Quel est l'objectif de ce cours ?

Les entreprises s'appuient aujourd'hui de plus en plus sur Internet et les systèmes en réseau. Or, la cybercriminalité et les violations de sécurité laissent planer une menace toujours plus importante sur leurs données et fonctions vitales. Si vos applications Web ne sont pas dotées des parades de sécurité appropriées, des intrus peuvent s'immiscer et compromettre l'intégrité des informations qu'elles envoient et reçoivent. La menace est particulièrement sérieuse pour les entreprises qui partagent des données propriétaires sur Internet, des intranets ou d'autres réseaux publics.

Ce cours expose de manière systématique les menaces de sécurité potentielles, présente des solutions éprouvées et vous montre les étapes à suivre aujourd'hui pour garantir l'intégrité et la confidentialité de vos applications Web. L'accent est tout particulièrement mis sur les 10 principales vulnérabilités définies par l'OWASP (Open Web Application Security Project).

A qui s'adresse ce cours ?

Ce cours s'adresse à toute personne désireuse de protéger ses applications Web d'attaques potentielles. Il concerne plus particulièrement les personnes directement impliquées dans le développement, la maintenance ou l'audit d'applications Web, y compris les développeurs d'applications Web, le personnel chargé de l'Assurance Qualité sur les logiciels, les testeurs et les auditeurs de la sécurité des applications Web, ainsi que les administrateurs de la sécurité.

Quels sont les serveurs Web traités dans ce cours ?

Ce cours vous offre le choix entre les deux types de serveurs Web les plus fréquemment déployés : Microsoft Internet Information Services sur Windows ou Apache sur Windows.

Quels langages de programmation Web sont couverts par ce cours ?

Ce cours couvre la plupart des problématiques de sécurité sur les applications Web dans un format neutre. Les informations fournies s'appliquent à la plupart des environnements utilisés aujourd'hui. À l'occasion des exercices pratiques, vous choisissez entre ASP.NET avec C# et Java EE.

Vais-je apprendre à mettre en place HTTPS ?

Oui, ce cours aborde la configuration d'un serveur Web avec HTTPS. Cela couvre l'obtention d'un certificat numérique auprès d'une autorité de certification, ainsi que l'auto-signature. Pour les exercices pratiques, les participants peuvent au choix utiliser IIS ou Apache.

Ce cours aborde-t-il les 10 principales vulnérabilités définies par l'OWASP ?

Oui, il présente de manière détaillée le Guide OWASP (Open Web Application Security Project) ainsi que les dix principales vulnérabilités définies par ce projet. Cela couvre : les injections SQL, les menaces de XSS (cross-site scripting), le détournement d'ID de sessions, les failles Cross Site Request Forgery (CSRF), les fuites d'informations, la mauvaise gestion des erreurs, un stockage cryptographique non sécurisé et l'incapacité à restreindre les accès aux URL.

Ce cours va-t-il m'apprendre à sécuriser les services Web ?

Oui. Les thèmes abordés couvrent la protection du contenu des messages XML avec WS-Security et la protection de l'intégrité avec les schémas XML.

Ce cours couvre-t-il la sécurisation des serveurs Web ?

Oui. Même si ce cours ne présente pas la configuration des serveurs Web de manière détaillée, plusieurs questions sur leur sécurité sont abordées. Il s'agit notamment de mettre en place HTTPS sur un serveur Web, de configurer des permissions d'accès aux fichiers, de détecter les modifications du système de fichiers et de restreindre l'acceptation des méthodes HTTP du côté du serveur Web.

Combien de temps est consacré à chaque sujet ?

Quelle est la place réservée aux exercices pratiques dans ce cours ?

La moitié du cours environ est consacrée à des exercices pratiques. Grâce à une étude de cas évolutive, vous bénéficiez d'une expérience pratique de la sécurisation des applications. Les exercices prévus comprennent l'interception et la modification d'un message SOAP signé, la détection de modifications non autorisées du système de fichiers et la prévention contre l'injection de code avec la validation des saisies.

Ce cours explique-t-il comment réaliser des scans pour identifier les vulnérabilités ?

Oui. Vous apprendrez comment scanner des applications Web pour identifier les vulnérabilités au niveau de la couche applicative. Les scanners d'applications Web permettent de scanner les applications Web déployées et et de déterminer les vulnérabilités potentielles.

Pour ce qui concerne le scan des vulnérabilités système et réseau, non abordé dans ce cours, vous pouvez suivre le Cours 589, Évaluer les vulnérabilités : Protéger votre entreprise.

Ce cours va-t-il m'apprendre les techniques de piratage ?

Non. Ce cours aborde les vulnérabilités et possibilités d'exploitation mais ne présente ni les outils ni les techniques de piratage. Pour en savoir plus sur le piratage, reportez-vous au Cours 589, Évaluer les vulnérabilités : Protéger votre entreprise ou au Cours 537, Piratage éthique et contre-mesures.

Ce cours va-t-il m'apprendre à développer des applications Web ?

Non. Ce cours suppose que vous maîtrisez déjà le développement d'applications Web. L'objectif premier de ce cours est la protection contre les vulnérabilités les plus courantes.

Quel est le lien entre ce cours et les autres cours Learning Tree ?

Outre le cours 470 mentionné plus haut, vous pouvez suivre les cours ci-après :

• 589, Évaluer les vulnérabilités : Protéger votre entreprise, vous explique comment identifier et répondre aux vulnérabilités qui menacent votre entreprise.
• 537, Piratage éthique et contre-mesures, vous permet d'acquérir les compétences nécessaires pour déployer des méthodes de piratage éthique qui permettront de détecter les points faibles de votre entreprise et d'utiliser des contre-mesures.
• 1220, Sécurité du Cloud, vous offre les connaissances et compétences pour analyser, gérer et mettre en œuvre la sécurité pour des clouds (nuages) publics et privés.
• 577, Développer des services Web XML avec Java, vous apprendra à développer et déployer des services Web avec Java et le XML.
• 2601, Programmation de services Web .NET : Une introduction pratique complète, vous apporte les compétences pour programmer toute une série de Services Web .NET avec Visual Studio.
• 986, Développement d'applications Web 2.0 Ajax, vous apprendra à développer et déployer des services Web avec Java et le XML.
• 424, Architecture orientée services (SOA), vous inculque les compétences nécessaires pour la modélisation, la conception et la mise en œuvre d'une architecture orientée services (SOA).
• 289, Plan de reprise après sinistre, présente les compétences nécessaires pour créer, documenter et tester les procédures de continuité de l'activité dans votre entreprise.
• 340, Gestion de projets pour le développement de logiciels, vous permet d'acquérir les compétences utiles pour mener à bien les projets logiciels qui supportent les objectifs stratégiques de votre entreprise.
• 286, Gestion des risques dans les projets, vous dote de toutes les compétences dont vous avez besoin pour gérer en toute efficacité les risques et ainsi mettre en œuvre des projets réussis qui répondent aux besoins des parties prenantes.

Londres (en anglais)