repos et quelles données nécessitent un chiffrement supplémentaire en transit (à la couche application, couche 7 du modèle OSI). Par exemple, les mots de passe, les numéros de carte de crédit, les dossiers médicaux, les informations personnelles et les secrets commerciaux nécessitent une protection accrue, en particulier si ces données relèvent des lois sur la confidentialité, par exemple le Règlement général sur la protection des données (RGPD) de l'UE, ou des réglementations telles que la norme PCI DSS (PCI Data Security Standard).
A05:2025 Injection - Une vulnérabilité d'injection est un défaut du système permettant à un attaquant d'insérer du code ou des commandes malveillants (tels que du code SQL ou shell) dans les champs de saisie d'un programme, trompant le système pour qu'il exécute le code ou les commandes comme s'il faisait partie du système. Cela peut entraîner des conséquences désastreuses.
A06:2025 Conception non sécurisée - La conception non sécurisée est une catégorie large représentant différentes faiblesses, exprimées comme « une conception de contrôle manquante ou inefficace ». La conception non sécurisée n'est pas la source de toutes les autres catégories de risques du Top Ten. Notez qu'il existe une différence entre la conception non sécurisée et la mise en œuvre non sécurisée. Nous différencions les flaws de conception des défauts de mise en œuvre pour une bonne raison : ils ont des causes racines différentes, se produisent à des moments différents du processus de développement et nécessitent des remédiations différentes. Une conception sécurisée peut toujours présenter des défauts de mise en œuvre conduisant à des vulnérabilités qui peuvent être exploitées. Une conception non sécurisée ne peut pas être corrigée par une mise en œuvre parfaite car les contrôles de sécurité nécessaires n'ont jamais été créés pour se défendre contre des attaques spécifiques. L'un des facteurs contribuant à une conception non sécurisée est l'absence de profilage des risques métier inhérent au logiciel ou au système en cours de développement, entraînant ainsi l'échec de déterminer le niveau de conception de sécurité requis.
A07:2025 Echecs d'authentification - Cette vulnérabilité est présente lorsqu'un attaquant parvient à tromper un système pour qu'il reconnaisse un utilisateur invalide ou incorrect comme légitime.
A08:2025 Failles d'intégrité des logiciels ou des données - Les failles d'intégrité des logiciels et des données concernent le code et l'infrastructure qui ne protègent pas contre le traitement de code ou de données invalides ou non fiables comme étant fiables et valides. Un exemple est lorsqu'une application repose sur des plugins, des bibliothèques ou des modules provenant de sources non fiables, de dépôts et de réseaux de diffusion de contenu (CDN). Un pipeline CI/CD non sécurisé, sans vérification et fourniture des contrôles d'intégrité des logiciels, peut introduire le potentiel d'accès non autorisé, de code malveillant ou de compromission du système. Un autre exemple est un CI/CD qui extrait du code ou des artefacts de sources non fiables et/ou ne les vérifie pas avant utilisation (en vérifiant la signature ou un mécanisme similaire).
A09:2025 Echecs de journalisation et d'alerte de sécurité - Sans journalisation et surveillance, les attaques et les brèches ne peuvent pas être détectées, et sans alerte, il est très difficile de répondre rapidement et efficacement lors d'un incident de sécurité. Une journalisation insuffisante, une surveillance continue, une détection et une alerte pour initier des réponses actives se produisent à tout moment
A10:2025 Gestion incorrecte des conditions exceptionnelles - Une gestion incorrecte des conditions exceptionnelles dans les logiciels se produit lorsque les programmes échouent à empêcher, détecter et répondre à des situations inhabituelles et imprévisibles, ce qui entraîne des plantages, un comportement inattendu et parfois des vulnérabilités. Cela peut impliquer l'une des trois défaillances suivantes : l'application n'empêche pas une situation inhabituelle de se produire, elle n'identifie pas la situation au moment où elle se produit, et/ou elle répond mal ou pas du tout à la situation par la suite.
Nous discuterons et présenterons les aspects pratiques de :
Contrôle d'accès brisé
- Exemples pratiques de contrôles d'accès brisés
- Contrôles d'accès sécurisés et bonnes pratiques
Configuration de sécurité incorrecte
- Exemples réels de configurations incorrectes
- Étapes pour prévenir les configurations incorrectes, y compris la gestion de configuration et les outils d'automatisation
Echecs cryptographiques
- Analyse détaillée des échecs cryptographiques tels que les algorithmes de chiffrement faibles ou la mauvaise gestion des clés
- Importance des mécanismes cryptographiques forts, des protocoles sécurisés (SSL/TLS) et exemples de cryptographie moderne dans la sécurité web
Attaques par injection
- Décomposition détaillée des injections SQL, NoSQL, OS et LDAP
- Techniques d'atténuation utilisant des instructions préparées, des requêtes paramétrées et l'échappement des entrées
Conception non sécurisée
- Nous explorerons les flaws de conception pouvant conduire à des vulnérabilités, comme une validation d'entrée incorrecte
- Nous étudierons les stratégies d'architecture sécurisée et les principes de conception sécurisée
Echecs d'authentification
- Problèmes courants d'authentification
- Stratégies d'authentification sécurisées, comme l'authentification multi-facteurs et la gestion appropriée des sessions
Failles d'intégrité des logiciels et des données
- Focus sur des problèmes tels que les mises à jour de logiciels non fiables et la falsification de données
- Mécanismes de mise à jour sûrs et vérifications d'intégrité des données
Echecs de journalisation et de surveillance de sécurité
- Importance de la journalisation des informations pertinentes pour la sécurité et de la surveillance des activités suspectes
- Outils et pratiques pour une journalisation appropriée et une surveillance en temps réel afin de détecter les brèches précocement
Pré requis
- Une compréhension générale du cycle de vie du développement web
- Une expérience en développement et sécurité des applications web
Public cible
- Développeurs web
- Responsables
Nos clients témoignent (7)
Que chaque leçon technique soit accompagnée de plusieurs exercices pratiques pour bien maîtriser les concepts.
Andrei-Calin Bajea
Formation - OWASP Top 10 2025
Traduction automatique
formation très dynamique et flexible !
Valentina Giglio - Fincons SPA
Formation - OWASP Top 10
Traduction automatique
Exercices de laboratoire
Pietro Colonna - Fincons SPA
Formation - OWASP Top 10
Traduction automatique
Les composants interactifs et les exemples.
Raphael - Global Knowledge
Formation - OWASP Top 10
Traduction automatique
Approche pratique et connaissances du formateur
RICARDO
Formation - OWASP Top 10
Traduction automatique
Les connaissances du formateur étaient phénoménales
Patrick - Luminus
Formation - OWASP Top 10
Traduction automatique
exercices, même s'ils sortent de ma zone de confort.
Nathalie - Luminus
Formation - OWASP Top 10
Traduction automatique
