Développement Sécurisé & DevSecOps

Maîtrisez les pratiques de développement sécurisé et intégrez la sécurité dès la conception de vos applications.

Informations pratiques

  • Durée : 45h
  • Niveau : Intermédiaire
  • Modalité : Visio

Objectifs pédagogiques

  • Maîtriser les principes du développement sécurisé
  • Identifier et corriger les vulnérabilités courantes
  • Implémenter une approche DevSecOps
  • Automatiser les tests de sécurité
  • Appliquer les standards OWASP et SANS

Programme de la formation

  1. Secure Coding (15h)
    • OWASP Top 10 pour développeurs : chaque vulnérabilité, impact et code correctif
    • Validation des entrées : listes blanches, sanitization, parameterized queries et ORM
    • Authentification sécurisée : hashing bcrypt/Argon2, gestion de sessions et tokens JWT
    • Cryptographie appliquée : chiffrement AES, TLS, gestion des clés et secrets management
    • Gestion des erreurs : messages génériques, logging sécurisé et prévention des fuites d'info
    • Principes SOLID appliqués à la sécurité : moindre privilège, défense en profondeur et fail-safe
  2. Tests de Sécurité (12h)
    • SAST (Static Application Security Testing) : SonarQube, Checkmarx et intégration IDE
    • DAST (Dynamic Application Security Testing) : OWASP ZAP, scan automatisé et analyse des résultats
    • SCA (Software Composition Analysis) : Snyk, Dependabot et gestion des dépendances vulnérables
    • Fuzzing : découverte de bugs par injection de données aléatoires et outils (AFL, Peach)
    • Code review sécurité : checklist, patterns à repérer et peer review orienté sécurité
    • Intégration des tests dans le pipeline : gates de qualité, seuils et rapports automatisés
  3. DevSecOps (12h)
    • Security as Code : policies OPA/Rego, compliance as code et infrastructure immutable
    • Pipeline CI/CD sécurisé : scan à chaque commit, quality gates et secret detection
    • Container security : scan d'images Docker, Trivy, Falco et runtime protection
    • Infrastructure as Code security : Terraform, CloudFormation, scan Checkov et tfsec
    • Supply chain security : SBOM, signature d'artefacts, Sigstore et provenance
    • Monitoring en production : RASP, WAF applicatif et détection d'anomalies runtime

Prérequis

Expérience en développement logiciel requise

Public visé

Développeurs, architectes, tech leads, DevOps

Méthodes pédagogiques

Formation en distanciel (visio) et/ou en présentiel selon les sessions

Évaluation

QCM, exercices pratiques, mise en situation professionnelle, étude de cas, projet final

Accessibilité

Formation accessible aux personnes en situation de handicap. Possibilités d'adaptation pédagogique et technique. Pour toute question concernant l'accessibilité, contactez notre référent handicap : Kelly Ohana - contact@visio-form.fr

VISIOFORMVISIOFORM — La Formation du Futur

Transformez vos compétences pour demain

Organisme certifié Qualiopi — IA, marketing digital, informatique, management, comptabilité et plus encore.