Formation Sécurité des Applications

Programme de notre Formation Sécurité des applications

Introduction à la sécurité applicative

• Pourquoi la cybersécurité est stratégique ?
• Enjeux et conséquences des failles applicatives
• Coût moyen d’une faille
• Acteurs et motivations : cyber-crime, hacktivisme, espionnage, supply-chain
• Obligations légales (RGPD, NIS2)
• Surfaces d’attaque et notion de « misuse case »
• Triangle de sécurité du modèle CIA : Confidentialité, Intégrité, Disponibilité
• Rôle des normes et des agences gouvernementales (OWASP, ANSSI, NIST, CISA, CERT)
• Cybersecurity Framework 2.0 de NIST : Gouvernance et Supply Chain
• Principe du Secure Development Lifecycle (SDLC)
• Menaces courantes et exemples d’attaques réelles
• Importance de la sensibilisation et de la culture sécurité
• Atelier pratique : Analyse collective d’une application vulnérable afin d’identifier les risques potentiels.

Tour d’horizon des bases de données de vulnérabilités

•  USA
  • CVE (Common Vulnerabilities and Exposures) par le MITRE Corporation
  • NVD (National Vulnerability Database) scores CVSS, classifications CWE et produits affectés
  • ExploitDB (Exploit Database) d’OffSec contenant des preuves de concept
  • OSV (Open Source Vulnerabilities) de Google visant sur les vulnérabilités affectant les logiciels open source
• Europe
  • EUVD (European Vulnerability Database), nouveau projet lancé en mai 2025 par l’ENISA
• Autres : VulnDB, Vulners, Zero-Day.cz
• Prédiction et exploitation des failles : EPSS, KEV, LEV

Vulnérabilités Web : OWASP Top 10 (2025)

• Présentation OWASP Top 10 des vulnérabilités web
• A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, etc.
• Injection (SQL, LDAP, XML)
• Illustrations live : SQLi avec DVWA, XSS dans un micro-service
• Contrôle d’accès défaillant
• Mauvaises configurations de sécurité
• Défaillances cryptographiques
• Erreurs dans la gestion des authentifications et des sessions
• Atelier pratique : Corriger un formulaire non filtré (Input Validation Cheat Sheet).

Vulnérabilités Mobiles : OWASP Mobile Top 10 (2025)

• Spécificités iOS/Android : stockage local, permissions, reverse engineering
• M1 Improper Credential Usage à M10 Insufficient Cryptography
• Mauvaise gestion des identifiants
• Authentification et autorisation insuffisantes
• Stockage non sécurisé des données sensibles
• Protection insuffisante côté client (reverse engineering)
• Communication non sécurisée avec le backend
• Atelier pratique : Examen d’une application mobile vulnérable pour détecter les principales failles. Analyser une APK avec MobSF et vérifier les exigences MASVS.

Tests et outils d’analyse de sécurité

• SAST : Techniques d’analyse statique, démonstration avec SonarQube
• DAST : Techniques d’analyse dynamique, test en boite noire, simulation d’attaque avec OWASP ZAP
• SCA : Analyse des dépendances, OWASP Dependency-Check et flux CVE
• Présentation d’outils : OWASP ZAP, Burp Suite
• Méthodologie simple de pentesting applicatif
• Gestion et priorisation des vulnérabilités découvertes
• Importance de la journalisation et du monitoring applicatif
• Atelier pratique : Scan rapide de l’application fil rouge et interprétation des résultats.

Sécurité dès la conception (Secure by Design)

• Principes d’architecture sécurisée (Defense-in-depth, principe du moindre privilège)
• Techniques de modélisation des menaces (STRIDE)
• Gestion proactive des risques (identification et priorisation)
• Bonnes pratiques pour le cloisonnement et l’isolation des composants
• Sécurisation des API et microservices
• Cas d’usage des référentiels NIST et ANSSI sur le design sécurisé
• Atelier pratique : Réaliser une modélisation des menaces (threat modeling) sur l’application fil rouge.

Bonnes pratiques de développement sécurisé

• Principes de codage défensif : validation d’entrée, gestion d’erreurs, logging
• Chiffrement : choix des algorithmes, gestion des secrets
• Utilisation adéquate de la cryptographie (chiffrement, hachage)
• Authentification & gestion de sessions robustes (OAuth 2.1, MFA)
• Gestion sécurisée des authentifications et des sessions utilisateurs
• Gestion sécurisée des erreurs et exceptions
• Maintien à jour des bibliothèques et composants tiers
• Protection côté client (CSP, gestion des cookies sécurisés)
• Atelier pratique : Corriger des extraits de code vulnérable issus de l’application fil rouge.

Sécurité des API modernes

• Présentation OWASP API Security Top 10
• Contrôle d’accès sur les endpoints API
• Sécurisation des communications API (JWT, OAuth2)
• Validation stricte des données entrantes
• Gestion sécurisée des clés et secrets API
• Protection contre les attaques de type DoS/API Abuse
• Atelier pratique : Identifier et corriger une vulnérabilité sur une API REST de l’application fil rouge.

Conclusion et Ouverture : le DevSecOps et Sécurité Cloud

• Présentation des principes du DevSecOps
• Intégration continue de la sécurité (SAST/DAST dans CI/CD)
• Sécurisation de la chaîne d’approvisionnement logicielle (SBOM, gestion des dépendances)
• Bonnes pratiques de configuration d’infrastructure (IaC sécurisée)
• Surveillance continue et réponses aux incidents
• Culture sécurité dans les équipes de développement
• Durcissement des images & conteneurs : principe de moindre privilège, signatures
• Sécurisation du pipeline CI/CD : gates SAST / SCA / IaC scan, « shift-left »
• Zéro Trust et contrôle d’identité dans les infrastructures cloud natif