Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Fondations de la sécurité informatique et du codage sécurisé
- Compréhension du triptyque CIA : Confidentialité, Intégrité, Disponibilité comme principes de sécurité fondamentaux
- Vulnérabilités et attaques courantes à travers les langages/platformes (SQLi, XSS, CSRF, SSRF, etc.)
- Le rôle du cycle de vie de développement logiciel sécurisé (SDLC) dans la prévention, la détection et les stratégies d'atténuation des menaces au niveau du code
Sécurité des applications web dans le contexte Java
- OWASP Top Ten : Alignement des standards industriels avec les flaws courants de Java
- Atténuation des injections : utilisation des instructions préparées, couches ORM et requêtes paramétrées
- Vulnérabilités d'authentification (gestion de session cassée, XSS comme vecteur) et schémas de correction
- Validation des entrées pour la robustesse contre les attaques de traversal de répertoire et de manipulation de chemin
Fondations de la sécurité Java et plongée approfondie en cryptographie
- Concepts fondamentaux de la cryptographie : chiffrement symétrique vs asymétrique, algorithmes de hachage, signatures numériques
- Protocoles de communication sécurisés : meilleures pratiques de configuration TLS/SSL dans les applications Java (HTTPS)
- Labo pratique : Configuration de connexions sécurisées entre le serveur web et les services backend en utilisant SSL/TLS
Services de sécurité Java et fonctionnalités de sécurité d'entreprise
- Utilisation de l'API de sécurité intégrée pour mettre en œuvre une authentification forte (JAAS, KeyStore, CertificatePath, SecureRandom)
- Gestion des sessions utilisateur avec un risque minimal de piratage ou de fixation de session
- Labo : Mise en œuvre de schémas de gestion de session sécurisée et atténuation des risques de vol de cookies de session
Erreurs de codage et vulnérabilités courantes en Java
- Reconnaissance des schémas de codage non sécurisés menant à des vulnérabilités de chargement de classes (CVE liées à la désérialisation, extraction JAR)
- Prévention de l'utilisation non sécurisée de la réflexion menant à l'exécution de code arbitraire sous élévation de privilèges
- Compréhension de l'impact de l'utilisation de frameworks de journalisation non sécurisés et atténuation du risque par des gestionnaires sécurisés ou des niveaux de journalisation
- Labo pratique : Refactoring d'échantillons de code Java non sécurisés en schémas sécurisés (exercice de refactoring FindSecurityBugs)
Cryptographie en pratique et schémas de codage sécurisé modernes
- Chiffrement pratique : conception d'une gestion sécurisée des clés, protection des données sensibles en transit et au repos
- Hachage pour la vérification de l'intégrité : stockage des mots de passe, validation du contenu des fichiers et workflows de signature numérique
- Labo : Mise en œuvre du hachage sécurisé des données (SHA-256) pour le stockage des mots de passe et validation des hachages stockés par rapport à l'entrée
Codage sécurisé avancé et modélisation des menaces
- Intégration de l'analyse statique du code dans les pipelines CI/CD en utilisant FindSecurityBugs dans Maven/Gradle
- Identification des risques tôt dans la phase de conception par des ateliers de modélisation des menaces
- Atelier : Application de la modélisation des menaces à une application Java exemple, priorisation des risques et mise en œuvre des pratiques de codage sécurisé
Projet final et feuille de route du codage sécurisé
- Les participants sélectionnent un projet Java du monde réel (application web, microservice ou bibliothèque)
- Analyse de la base de code pour les vulnérabilités OWASP Top Ten (injection, authentification cassée, SSI, etc.)
- Refactoring du code non sécurisés en schémas de meilleures pratiques et implémentation de configurations de service sécurisées
- Documentation du processus, des défis rencontrés et des nouveaux résultats d'apprentissage avec revue par les pairs et retour du facilitateur
Q&R ouverte, distribution des ressources et révision finale
- Forum de discussion ouvert pour répondre aux questions courantes sur le codage sécurisé, clarifier les concepts avancés et partager des expériences réelles
- Bibliothèque de ressources sélectionnées : CheatSheet OWASP Java Secure Coding Top Ten, guide de refactoring FindSecurityBugs et bibliothèques de codage sécurisé recommandées
- Clôture du cours et soutien post-formation pour appliquer les nouvelles compétences dans les projets en cours
Pré requis
- Compétences informatiques de base pour utiliser un système d'exploitation laptop/ordinateur de bureau moderne et les outils standard de productivité de bureau (traitement de texte, tableurs)
- Aucune expérience préalable en programmation Java ou en sécurité n'est requise ; une compréhension de niveau fondamental des concepts de programmation orientée objet et des flux de travail standard de développement web est encouragée
- Disposition à s'engager dans des exercices pratiques, des quiz et l'analyse d'études de cas réels pour la pratique de l'application des compétences
14 Heures
Nos clients témoignent (3)
Nous avons eu un aperçu complexe du contexte, par exemple pourquoi nous avons besoin de certaines annotations et ce qu'elles signifient. J'ai apprécié la partie pratique de la formation - avoir à exécuter manuellement les commandes et appeler les API REST.
Alina - ACCENTURE SERVICES S.R.L
Formation - Quarkus for Developers
Traduction automatique
interactions par le biais d'exercices et également de partage de projets
Claudiu - MSG system
Formation - Advanced Spring Boot
Traduction automatique
Les informations supplémentaires qui ont été partagées indiquaient que la formation n'était pas simplement basée sur Groovy, ce qui était appréciable.
Covenant - Vodacom
Formation - Groovy Programming
Traduction automatique
