M2i Formation

Découvrez notre formationSécurité DevOps pour les managers du SI

Présentiel

3 jours (21 heures) - SEC-DOPS

Accueil  ›  Formations Informatique  ›  Sécurité  ›  DevOps  ›  Sécurité DevOps pour les managers du SI

Objectifs pédagogiques

  • Acquérir les compétences nécessaires pour créer un programme de sécurité des applications et sur un pipeline DevOps pour les managers en sécurité de l'information
  • Comprendre les différentes attaques possibles sur le champ applicatif
  • Couvrir les exigences demandées par les ISO 27001/2 à savoir : politique de développement sécurisé, restrictions relatives aux changements apportés aux progiciels, développement externalisé, environnement de développement sécurisé.

Niveau requis

Avoir les bases de la direction des systèmes d'information.

Public concerné

Risk managers, responsables ou membres d'une équipe production, système, intégration, maîtrise d'ouvrage ou assistance à maîtrise d'ouvrage, chefs de projets informatique / utilisateurs, RSSI.

La Défense07/10/20192 100 € HTInscriptions en cours, places disponiblesRéserver

Sessions
planifiées
Sessions
ouvertes
Sessions
confirmées
Réserver
le stage

1er jour

  • Récapitulatif des acteurs autour de la sécurité des applications tels que
    • OWASP
    • MITRE
    • PCI-DSS
    • SAFECODE
    • HIPAA
  • Etat des lieux sur les différentes sécurités autour de la sécurité applicative et DevOps telles que
    • Les navigateurs
    • Serveurs
    • Prestataires
    • Outils (WAF, SAST, DAST)
  • Introduction au "Process model" et "Maturity model"
  • Par quoi commencer, qui est concerné ?
  • Les avantages et les défauts en terme de sécurité du DevOps et des méthodes Agiles
  • Utiliser un modèle CAMS (Culture, Automation, Measurement, and Sharing)

2ème jour

  • Analyser les prérequis pour commencer un cycle de développement sécurisé
    • Quelles sont les existants en matière de sécurité (PSSI, SMSI...) ?
    • Quelles sont les lois concernées par la sécurité applicative ?
    • Etablir un PIA (Privacy Impact Assessment) permettant de définir la criticité des informations stockées par les applications et établir les risques et potentiels contrôles à prévoir
    • Affectation des responsabilités aux parties prenantes du projet
    • "Secure by design" et la mise en place d'un plan d'action pour le durcissement des infrastructures
    • Préparation à la réduction des surfaces d'attaques
    • Modélisation des menaces et analyse avec les exigences de l'entreprise
  • Préparation au "Secure code" avec
    • Analyse statique du code (démonstration des différents produits du marché) et automatisation du processus
    • "Code review" et analyse de fonctions non utiles

3ème jour

  • Vérification de la sécurisation de l'application avec
    • Analyse dynamique avec OWASP ZAP
    • Fuzzing
    • Pentest
    • WAF
  • Vérification des exigences de l'organisation et du cycle de développement sécurisé en place
  • Création d'un plan de réponse à incident
  • Présentation de BSIMM, OPENSAMM
  • Mise en place de OPENSAMM

En cliquant le bouton « Accepter », vous acceptez l’utilisation de cookies pour réaliser des mesures d’audiences et vous permettre d’enregistrer vos préférences de navigation. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies.

Accepter Paramètres En savoir plus