Formation Sécurité applicative Java : OWASP, ANSSI et sécurisation d’une application Spring Boot
Public : Développeurs Java, développeurs back-end, développeurs full stack, concepteurs développeurs, lead développeurs débutants ou intermédiaires souhaitant sécuriser leurs applications Java et Spring Boot - Chefs de projet techniques, architectes juniors, DevOps ou profils QA techniques souhaitant mieux comprendre les risques de sécurité applicative Java et les contrôles à intégrer dans une chaîne de développement.
Durée : 2 jour(s)
Syllabus de la formation Sécurité applicative Java : OWASP, ANSSI et sécurisation d’une application Spring Boot
Pré-requis : Bonne pratique du langage Java - Connaissance des bases du développement Web ou des API REST - Notions de Spring ou Spring Boot recommandées - Connaissances de base en SQL et en accès aux données - Des notions de Git, Maven ou Gradle sont utiles pour les ateliers
Objectifs : Identifier les principaux risques de sécurité applicative dans une application Java ou Spring Boot - Comprendre les vulnérabilités courantes recensées par l’OWASP et leurs impacts - Appliquer les bonnes pratiques de développement sécurisé en Java - Sécuriser les entrées, les sorties, les accès aux données et la gestion des erreurs - Mettre en œuvre des contrôles d’authentification et d’autorisation avec Spring Security - Protéger les secrets, configurations sensibles et dépendances applicatives - Intégrer des contrôles de sécurité simples dans les tests et la chaîne CI/CD - Documenter les mesures de sécurité mises en œuvre dans un projet Java.
Sanction : Attestation de fin de formation mentionnant le résultat des acquis
Référence : JAV138-F
Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins
Contact : commercial@dawan.fr
Tarif présentiel
1 495,00 CHF HT
- PC et logiciels fournis
- Paiement à 30 jours
Tarif distanciel
1 196,00 CHF HT
- PC et logiciels à distance fournis sur demande
- Paiement à 30 jours
Programme Sécurité applicative Java : OWASP, ANSSI et sécurisation d’une application Spring Boot
Identifier les enjeux de la sécurité applicative Java
Comprendre les risques de sécurité liés aux applications Java modernes.
Identifier les impacts d’une faille applicative : fuite de données, indisponibilité, compromission de compte, altération des traitements.
Situer la sécurité applicative dans le cycle de vie d’un projet Java : conception, développement, tests, intégration continue, déploiement et maintenance.
Présenter les principales références : OWASP Top 10, recommandations ANSSI, RGPD, bonnes pratiques de développement sécurisé.
Relier les exigences de sécurité au dossier de conception, au plan de tests et à la documentation de déploiement.
Atelier fil rouge : Analyse rapide des risques d’une application Spring Boot exposant une API REST et une interface Web.
Appliquer les principes du développement sécurisé en Java
Développer dans un style défensif : validation des entrées, contrôle des formats, gestion des exceptions, limitation des comportements inattendus.
Sécuriser les échanges entre couches applicatives : contrôleurs, services, composants métier, accès aux données.
Éviter l’exposition d’informations sensibles dans les messages d’erreur, journaux, réponses API et pages Web.
Mettre en place une stratégie de logs utile sans divulguer de données confidentielles.
Comprendre les principes de confidentialité, intégrité, disponibilité et traçabilité.
Atelier fil rouge : Correction de traitements Java vulnérables : validation des entrées, gestion d’erreurs, nettoyage des messages et amélioration des logs.
Prévenir les principales vulnérabilités OWASP
Identifier les principales failles applicatives : injection SQL, XSS, CSRF, contrôle d’accès défaillant, exposition de données sensibles, mauvaise configuration de sécurité, dépendances vulnérables.
Comprendre les mécanismes d’exploitation des vulnérabilités les plus fréquentes dans une application Java Web ou API REST.
Mettre en œuvre les parades adaptées : requêtes paramétrées, échappement des sorties, tokens CSRF, contrôle des rôles, limitation des informations exposées.
Appliquer les bonnes pratiques de sécurisation des entrées et sorties applicatives.
Atelier fil rouge : Identification et correction de vulnérabilités simples sur une application Java / Spring Boot.
Sécuriser l’authentification et les autorisations avec Spring Security
Comprendre les principes d’authentification, d’autorisation, de session, de rôles et de permissions.
Configurer Spring Security pour protéger une application Web ou une API REST.
Mettre en place des règles d’accès selon les profils utilisateurs.
Comprendre les principes d’utilisation des tokens, de JWT, des filtres de sécurité et du CORS.
Gérer les erreurs d’accès et les réponses de sécurité de manière adaptée.
Atelier fil rouge : Mise en place d’une configuration Spring Security simple avec rôles, endpoints protégés et contrôle d’accès sur une API REST.
Sécuriser les accès aux données
Prévenir les injections SQL avec les requêtes paramétrées, l’ORM et les bonnes pratiques d’accès aux données.
Contrôler les entrées avant toute modification de la base de données.
Préserver l’intégrité et la confidentialité des données.
Gérer les transactions, les erreurs et les exceptions liées aux accès aux données.
Identifier les points de vigilance spécifiques aux bases relationnelles et aux bases NoSQL.
Atelier fil rouge : Sécurisation d’un composant d’accès aux données Java : validation, requêtes paramétrées, gestion des exceptions et tests associés.
Protéger les secrets, configurations et dépendances
Identifier les informations sensibles : mots de passe, clés API, tokens, certificats, chaînes de connexion, variables d’environnement.
Éviter le stockage de secrets dans le code source, les fichiers versionnés, les logs ou les artefacts.
