Plan du cours

Introduction

  • Aperçu de l'OWASP, sa mission et son importance dans la sécurité web
  • Explication de la liste OWASP Top 10
    • A01:2021-Control d'accès rompu passe de la cinquième à la première place ; 94 % des applications ont été testées pour une forme quelconque de contrôle d'accès rompu. Les 34 faiblesses communes (CWE) mappées au contrôle d'accès rompu ont eu plus d'occurrences dans les applications que toute autre catégorie.
    • A02:2021-Échecs cryptographiques monte à la deuxième place, précédemment connu sous le nom de Sensitive Data Exposure, qui était un symptôme large plutôt qu'une cause première. Le renouveau de l'attention se porte sur les échecs liés à la cryptographie qui conduisent souvent à une exposition de données sensibles ou à une compromission du système.
    • A03:2021-Injection glisse à la troisième place. 94 % des applications ont été testées pour une forme quelconque d'injection, et les 33 CWE mappés dans cette catégorie sont ceux qui ont eu le deuxième plus grand nombre d'occurrences dans les applications. Le Cross-Site Scripting fait maintenant partie de cette catégorie dans cette édition.
    • A04:2021-Conception insécurisée est une nouvelle catégorie pour 2021, avec un focus sur les risques liés aux failles de conception. Si nous voulons vraiment « avancer » dans l'industrie, il faut plus d'utilisation du modélisation des menaces, des motifs et principes de conception sécurisés, ainsi que des architectures de référence.
    • A05:2021-Mauvaise configuration de sécurité passe à la cinquième place, précédemment en sixième position ; 90 % des applications ont été testées pour une forme quelconque de mauvaise configuration. Avec plus de déplacements vers des logiciels hautement configurables, il n'est pas surprenant que cette catégorie monte. L'ancienne catégorie d'Entités externes XML (XXE) fait maintenant partie de cette catégorie.
    • A06:2021-Composants vulnérables et obsolètes était précédemment intitulé Utilisation de composants avec des vulnérabilités connues et est deuxième dans l'enquête communautaire Top 10, mais a également suffisamment de données pour entrer dans le Top 10 via l'analyse de données. Cette catégorie monte de la neuvième place en 2017 et est un problème connu que nous avons du mal à tester et évaluer les risques. C'est la seule catégorie qui n'a pas de vulnérabilités communes (CVE) mappées aux CWE inclus, donc des poids d'exploitation et d'impact par défaut de 5.0 sont pris en compte dans leurs scores.
    • A07:2021-Échecs d'identification et d'authentification était précédemment Broken Authentication et glisse de la deuxième place, et inclut maintenant des CWE plus liés aux échecs d'identification. Cette catégorie reste une partie intégrante du Top 10, mais la disponibilité accrue de frameworks standard semble aider.
    • A08:2021-Échecs d'intégrité logicielle et de données est une nouvelle catégorie pour 2021, se concentrant sur les hypothèses liées aux mises à jour logicielles, aux données critiques et aux pipelines CI/CD sans vérification de l'intégrité. Un des impacts les plus importants pondérés par les données Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mappées aux 10 CWE de cette catégorie. La désérialisation non sécurisée de 2017 fait maintenant partie de cette catégorie plus large.
    • A09:2021-Échecs de journalisation et de surveillance de sécurité était précédemment Insufficient Logging & Monitoring et a été ajoutée par l'enquête de l'industrie (#3), passant de la dixième place. Cette catégorie est élargie pour inclure plus de types d'échecs, est difficile à tester et n'est pas bien représentée dans les données CVE/CVSS. Cependant, les échecs de cette catégorie peuvent directement impacter la visibilité, l'alerte d'incident et l'enquête.
    • A10:2021-Fausses requêtes côté serveur (SSRF) a été ajoutée par l'enquête communautaire Top 10 (#1). Les données montrent un taux d'incidence relativement faible avec une couverture de test au-dessus de la moyenne, ainsi que des notes supérieures pour le potentiel d'exploitation et d'impact. Cette catégorie représente le scénario où les membres de la communauté de sécurité nous disent que c'est important, même si cela n'est pas illustré par les données à ce moment.

