Tests d’Intrusion et Sécurisation des Applications Web Modernes
Objectifs pédagogiques
- Comprendre les menaces et vulnérabilités spécifiques aux environnements Web modernes (API, frameworks JS, conteneurs, etc.)
- Maîtriser les techniques d’audit et de tests d’intrusion des applications Web selon les standards OWASP
- Identifier, exploiter et corriger les vulnérabilités les plus critiques
- Mettre en œuvre des contre-mesures efficaces et des pratiques de développement sécurisé
- Acquérir une approche “offensive & défensive” pour renforcer la sécurité applicative en continu
Public cible
- Développeurs et ingénieurs Web
- DevSecOps et administrateurs systèmes
- Chefs de projet techniques
- Architectes logiciels
- Responsables techniques souhaitant renforcer la sécurité de leurs applications Web
Prochaines Sessions
Inscrivez-vous dès maintenant
Besoin urgent ? Demandez une session personnalisée (délai min. 15-20 jours ouvrés)
Devis personnaliséProgramme Détaillé
- Panorama des menaces Web actuelles et typologies d’attaques
- Impacts métiers et risques liés à la compromission applicative
- Présentation des standards OWASP, ISO et NIST en sécurité applicative
- Installation et configuration d’un laboratoire d’audit Web (VM, proxy, Burp, OWASP ZAP)
- Utilisation de proxies HTTPS pour intercepter et modifier le trafic
- Présentation et usage des environnements vulnérables (DVWA, Juice Shop)
- Fonctionnement du protocole HTTP/HTTPS, entêtes, cookies et statelessness
- Analyse des formulaires, des requêtes POST/GET et des paramètres
- Encodages et formats de données : URL, HTML, Base64, JSON
- Étapes du pentest Web : reconnaissance, cartographie, exploitation, rapport
- Définition du périmètre et gestion éthique / légale du test
- Introduction à la norme PTES
- Collecte d’informations publiques (Google Dorking, WHOIS, Shodan)
- Crawling et cartographie applicative
- Découverte d’interfaces cachées et endpoints API
- Identifier les failles d’authentification (brute-force, enumeration, bypass)
- Exploitation manuelle et automatisée avec Hydra et Burp Intruder
- Contre-mesures : MFA, verrouillage, gestion sécurisée des jetons JWT
- Étude des cookies, jetons, et stockage local
- Attaques de fixation et de vol de session (Session Hijacking)
- Mesures de protection : Secure / HttpOnly, rotation, expiration
- Attaques horizontales et verticales (IDOR, bypass ACL)
- Démonstration pratique de CSRF, LFI/RFI et Path Traversal
- Bonnes pratiques de contrôle d’accès et validation côté serveur
- Injection SQL, NoSQL, LDAP et commande système
- Outils d’automatisation (SQLMap, NoSQLMap)
- Mesures de prévention : ORM, requêtes préparées, validation côté serveur
- XSS réfléchi, persistant et DOM-based
- Attaques sur les frameworks modernes (React, Angular, Vue)
- Contre-mesures : CSP, escaping, frameworks sécurisés
- Gestion des erreurs et exceptions
- Stockage sécurisé des informations sensibles
- Bonnes pratiques de développement sécurisé (secure coding guidelines)
- Bonnes pratiques de log applicatif
- Attaques par injection de logs
- Détection d’intrusion et corrélation d’événements de sécurité
- Tests de vulnérabilités sur SOAP et REST
- Attaques sur les API (Broken Object Level Authorization, Injection, Rate Limiting)
- Sécurisation via OAuth2, JWT, et CORS
- Intégration des tests de sécurité dans la CI/CD
- Automatisation avec OWASP Dependency-Check, Snyk, etc.
- Communication et reporting des vulnérabilités
- Réalisation d’un test d’intrusion complet sur une application cible
- Rapport de vulnérabilités et recommandations de correction
- Quiz et validation des acquis
Approche pédagogique
Ressources & Actions
✨ Formations Recommandées
Perfectionnez vos compétences avec ces formations complémentaires
Vous trouverez ici les réponses aux questions les plus fréquentes que nous recevons de la part de nos clients. Notre objectif : vous éclairer et vous accompagner au mieux dans le développement des compétences de vos équipes.
