Développement Sécurisé & DevSecOps
Maîtrisez les pratiques de développement sécurisé et intégrez la sécurité dès la conception de vos applications.
Informations pratiques
- Durée : 45h
- Niveau : Intermédiaire
- Modalité : Visio
Objectifs pédagogiques
- Maîtriser les principes du développement sécurisé
- Identifier et corriger les vulnérabilités courantes
- Implémenter une approche DevSecOps
- Automatiser les tests de sécurité
- Appliquer les standards OWASP et SANS
Programme de la formation
- Secure Coding (15h)
- OWASP Top 10 pour développeurs : chaque vulnérabilité, impact et code correctif
- Validation des entrées : listes blanches, sanitization, parameterized queries et ORM
- Authentification sécurisée : hashing bcrypt/Argon2, gestion de sessions et tokens JWT
- Cryptographie appliquée : chiffrement AES, TLS, gestion des clés et secrets management
- Gestion des erreurs : messages génériques, logging sécurisé et prévention des fuites d'info
- Principes SOLID appliqués à la sécurité : moindre privilège, défense en profondeur et fail-safe
- Tests de Sécurité (12h)
- SAST (Static Application Security Testing) : SonarQube, Checkmarx et intégration IDE
- DAST (Dynamic Application Security Testing) : OWASP ZAP, scan automatisé et analyse des résultats
- SCA (Software Composition Analysis) : Snyk, Dependabot et gestion des dépendances vulnérables
- Fuzzing : découverte de bugs par injection de données aléatoires et outils (AFL, Peach)
- Code review sécurité : checklist, patterns à repérer et peer review orienté sécurité
- Intégration des tests dans le pipeline : gates de qualité, seuils et rapports automatisés
- DevSecOps (12h)
- Security as Code : policies OPA/Rego, compliance as code et infrastructure immutable
- Pipeline CI/CD sécurisé : scan à chaque commit, quality gates et secret detection
- Container security : scan d'images Docker, Trivy, Falco et runtime protection
- Infrastructure as Code security : Terraform, CloudFormation, scan Checkov et tfsec
- Supply chain security : SBOM, signature d'artefacts, Sigstore et provenance
- Monitoring en production : RASP, WAF applicatif et détection d'anomalies runtime
Prérequis
Expérience en développement logiciel requise
Public visé
Développeurs, architectes, tech leads, DevOps
Méthodes pédagogiques
Formation en distanciel (visio) et/ou en présentiel selon les sessions
Évaluation
QCM, exercices pratiques, mise en situation professionnelle, étude de cas, projet final
Accessibilité
Formation accessible aux personnes en situation de handicap. Possibilités d'adaptation pédagogique et technique. Pour toute question concernant l'accessibilité, contactez notre référent handicap : Kelly Ohana - contact@visio-form.fr
VISIOFORM — La Formation du FuturTransformez vos compétences pour demain
Organisme certifié Qualiopi — IA, marketing digital, informatique, management, comptabilité et plus encore.