Utiliser les variables d’environnement et les variables CI/CD GitLab pour externaliser la configuration.
Analyser les dépendances Maven ou Gradle afin d’identifier les bibliothèques vulnérables.
Comprendre l’intérêt des outils d’audit de dépendances et des mises à jour de sécurité.
Atelier fil rouge : Externalisation de secrets dans une application Spring Boot et ajout d’un contrôle des dépendances dans une chaîne CI/CD.
Tester la sécurité d’une application Java
Intégrer des tests de sécurité simples dans la démarche de développement.
Vérifier les contrôles d’accès, la validation des entrées, la gestion des erreurs et les comportements attendus en cas d’accès non autorisé.
Préparer des jeux d’essai pour les vulnérabilités courantes : injection, accès interdit, données invalides, tentative d’accès à une ressource non autorisée.
Exploiter les rapports de tests, d’analyse qualité et d’audit de dépendances.
Documenter les résultats obtenus et les corrections apportées.
Atelier fil rouge : Rédaction et exécution d’un mini-plan de tests de sécurité sur l’application Spring Boot.
Intégrer la sécurité dans la CI/CD et le déploiement
Positionner la sécurité dans le pipeline GitLab CI/CD : build, tests, analyse qualité, audit de dépendances, packaging et déploiement.
Contrôler les variables et secrets dans GitLab CI/CD.
Limiter l’exposition des artefacts et des journaux de pipeline.
Prendre en compte la sécurité dans le Dockerfile et les images applicatives.
Prévoir les points de contrôle avant déploiement et les mesures de retour arrière en cas d’incident.
Atelier fil rouge : Ajout d’étapes de contrôle sécurité dans un pipeline GitLab CI/CD et vérification des points sensibles avant déploiement.
Documenter la sécurité applicative pour le dossier projet
Rédiger une synthèse des risques identifiés et des mesures de sécurité retenues.
Documenter les choix de sécurité dans le dossier de conception : authentification, autorisations, accès aux données, gestion des secrets, validation des entrées.
Présenter les tests de sécurité réalisés, les résultats obtenus et les corrections appliquées.
Produire des éléments réutilisables dans un dossier projet CDA : extrait de configuration Spring Security, plan de tests sécurité, analyse OWASP, audit de dépendances, procédure de gestion des secrets.
Atelier fil rouge : Constitution des livrables sécurité à intégrer dans le dossier projet CDA.
Supports pédagogiques
Support du formateur, exercices pratiques, cas fil rouge Java / Spring Boot, exemples de configurations Spring Security, exemples de tests de sécurité, ressources OWASP, recommandations ANSSI, ressources complémentaires et éléments mobilisables pour le dossier projet CDA.
Délai d'accès :
Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Pour un financement CPF, la validation doit être faite 11 jours ouvrés avant le début. Hors CPF, délai de 1 à 3 semaines selon les sessions.
Méthodes mobilisées :
- Un formateur expert ayant suivi une formation à la pédagogie et ayant au minimum 3 années d'expériences dans le domaine visé
- Matériel pour les formations présentielles informatiques : un PC par participant
- Un support et les exercices du cours pour chaque stagiaire
- Synchrone en présentiel ou distanciel. Plateforme utilisée : Microsoft Teams. Pour le distanciel : diagnostic technique avec les stagiaires pour tester la connexion et les modalités pratiques.
- Méthodologie basée sur l'Active Learning (75% de pratique minimum) et un programme pédagogique riche et interactif :
- Expositive : Apport de contenu théorique structuré pour consolider vos connaissances.
- Interrogative : Moments de réflexion pour questionner et approfondir vos pratiques.
- Démonstrative : Exercices pratiques pour illustrer les concepts clés.
- Active : Ateliers d'entraînement pour une mise en application immédiate.
- Expérimentale : Études de cas concrets pour ancrer les apprentissages dans la réalité.
- Collaborative : Espaces de partage et d'échange d'expériences pour enrichir la formation.
- Un format conçu pour favoriser l'engagement, la pratique et l'impact durable dans vos activités professionnelles.
Méthodes d'évaluation :
Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs.
Un espace apprenant dédié moncompte.dawan.fr :
- Informations relatives à la ou aux futures formations (plan, syllabus et éventuellement informations relatives à la certification)
- Positionnement à l'entrée et à la sortie de la formation
- Définition des besoins et attentes par l'apprenant en amont de la formation
- Émargement en ligne
- Évaluation à chaud
- Évaluation à froid
- Attestation de formation
- Boissons offertes pendant les pauses en inter-entreprises
- Salles lumineuses et locaux facilement accessibles
- Certification CPF quand formation éligible
Suite de parcours et formations associées
- Programme Java Avancé - 5 jour(s)
- Programme Java SE 8 - 2 jour(s)
- Programme Eclipse : Utilisation avancée - 2 jour(s)
- Programme Java SE 8 + Eclipse (Utilisation Avancée) - 4 jour(s)
- Programme Multi-threading et gestion de la mémoire en Java - 2 jour(s)
- Programme Sécurité applicative Java : OWASP, ANSSI et sécurisation d’une application Spring Boot - 2 jour(s)
- Programme Java SE 7 - 3 jour(s)
- Programme Java SE 8 à 12 - 3 jour(s)
- Programme Java Avancé : Programmation réactive - 2 jour(s)
Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.
Aucune date n’est actuellement planifiée pour cette formation. Nous pouvons toutefois organiser cette formation à la demande dans un format adapté à votre besoin, y compris dans votre entreprise.
Contactez-nous pour prévoir une session avec notre formulaire de contact ou par téléphone au 22 519 09 66