Acquisition et développement de systèmes sécurisés

Cette formation est dispensée en anglais.

À propos de cette formation

Intégrer la sécurité et la protection de la vie privée dans les pratiques d’acquisition, de développement et de gestion des logiciels d’une organisation peut s’avérer complexe. De nombreux facteurs doivent être pris en compte pour définir la trajectoire à suivre, notamment la structure de l’entreprise, les priorités des parties prenantes, les stacks technologiques, les outils et processus, ainsi que la dette technique existante. Comment la sécurité s’intègre-t-elle dans les méthodes de travail waterfall, agile et DevOps ? Quels frameworks peuvent vous aider dans cette démarche ?

Lors de l’évaluation, de l’achat ou du développement de systèmes et d’applications, ou lors de l’utilisation de services cloud, comment garantir que les exigences de sécurité pertinentes et appropriées sont documentées et vérifiées avant l’acquisition ou le développement d’une application ou d’un service ?

Dans les infrastructures modernes basées sur le cloud, les pipelines CI/CD constituent la norme. Mais que recouvre exactement ce concept ? Quels sont les avantages de l’automatisation en matière de sécurité ?

Comment s’assurer que les exigences de sécurité définies au début d’un projet sont effectivement mises en œuvre ? Quelles possibilités existent en matière de tests de sécurité ? Découvrez SAST, DAST et IAST et la manière dont ces approches permettent de vérifier que la sécurité est intégrée conformément aux attentes.

Avec ce module Secure System Acquisition and Development, nous vous apprenons à mettre en place et à améliorer un Secure Software Program (SSP) afin de gérer l’identification, l’analyse et la spécification des exigences de sécurité de l’information. La formation couvre également la sécurisation des services applicatifs dans les processus de développement et de support, les contrôles de revue technique des modifications logicielles, les principes d’ingénierie sécurisée, les environnements de développement sécurisés, le développement externalisé, les tests de sécurité des systèmes et la protection des données de test.

Pourquoi suivre ce module ?

À l’issue de cette formation, vous maîtriserez :

• Le Software Security Program
• La sécurité et la protection de la vie privée by design et by default
• La définition des exigences de sécurité
• La sécurisation des pipelines CI/CD et de l’automatisation
• Les tests de sécurité

Public cible

Ce module s’adresse aux responsables de la sécurité de l’information et de la cybersécurité, aux managers et aux professionnels de la sécurité chargés de démarrer ou d’améliorer un programme de sécurité logicielle. Les professionnels impliqués dans la gestion des logiciels pourront également en bénéficier.

Objectifs pédagogiques

Ce que vous apprendrez concrètement :

• Comprendre les pratiques modernes de développement logiciel
• Mettre en place et améliorer un Secure Software Program (SSP)
• Définir et gérer des métriques de sécurité logicielle
• Comprendre le pourquoi et le quoi du threat modelling
• Aligner le threat modelling avec les parties prenantes
• Intégrer la sécurité et la protection de la vie privée by design et by default dans le SSP
• Gérer les exigences de sécurité via un processus en quatre étapes
• Aligner les exigences de sécurité avec les fournisseurs de logiciels
• Comprendre le pipeline CI/CD et ses composants
• Intégrer des contrôles de sécurité dans les pipelines CI/CD
• Comprendre et intégrer différents types de tests de sécurité dans le SSP
• Gérer les vulnérabilités logicielles
• Élaborer une stratégie de tests de sécurité

Approche pédagogique

Il n’existe pas d’approche universelle pour mettre en place et exploiter un Secure Software Programme.

C’est pourquoi cette formation poursuit un double objectif. Elle vise à présenter les frameworks et bonnes pratiques actuels tout en fournissant les compétences pratiques nécessaires à leur mise en œuvre efficace au sein de votre organisation.

La formation est dispensée par des professionnels hautement expérimentés disposant d’une solide expérience de terrain. Ils partagent des conseils concrets et se concentrent sur l’essentiel. Le programme combine des modèles théoriques, des frameworks et des bonnes pratiques avec des exercices pratiques permettant d’appliquer les acquis à des situations réelles.

• Théorie
  Bonnes pratiques en DevSecOps et AppSec
• Étude de cas
  Rôle de conseiller sécurité auprès d’une équipe de développement construisant une nouvelle fonctionnalité applicative et intégrant des critères de sécurité dans les user stories
• Exercice pratique
  Réalisation d’un threat model sur une user story spécifique ou conception d’une stratégie de tests de sécurité
• Feedback
  Présentation et amélioration du modèle lors de la session en ligne

Résultat final

À l’issue de la formation, un certificat de participation vous sera délivré. Cette formation ne comprend aucun examen ni certification officielle.

Package de formation complémentaire

• Le matériel de formation en version imprimée et PDF
• Supports de présentation avec annotations
• Des supports de formation en ligne supplémentaires
• Une liste de liens utiles avec des informations complémentaires sur les standards et frameworks abordés pendant la formation
• Les exercices et leurs solutions, le cas échéant

Comment vous préparer

Il s’agit d’une formation en présentiel et non technique. Prévoyez un support pour prendre des notes supplémentaires, par exemple un ordinateur portable, un carnet ou une tablette.

Prérequis

• Une compréhension de base de l’IT et du développement logiciel
• Une expérience dans un environnement corporate en tant que manager peut constituer un atout, sans être indispensable

Entre les deux journées de formation en présentiel et la session de suivi en ligne, un travail préparatoire est prévu :

• Compléter l’évaluation de connaissances en ligne
• Préparer un travail pour discussion lors de la session en ligne