logo academy
Accueil
Kaïna-com Academy
Notre histoire Nos filiales
Nos formations Financement Actualités Contact 0 Se connecter
datadock datadock certification eni

Développer des applications sécurisées - Avancée

Ref : KSE011

Détail
Contenu
Professeur
taux de reussite

Prérequis

Expérience et compréhension du développement d'applications Un niveau d'anglais business moyen est requis car la formation sera dispensée en anglais.

Public

Les développeurs d'applications et tous ceux qui cherchent à mieux comprendre comment créer des applications sécurisées.

Objectifs

En matière de sécurité, l'accent a principalement été mis sur la sécurisation de l'infrastructure réseau (pare-feu, VPN, etc.) et du système d'exploitation du serveur (par exemple, les systèmes de gestion des correctifs). Cependant, au cours des dernières années, l'accent s'est déplacé vers la couche application. En effet, la sécurité de l'infrastructure (réseau et système d'exploitation) s'est considérablement améliorée tandis que les applications sont restées vulnérables. La couche application est devenue la principale cible des attaques, tandis que les applications sécurisées sont devenues synonymes de meilleure qualité.
Le cours couvre les différents aspects de la sécurité des applications, y compris l'authentification, l'autorisation, l'audit, la confidentialité et l'intégrité des données, ainsi que les différentes technologies répondant à ces exigences. Il comprend le modèle d'analyse des risques et explique comment l'utiliser pour analyser les risques associés aux vulnérabilités des applications.
Les participants apprennent à créer des applications sécurisées : en commençant par inclure la sécurité dans le cycle de vie de développement d'applications et en continuant à sécuriser les pratiques de codage et les outils de test de sécurité.

Introduction down arrow icon

· The risks caused by unsecure applications: application vulnerabilities and associated threats

· Examples of application layer attacks and associated risks

· Security infrastructure and how it helps to protect the application

Encryption and hash functions down arrow icon

· Ensure data confidentiality and data integrity

· Symmetric encryption

· Asymmetric encryption

· Message hash functions and HMAC

· Digital signatures and digital certificates

· How to secure the data

· Crypto++ examples

· Confidentiality best practices

Authentication and Identity Management down arrow icon

· Passwords including password management

· Challenge-resp authentication and tokens

· One-time passwords (OTP) and OTP tokens

· Smart cards and public key technology

· Password storage and management

· Brute force and dictionary attacks

· Biometric authentication

· Two factor authentication

· Ticket based authentication

· Digital certificates

· PKI / PAM / RADIUS / ID Management

Application Layer Vulnerabilities down arrow icon

· Coding vulnerabilities

· Business logic vulnerabilities

Input Validation down arrow icon

· Server side validation

· Client side validation

· Input validation using positive security logic

· Input validation using negative security logic

· Canonicalization and evasion

· Injection attacks and countermeasures

Authorization and Access Control down arrow icon

· The principle of least privileges

· Access control matrix

· Discretionary Access Control (DAC)

· Mandatory Access Control (MAC)

· Role Based Access Control (RBAC)

· Distributed enforcement model with centralized management

Auditing and Logging down arrow icon

· The need

· Central logging

· Auditing and log analysis

Risk Analysis and Threats down arrow icon

· Vulnerability, threat and risk

· Risk analysis and risk mitigation

· Security risks

· Identifying threats

· STRIDE threat model and threat modeling

· DREAD and risk management

· Responding to threats (risk mitigation)

SDLC – Secure Development Life Cycle down arrow icon

· The Methodology

· Integrating security requirements

· Secure design

· Secure coding

· Security testing

· Security in deployment, support and maintenance

· Security policy management

Secure Design down arrow icon

· Guidelines to designing secure applications

· Reducing the attack surface

· Identifying trusts and secrets

Threat Modeling and SDLC Tools down arrow icon

· Microsoft threat analysis and modeling tool

· Pattern and practice check lists

· Creating a threat model

Application Layer Vulnerabilities down arrow icon

· Business logic vulnerabilities

· Coding vulnerabilities

· Web application vulnerabilities

Web Services Security Standards down arrow icon

· XML encryption

· XML digital signatures

· SAML

· XCAML

· Web service security

Secure Communication Protocols down arrow icon

· SSL

· IPSec

The End down arrow icon

· Summary

· Q&A

· Course’s Evaluation

teacher picture

David Movshovitz

Lecturer at LOGTEL

A propos

Dr. David Movshovitz is a senior lecturer at LOGTEL. David brings with him 30 years of experience in information security with a broad view of the range of topics necessary to build a comprehensive and efficient data protection system for product / system it must protect. He is software engineering and information security expert, and is teaching academic courses on Web-Application-Security and on Developing Secure Applications in Inter Disciplinary Center (IDC) in Herzalia and in Michlelet Tel-Aviv. Dr. Movshovitz headed a R&D team in the IDF that has earned the Israeli Defense Award for professional excellence. After his departure from the military, Dr. Movshovitz has served in senior R&D positions in the Hi-Tech industry (e.g. Elscint, Taldor Group, F5 Networks). Dr. Movshovitz was a co-founder and VP R&D at Algotec Systems Ltd. that was acquired by Kodak, a CTO and VP R&D of Magnifire Ltd. that was acquired by F5 Networks, and a CTO of Navajo Systems Ltd. that has been acquired by Salesforce.com. Dr. Movshovitz earned his doctorate in Physics from Bar-Ilan University.

price icon Prix

2707 € HT

calendar icon Date

Sur demande - contactez-nous

clock icon Durée

8 jours (4 h/j )

teacher icon Professeur

David Movshovitz

level icon Niveau

Débutant

wheelchair icon Accessibilité

Oui Non

certification icon Certification

Oui Non

cpf icon Eligible CPF

Oui Non

Présentiel
Distanciel
E-Learning
Informations

La plupart de nos formations peuvent être suivies à distance et en direct depuis votre bureau ou votre domicile. Vous devez simplement disposer d'une connexion Internet et d'un navigateur web.

download icon Télécharger cette fiche de formation Demande de dossier

Note :

CETTE FORMATION PEUT ÊTRE SUR-MESURE
Ce cours est réalisable en intra-entreprise, dans vos locaux ou nos salles de cours
CONTACTER NOTRE SERVICE INTRA

Des questions ?

« Aucun de nous en agissant seul, ne peut atteindre le succès »
Nelson Mandela

Vos ambitions sont grandes, nos services en sont à la hauteur. Vous êtes sûrement à un clic d’un nouveau tournant dans vos projets et carrières, notre équipe se tient prête à vous répondre et à vous guider selon vos besoins.
Un formulaire est mis à votre disposition afin de vous orienter dans les spécificités de vos demandes.
Selon l’envergure de votre requête, un expert prendra contact avec vous dans les plus brefs délais afin d’affiner ensemble les détails et fournir une réponse adaptée à vos attentes.

Contactez-nous

Nos autres formations sur le même thème

grey left arrow icon

Fondamentaux de la cybersécurité, y compris démonstration et formation pratique

Fondamentaux de la cybersécurité, y compris démonstration et formation pratique

2049 € HT

gold clock icon 3 jours (8 h/j)

gold level icon Débutant

white plus icon