Contrôle d'accès rompu

  • Exemples pratiques de contrôles d'accès rompus
  • Contrôles d'accès sécurisés et bonnes pratiques

Échecs cryptographiques

  • Analyse détaillée des échecs cryptographiques tels que les algorithmes de chiffrement faibles ou une gestion incorrecte des clés
  • Importance des mécanismes cryptographiques forts, des protocoles sécurisés (SSL/TLS) et exemples de cryptographie moderne dans la sécurité web

Attaques par injection

  • Décomposition détaillée des injections SQL, NoSQL, OS et LDAP
  • Techniques d'atténuation utilisant des instructions préparées, des requêtes paramétrées et l'échappement des entrées

Conception insécurisée

  • Exploration des failles de conception qui peuvent conduire à des vulnérabilités, comme une validation incorrecte des entrées
  • Stratégies pour une architecture et des principes de conception sécurisés

Mauvaise configuration de sécurité

  • Exemples réels de mauvaises configurations
  • Étapes pour prévenir les mauvaises configurations, y compris la gestion des configurations et les outils d'automatisation

Composants vulnérables et obsolètes

  • Identification des risques liés à l'utilisation de bibliothèques et frameworks vulnérables
  • Bonnes pratiques pour la gestion des dépendances et les mises à jour

Échecs d'identification et d'authentification

  • Problèmes courants d'authentification
  • Stratégies d'authentification sécurisées, comme l'authentification à deux facteurs et la gestion correcte des sessions

Échecs d'intégrité logicielle et de données

  • Focus sur les problèmes comme les mises à jour non fiables et le contrefait des données
  • Mécanismes de mise à jour sécurisés et vérifications d'intégrité des données

Échecs de journalisation et de surveillance de sécurité

  • Importance de la journalisation des informations pertinentes à la sécurité et de la surveillance des activités suspectes
  • Outils et pratiques pour une journalisation appropriée et une surveillance en temps réel afin de détecter les violations tôt

Fausses requêtes côté serveur (SSRF)

  • Explication de la façon dont les attaquants exploitent les vulnérabilités SSRF pour accéder aux systèmes internes
  • Tactiques d'atténuation, y compris une validation correcte des entrées et des configurations de pare-feu

Bonnes pratiques et codage sécurisé

  • Discussion complète sur les bonnes pratiques pour le codage sécurisé
  • Outils de détection des vulnérabilités

Résumé et étapes suivantes

Pré requis

  • Une compréhension générale du cycle de vie du développement web
  • Une expérience dans le développement et la sécurité des applications web

Public cible

  • Développeurs web
  • Dirigeants
 14 heures

Nombre de participants


Prix par participant

Les formations ouvertes requièrent plus de 3 participants.

Nos clients témoignent (7)

formation très dynamique et flexible !

Valentina Giglio - Fincons SPA
Formation - OWASP Top 10

Traduction automatique

Exercices de laboratoire

Pietro Colonna - Fincons SPA
Formation - OWASP Top 10

Traduction automatique

Les composants interactifs et les exemples.

Raphael - Global Knowledge
Formation - OWASP Top 10

Traduction automatique

Approche pratique et connaissances du formateur

RICARDO
Formation - OWASP Top 10

Traduction automatique

Les connaissances du formateur étaient phénoménales

Patrick - Luminus
Formation - OWASP Top 10

Traduction automatique

exercices, même s'ils sortent de ma zone de confort.

Nathalie - Luminus
Formation - OWASP Top 10

Traduction automatique

Le formateur est très informatif et connaît vraiment le sujet

Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Formation - OWASP Top 10

Traduction automatique

Cours à venir

OWASP Top 10

2026-01-15 09:30
14 heures
Tours, Les Rives Public Garden
2550 EUR (En ligne)
2950 EUR (Salle de Classe)

OWASP Top 10

2026-01-29 09:30
14 heures
Limoges, City Center
2550 EUR (En ligne)
2950 EUR (Salle de Classe)

OWASP Top 10

2026-02-12 09:30
14 heures
Paris, Opera Bourse
2550 EUR (En ligne)
2950 EUR (Salle de Classe)

OWASP Top 10

2026-02-26 09:30
14 heures
Lyon, Swisslife Tower
2550 EUR (En ligne)
2950 EUR (Salle de Classe)

OWASP Top 10

2026-03-12 09:30
14 heures
Lille, Gare Flandres
2550 EUR (En ligne)
2950 EUR (Salle de Classe)

Cours Similaires

DevSecOps Firefight: Breach, Fix & Fortify

 7 heures

Cette formation de classe mondiale, innovante et pratique plonge les participants dans la réalité critique de la sécurité des pipelines CI/CD modernes. Conçue pour les professionnels de la sécurité, les ingénieurs DevOps et les développeurs souhaitant maîtriser la défense avancée contre les violations de pipeline, cette formation combine des simulations d’attaque en direct avec des outils et techniques de défense de pointe dans l’industrie.

