Dev Sec : développement sécurisé par HSC

Niveau fondation / 2 jours
Introduction aux enjeux et perspectives de la sécurité logicielle
- Définition de la cybersécurité
- La protection des données et des infrastructures
- Concept de confidentialité, intégrité et disponibilité
- Le logiciel : vecteur d'attaque
- La complexité de l'environnement logiciel
- Les acteurs de la sécurité des développements logiciels
- Les standards de la sécurité en développement logiciel
- Analyse d'attaques récentes et de leurs conséquences
Les principales failles de sécurité et contre
- mesures
- Classement du MITRE CWE/SANS des erreurs logicielles les plus dangereuses
- Les principales sources de vulnérabilités
- Exploitation et conséquences
Le cycle de développement logiciel sécurisé
- Les différentes approches de développement logiciel
- L'agilité et le développement sécurisé (Scrum, Extrem Programming, DevSecOps, etc.)
- Le S
- SDLC
- Le concept de défense en profondeur
- l'importante de travailler conjointement sur le logiciel et le matériel
Les pratiques recommandées
- La formation à la sécurité des personnes
- L'analyse de risques intégrée dans un cycle de développement
- Les spécifications des exigences de sécurité liées aux spécifications du logiciel
- Les choix de design du logiciel
- L'implémentation du logiciel
- La vérification : l'importance du test dans le développement et la maintenance
- Le déploiement sécurisé des applications
- Introduction au secure coding
Examen
- QCM de 40 questions, en une heure. Livres fermés.
- Certification délivrée par Deloitte Cyber Academy.
Niveau avancé / 3 jours
Introduction
- Rappels sur le compilateur
- Rappels sur l'assembleur
- Rappels sur les processeurs
Les attaques sur les tampons
- Stack overflow
- Heap overflow
- La gestion des pointeurs
- Les différents mécanismes de protection (bit NX, ASLR, ...) et leurs limites
- Cas pratiques : Heartbleed ou autre exemple
La programmation parallèle
- La gestion des threads
- La concurrence des threads
- Les bonnes pratiques de développement
- Cas pratiques : TOCTOU ou autre exemple
La gestion des entrées/sorties
- La gestion des chaines de caractères
- La gestion des fichiers
- La gestion des entiers
- Cas pratiques : analyse de codes vulnérables et application de correctifs, attaque de type injection
La protection du logiciel et du code
- L'isolement des processus
- La gestion des interruptions
- L'obfuscation du code
- Le reverse engineering
- Cas pratique : reverse engineering d'application
Les pratiques de développement
- Le développement piloté par les tests (TDD, ATDD, test de sécurité...)
- La pratique des tests de vulnérabilité
- Les tests statiques et dynamiques
- Audit de code
- Le pipeline de production sécurisé
- Cas pratique : déroulé de tests ou d'un audit de code
Examen
- Etude de cas, 3h, livres ouverts.
- Certificat fourni par Deloitte Cyber Academy.

- Comprendre le développement logiciel en tenant compte dès sa spécification :
*des contraintes de sécurité, des exigences normatives et des standards appliqués au contexte ;
*des contraintes hardware sur lesquels les logiciels vont fonctionner ;
*des contraintes liées aux langages utilisés (notamment le C/ C++) ;
*des contraintes liées au pipeline de production (environnements de développement, intégration, préproduction et production).
- Comprendre l'intérêt des concepts de Secure Coding et Secure by Design
- Connaitre et appliquer des techniques de conception et de développement en vue de protéger les logiciels, les systèmes hôtes et leur environnement
- Savoir identifier et détecter des failles de sécurité et éviter leur(s) conséquence(s)
- Mettre en place des pratiques d'audit et de tests en vue d'identifier au plus tôt des vulnérabilités de code
- Savoir réduire les surfaces d'attaques d'un système
- Connaitre les recommandations CERT, OWASP quant aux bonnes pratiques de développement C/C++
- Savoir consulter le classement CVE des vulnérabilités en lien avec les développements C/C++