Programme de formation Logomotion - version LaTeX

developpement/securite_web/programme/contenu.tex

@@ -0,0 +1,75 @@
+\noindent Jour 1: Sécurité de l'applicatif
+\begin{itemize}
+  \item Présentation du collectif OWASP (15 minutes)
+  \item Le "top 8" des failles des applicatifs Web (4 heures)
+    \begin{itemize}
+      \item Injections
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+      \item Authentification faillible et mauvaise gestion de la session
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+      \item Cross Site Scripting (XSS)
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+      \item Mauvaise contrôle des accès
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+      \item Problèmes de configuration
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+      \item Fuite d'informations sensibles
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+      \item Cross Site Request Forgery (CSRF)
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+      \item Mauvaise politique de maintenance des composants techniques
+      \begin{itemize}
+        \item Contexte et scénarios d'exploitation
+        \item Techniques de mitigation
+      \end{itemize}
+    \end{itemize}
+  \item Supervision applicative (2 heures 30)
+  \begin{itemize}
+    \item Installation et configuration de Prometheus
+    \item Métrologie de l'applicatif et des processus métiers
+    \item Création d'alertes
+  \end{itemize}
+\end{itemize}
+
+\noindent Jour 2: Sécurité de l'infrastructure
+\begin{itemize}
+  \item Configuration des serveurs HTTP - Apache2 et Nginx (3 heures)
+  \begin{itemize}
+    \item Prévention de la fuite d'informations
+    \item Configuration des connexion SSL/TLS
+  \end{itemize}
+  \item Supervision et détection d'intrusion (3 heures)
+  \begin{itemize}
+    \item Supervision du systèmes avec Monit
+    \begin{itemize}
+      \item Installation
+      \item Configuration et usage
+    \end{itemize}
+    \item Détection et prévention des intrusions
+    \begin{itemize}
+      \item Apache2 - mod\_security
+      \item fail2ban - NIDS simplifié
+    \end{itemize}
+  \end{itemize}
+\end{itemize}

developpement/securite_web/programme/duree.tex

@@ -0,0 +1 @@
+2 jours.

developpement/securite_web/programme/evaluation.tex

@@ -0,0 +1 @@
+L'appropriation des connaissances est contrôlée par des travaux pratiques durant la formation.

developpement/securite_web/programme/moyens.tex

@@ -0,0 +1,4 @@
+\begin{itemize}
+  \item une salle de formation équipée d'ordinateurs avec infrasctructure de démonstration pour les travaux pratiques ;
+  \item un formateur avec l'expérience de l'installation et de la maintenance des solutions présentées.
+\end{itemize}

developpement/securite_web/programme/objectifs.tex

@@ -0,0 +1 @@
+Découvrir les principaux risques liés au suivi opérationnel d'applications Web d'un point de vue sécurité et les moyens de mitigation associés.

developpement/securite_web/programme/prerequis.tex

@@ -0,0 +1,3 @@
+Avoir une bonne maitrise du protocole HTTP.
+Avoir une bonne connaissance des serveurs HTTP Apache2 et/ou Nginx.
+Avoir une bonne connaissance des environnements GNU/Linux.

developpement/securite_web/programme/public.tex

@@ -0,0 +1 @@
+Cette formation s'adresse a des développeurs "Web" de métier formées à l'usage des langages Javascript, HTML et CSS.