Ajout du plan de formation pour Logomotion

2017-09-29 09:40:16 +02:00 · 2017-09-29 09:40:16 +02:00 · 789ec739ae
parent cfe5783d6d
commit 789ec739ae
1 changed files with 161 additions and 0 deletions
--- a/developpement/plan_formation_logomotion.md
+++ b/developpement/plan_formation_logomotion.md
@ -0,0 +1,161 @@
+# Logomotion 2017 - Formations
+
+## Sessions prévues
+
+- Remise à niveau Symfony pour 3 personnes - 2 jours
+- Introduction aux frameworks javascript pour le développement web - 1 jour
+- Formation framework web (ex: Angular 2) - 3 jours
+- Sécurité des applications web - 2 jours
+- Démarche audit de sécurité des applications web - 2 jours
+
+## Plans de formation
+
+### Remise à niveau Symfony
+
+#### Jour 1: Rappels des fonctionnalités
+
+- Les principales nouveautés de Symfony 3
+- Structure d'un projet, générateurs et "bundles"
+- Le routage et les contrôleurs
+- Authentification et autorisation
+- Les vues et le moteur de templating Twig
+- La gestion des formulaires de la validation des données
+- L'ORM Doctrine et le modèle de données
+- Mise en production
+
+#### Jour 2: Mise en application
+
+Le 2ème jour est dédié à la mise en pratique des concepts vus pendant le jour précédent.
+
+Un cahier des charges d'une application prévue pour exploiter l'ensemble des éléments traités par la formation sera proposé aux apprenants.
+
+Le formateur les accompagnera durant l'ensemble des travaux.
+
+### Introduction aux frameworks javascript pour le développement web
+
+#### Jour 1: Frontend
+
+- Angular 2 (3 heures)
+  - Présentation générale et historique
+  - Structuration d'un projet et générateurs
+  - Concepts principaux
+  - Travaux pratiques
+- React/Redux (3 heures)
+  - Présentation générale et historique
+  - Concepts généraux de React
+  - L'architecture "Flux" et Redux
+  - Travaux pratiques
+
+#### Jour 2: Backend
+
+- ExpressJS (3 heures)
+  - Présentation générale et historique
+  - Routage
+  - Intégration de moteurs de templates
+  - Gestion des formulaires
+  - Travaux pratiques
+- Sails (3 heures)
+  - Présentation générale et historique
+  - Structuration d'un projet et générateurs
+  - Concepts principaux
+  - Travaux pratiques
+
+### Formation framework web (plan généraliste)
+
+### Jour 1: Concepts principaux et prise en main
+
+- Présentation du framework et historique
+- Structure d'un projet et générateurs
+- Gestion du routage applicatif
+- Modèle de données
+- "Templating" et modèle de données
+
+### Jour 2: Fonctionnalités avancées et communauté
+
+- Création et gestion des "composants" et mutualisation
+- Tests unitaires et fonctionnels
+- Gestion de l'authentification
+- Gestion de l'autorisation
+- Mise en production
+
+### Jour 3: Mise en application
+
+Le 3ème jour est dédié à la mise en pratique des concepts vus pendant les deux jours précédents.
+
+Un cahier des charges d'une application prévue pour exploiter l'ensemble des éléments traités par la formation sera proposé aux apprenants. Le formateur les accompagnera durant l'ensemble des travaux.
+
+La réalisation nécessitera l'implémentation de fonctionnalités récurrentes dans le domaine applicatif web, notamment:
+  - Routage applicatif
+  - Authentification
+  - Gestion des autorisations
+  - Opérations CRUD sur des entités métier
+  - Téléversement de fichiers
+  - Communication AJAX/Websockets
+
+### Sécurité des applications web
+
+#### Jour 1: Sécurité de l'applicatif
+
+- Présentation du collectif OWASP (15 minutes)
+- Le "top 10" des failles des applicatifs Web (4 heures)
+  - Injections
+    - Contexte et scénarios d'exploitation
+    - Techniques de mitigation
+  - Authentification faillible et mauvaise gestion de la session
+    - Contexte et scénarios d'exploitation
+    - Techniques de mitigation
+  - Cross Site Scripting (XSS)
+      - Contexte et scénarios d'exploitation
+      - Techniques de mitigation
+  - Mauvaise contrôle des accès
+    - Contexte et scénarios d'exploitation
+    - Techniques de mitigation
+  - Problèmes de configuration
+    - Contexte et scénarios d'exploitation
+    - Techniques de mitigation
+  - Fuite d'informations sensibles
+    - Contexte et scénarios d'exploitation
+    - Techniques de mitigation
+  - Cross Site Request Forgery (CSRF)
+    - Contexte et scénarios d'exploitation
+    - Techniques de mitigation
+  - Mauvaise politique de maintenance des composants techniques
+    - Contexte et scénarios d'exploitation
+    - Techniques de mitigation
+- Supervision applicative (2 heures 30)
+  - Installation et configuration de Prometheus
+  - Métrologie de l'applicatif et des processus métiers
+  - Création d'alertes
+
+#### Jour 2: Sécurité de l'infrastructure
+
+- Configuration des serveurs HTTP - Apache2 et Nginx (3 heures)
+  - Prévention de la fuite d'informations
+  - Configuration des connexion SSL/TLS
+- Supervision et détection d'intrusion (3 heures)
+  - Supervision du systèmes avec Monit
+    - Installation
+    - Configuration et usage
+  - Détection et prévention des intrusions
+    - Apache2 - mod_security
+    - fail2ban - NIDS simplifié
+
+### Démarche audit de sécurité des applications web
+
+#### Jour 1: Principes et concepts de l'audit de sécurité
+
+- Les différents types d'audit (30m)
+  - "Black Box"
+  - "Grey Box"
+  - "White Box"
+- La démarche en mode "white box" avec le référentiel OWASP (5 heures 30)
+  - Identification du périmètre
+  - Récupération des informations d'amorçage de l'action
+  - Verrouillage de l'environnement
+  - Audit
+  - Création du rapport
+  - Accompagnement post-audit
+
+#### Jour 2: Étude de cas
+
+Mise en application des éléments vu le jour précédent sur une application Web sélectionnée pour illustrer les différentes problématiques de la procédure d'audit (6 heures)