En savoir plus...

Test de Sécurité Web - Sécurité et Test des Applications Web à l'aide d'OWASP

 21 heures

Cette formation en direct (en ligne ou sur site) s'adresse aux développeurs, ingénieurs et architectes qui cherchent à sécuriser leurs applications et services web.

A l'issue de cette formation, les participants seront en mesure d'intégrer, de tester, de protéger et d'analyser leurs applications et services web en utilisant le cadre et les outils de test OWASP.

En savoir plus...

Sécurité de l'IA Générative (GenAI) OWASP

 14 heures

Basée sur les dernières directives du projet OWASP GenAI Security, les participants apprendront à identifier, évaluer et atténuer les menaces spécifiques aux IA à travers des exercices pratiques et des scénarios réels.

En savoir plus...

Guide de Test de Sécurité OWASP pour les Applications Mobiles

 21 heures

Cette formation en direct avec instructeur (en ligne ou sur site) s'adresse aux développeurs, ingénieurs et architectes qui souhaitent appliquer les principes, processus, techniques et outils de test de la MSTG pour sécuriser leurs applications et services mobiles.

A l'issue de cette formation, les participants seront capables de :

  • Explorer les techniques de test pour élaborer une stratégie de mise en œuvre efficace des tests de sécurité dans le cycle de vie du développement.
  • Exécuter des techniques de test pour tester les vulnérabilités et les risques généraux dans les applications mobiles.
  • Exécuter divers processus de test de sécurité pour sécuriser leurs applications mobiles Android et iOS.
En savoir plus...

Guide de Test de Sécurité Web OWASP

 21 heures

Cette formation en direct avec instructeur (en ligne ou sur site) s'adresse aux développeurs, ingénieurs et architectes qui souhaitent appliquer le cadre, les principes et les techniques de test du WSTG pour sécuriser leurs applications et services web.

A l'issue de cette formation, les participants seront capables de :

  • Utiliser le WSTG pour mettre en œuvre des processus et des techniques de test dans le cycle de vie du développement web.
  • Explorer différentes techniques de test pour personnaliser le cadre du WSTG en fonction des besoins de l'entreprise.
  • Exécuter diverses méthodes de test de sécurité pour protéger les applications web contre les risques et les attaques.
  • Créer un rapport d'évaluation pour documenter les conclusions et les résultats des tests de sécurité.
En savoir plus...

Comment écrire un Code Sécurisé

 35 heures

Ce cours en France vise à aider dans les points suivants :

  1. Aider les développeurs à maîtriser les techniques de codage sécurisé
  2. Aider les testeurs logiciels à tester la sécurité de l'application avant sa publication dans l'environnement de production
  3. Aider les architectes logiciels à comprendre les risques entourant les applications
  4. Aider les chefs d'équipe à fixer les lignes directrices de sécurité pour les développeurs
  5. Aider les webmasters à configurer les serveurs pour éviter les mauvaises configurations
En savoir plus...

Développeur Sécurisé Java (avec OWASP)

 21 heures

Ce cours couvre les concepts et principes de codage sécurisé avec Java à travers la méthodologie de test de l'Open Web Application Security Project (OWASP). L'Open Web Application Security Project est une communauté en ligne qui crée des articles, méthodologies, documentations, outils et technologies librement disponibles dans le domaine de la sécurité des applications web.

En savoir plus...

Développeur Sécurisé .NET (avec OWASP)

 21 heures

Ce cours couvre les concepts et principes de codage sécurisé avec ASP.NET, en utilisant la méthodologie de test du Projet Open Web Application Security (OWASP). OWASP est une communauté en ligne qui crée des articles, des méthodologies, des documentations, des outils et des technologies librement disponibles dans le domaine de la sécurité des applications web.

Ce cours explore les fonctionnalités de sécurité du Framework .NET et comment sécuriser les applications web.   
    
    
    
    
    

En savoir plus...

Catégories Similaires

OWASP
OWASP