Partie 1 : Nos Formations et Notre Approche Pédagogique
Les deux, mais notre véritable valeur ajoutée réside dans le sur-mesure. Nous partons du principe que chaque entreprise a un contexte, une culture et des défis uniques. Notre processus commence toujours par une phase d'écoute et de diagnostic pour co-construire avec vous le programme qui aura le plus d'impact.
Nos formateurs sont des experts seniors dotés d'une double compétence :
- Une expertise métier solide : Ils ont tous une expérience significative en entreprise au Maroc et comprennent les réalités du terrain.
- Une expertise pédagogique confirmée : Ils sont formés aux techniques d'animation pour adultes, favorisant l'interactivité et la pratique.
Nous nous adaptons à vos contraintes et objectifs avec plusieurs formats :
- Présentiel Intra-entreprise : Chez vous, pour une immersion totale.
- Présentiel Inter-entreprises : Pour favoriser le partage d'expériences.
- Distanciel : Des sessions live, interactives et dynamiques.
Partie 2 : Financement et Aspects Administratifs (Spécificités Marocaines)
Oui, absolument. En tant qu'organisme de formation agréé, nos actions sont éligibles au remboursement via les Contrats Spéciaux de Formation (CSF) gérés par l'OFPPT et les GIAC. C'est un levier essentiel pour optimiser votre budget formation.
Oui, c'est un service clé que nous proposons. Nous vous accompagnons de A à Z dans le montage de votre dossier d'ingénierie financière. Notre expertise du système marocain vous garantit la constitution d'un dossier conforme et le suivi jusqu'au remboursement, transformant cette contrainte administrative en une simple formalité pour vous.
Nos tarifs sont transparents et dépendent de la durée, du niveau de personnalisation, du nombre de participants et du format. Le meilleur moyen d'avoir une idée précise est de nous demander un devis personnalisé et gratuit, qui sera accompagné d'une proposition pédagogique détaillée.
Partie 3 : Processus, Logistique et Suivi
Notre processus est simple et centré sur vos besoins :
- Prise de Contact & Analyse : Échange pour comprendre vos enjeux.
- Proposition sur-mesure : Envoi d'une proposition pédagogique et financière.
- Validation & Planification : Ajustements et fixation du calendrier.
- Réalisation de la Formation.
- Évaluation & Suivi : Mesure de la satisfaction et bilan complet.
Oui. Notre réseau de formateurs nous permet d'intervenir sur l'ensemble du territoire marocain, que vos locaux soient à Casablanca, Rabat, Tanger, Marrakech, Agadir ou dans toute autre ville du Royaume.
Oui, la formation ne s'arrête pas à la fin de la session. Nous assurons un suivi rigoureux : remise des attestations, envoi d'un rapport de synthèse, et mise en place d'une évaluation à froid (quelques semaines après) pour mesurer le transfert des compétences. Des sessions de coaching de suivi sont également possibles.
Partie 4 : Impact et Retour sur Investissement (ROI)
Nous utilisons une approche à plusieurs niveaux (inspirée du modèle de Kirkpatrick) :
- Niveau 1 (Satisfaction) : Évaluation à chaud.
- Niveau 2 (Apprentissage) : Quizz et mises en situation.
- Niveau 3 (Comportement) : Évaluation à froid et entretiens avec les managers.
- Niveau 4 (Résultats) : Analyse de l'impact sur vos indicateurs de performance (KPIs).
Pour trois raisons principales :
- Notre Expertise Locale : Nous sommes des spécialistes du marché marocain et africain, de sa culture et de ses mécanismes administratifs (CSF).
- Notre Approche Sur-Mesure : Nous ne vendons pas de formations, nous construisons des solutions adaptées à votre besoin.
- Notre Engagement sur l'Impact : Nous sommes focalisés sur le retour sur investissement tangible de votre budget formation.
Des questions sur cette formation ?
Notre équipe pédagogique est à votre disposition pour répondre à toutes vos questions et vous accompagner dans votre projet de formation.
La dernière commande pour cette formation a été effectuée il y a 3 jours.
7 personnes regardent actuellement cette page.