26 oct. AppSec Intensive Trainings

Formations intensives de 7h00 sur le Campus de l’HEIG-VD

(formations payantes – rabais pour les étudians – places limitées)


T_1 – Audit d’applications PHP par Philippe Gamache
Sujet : Audit statique PHP
Thème: SDLC
Abstract : Durant ce laboratoire, nous allons réaliser un audit sécurité d’une application Web en logiciel libre. L’objectif technique est de dresser un rapport complet, et d’assimiler toutes les phases du travail d’enquête : analyse boîte noire, analyse à code ouvert, analyse statique, recensement des vulnérabilités (XSS, injections, dévoilement, etc.), recommandations de renforcement, priorisation des tâches. Toutes les compétences seront mises à l’épreuve dans cet exercice complexe.
Nous travaillerons sur une application réelle : (Application fournie par un participant, au préalable). Le laboratoire se terminera avec la remise du rapport aux auteurs de l’application pour qu’ils puissent avoir un regard extérieur sur le niveau de sécurité de l’application.

Prix de la formation:
800 sfr.-

Inscriptions: par formulaire ou email


T_2 – Conception sécurisée d’applications par Sébastien Gioria
Sujet : Concevoir une application JAVA sécurisée grâce à l’OWASP ASVS
Thème: SDLC
Abstract : L’OWASP Application Security Verification Standard(OWASP ASVS définit 14 familles d’exigences fonctionnelles permettant de vérifier la sécurité d’une application Web. Nous utiliserons ce guide de l’OWASP pour concevoir l’application. Nous parcourrons l’ensemble des 14 familles et verront comment concrètement coder les bonnes pratiques et surtout éviter les mauvaises pratiques de développements Java.
Chacun des participants disposera d’un exemplaire de l’OWASP ASVS.

Prix de la formation:
800 sfr .-

* Rabais de 100% pour les étudiants sur cette formation !

Inscriptions: par formulaire ou email


T_3 – Comment centraliser ses logs ? Créer votre collecteur de logs et apprenez à parler à vos applications par Sébastien Pasche
Sujet : Comment centraliser ses logs ? Créer votre collecteur de logs et apprenez à parler à vos applications.
Thème: Defense
Abstract : Les besoins en termes de traçabilité, de monitoring, de suivi d’environnement de production et de compatibilité avec les standards actuels sont aujourd’hui de plus en plus présents et mis en avant dans la gouvernance d’entreprise. Beaucoup de ces besoins (mitigation des risques, traçabilité des activités, reporting IT, etc.) peuvent être techniquement, en partie ou complètement, traités à l’aide de la centralisation des traces d’informations.
La centralisation des logs est donc un sujet d’actualité, mais son implémentation est souvent complexe comme par exemple :

  • Difficultés dans la récolte des traces ;
  • Traces indisponibles ;
  • Méthode de rapatriement ;
  • Compréhension des traces ;
  • etc.

Cette formation propose de réaliser de manière simple le processus de mise en place d’un collecteur de traces. Cette démarche permet de sensibiliser les personnes aux difficultés qui peuvent être rencontrées et comment les éviter.
Via cette formation, vous serez capable de comprendre, générer, récolter, classifier des
traces d’informations.
La seconde partie de cette formation s’intéresse à la partie applicative de l’approche et vise à sensibiliser les développeurs afin de prendre en considération les aspects de logging pour que leurs applications s’intègrent plus facilement dans les politiques sécuritaires des entreprises.

Note sur le matériel:
Des images virtuelles seront fournies lors de la formation. Il est hautement recommandé aux participants d’être munis d’un ordinateur équipé de processeurs compatibles VT (assistance à la virtualisation) et d’au moins 4 Go de mémoire RAM au minimum.

Prix de la formation:
800 sfr.- pour les professionnels

* Rabais de 100% pour les étudiants sur cette formation !

Inscriptions: par formulaire ou email


T_4 – Retour sur les fondamentaux LDAP trop souvent dangereusement malmenés par Alban Meunier

Sujet: Retour sur les fondamentaux LDAP trop souvent dangereusement malmenés (une formation par la pratique).
Thème: Digital Identity

.Plan de formation:
— Rappel de base
— vocabulaire
–requêtes simples
— modification de donnée
–requêtes optimisées
— Principes de sécurisation d’un annuaire
— les différents mode d’authentification
— politique de mot de passe
— les catégories de donnée
— LDAPS et Start TLS
— encryption
— les possibilités de contrôles d’accès

Connaissances techniques:
! Développeur tout niveau, tout langage et toute plateforme

Matériel à apporter par les participants:
La partie pratique est conçue pour ne pas dépendre du matériel ni des capacité des
participants à installer un annuaire
! un laptop (Windows, Linux, Solaris ou Mac) avec prise électrique suisse ou
adaptateur
! un annuaire Open Source openDJ 2.4.3 ou supérieur
(http://forgerock.com/opendj.html) installé graphiquement avec les options par
défaut en incluant un jeu de test de 100 entrées généré par le wizard d’installation
(se souvenir des comptes et mot de passe saisis utilisés dans le wizard)
! un éditeur de texte
! L’annuaire devra être démarré avec deux fenêtres (cmd ou shell) ouvertes à la
racine de installation d’OpenDJ avec un compte capable d’accéder aux fichiers de
l’annuaire

Prix de la formation:
800 sfr.- *

* Rabais de 100% pour les étudiants sur cette formation !

Inscriptions: par formulaire ou email


T_5 – Cryptographie et PKI pour développeurs et architectes par Sylvain Maret

Sujet: Learn Crypto & PKI – 101 – A technology for protecting you digital asset And then design Security Solution
Thème: Defense & Digital Identity
Langue:
Français
Support: Slides et 1*Support de cour par participant

Programme de la formation – Labo pour chaque étape du cours :

– Les principes essentiels de la cryptographie

  • – La cryptographie symétrique (AES, DES, etc)
  • – La cryptographie asymétrique ou cryptographie à clef publique (RSA, DSA, etc.)
  • – Fonction de hash (MD5, SHA, etc.)
  • – Nombres aléatoires
  • – Signature – Non répudiation
  • – Notion de Trust
  • – Les certificats numériques – PKI
  • – C’est quoi un certificat X509 ?
  • – Architecture PKI (CA, RA, VA)
  • – Validation des certificats (CRL, OCSP, etc.)
  • – HSM

– Utilisation de la Crypto dans les applications

  • – PGP
  • – SAML, XML – WS Security
  • – Web Services – XML SOAP
  • – SSL Mutual Authentication
  • – OWASP Entreprise Security API

Prix de la formation:
800 sfr.- *

* Rabais de 100% pour les étudiants sur cette formation !

Agenda de la journée

  • 08h00-08h45 Accueil & Enregistrement
  • 08h45-12h15 AppSec Intensive Trainings 1/2
  • 12h15-13h45 Repas sur le campus
  • 13h45-17h15 AppSec Intensive Trainings 2/2
  • 17h30-18h00 Synthèse des sessions AppSec
  • 19h30-23h00 Soirée au Château d’Yverdon avec les formateurs

Inscriptions: par formulaire ou email

Pour plus d’information sur le Forum 2011, n’hésitez pas à prendre directement contact avec le comité d’organisation.