iSAQB® CPSA-A - Web Security (Formation)

Description

Participer à la formation iSAQB® CPSA-A Web Security (WEBSEC) permet d’obtenir 20 points de compétence technique (TC) et 10 points de compétence méthodologique (MC), comptant pour les 70 points requis pour être éligible à l’examen iSAQB CPSA-A avec Brightest. Il est important de rappeler que, pour atteindre les 70 points nécessaires pour passer l’examen iSAQB CPSA-A avec Brightest, vous devez obtenir au moins dix points de compétence dans chacune des catégories suivantes :

• Compétence technique (TC)
• Compétence méthodologique (MC)
• Compétence en communication (CC)

La formation accréditée iSAQB® WEBSEC – Web Security (CPSA-A) est basée sur le programme officiel actuel de l’iSAQB® :

Partie 1 – Analyse de la sécurité Web

• Risques et modèles
• Objectifs fondamentaux de la sécurité
• Identification des actifs et concepts d’accès
• Définition des critères d’acceptation et d’audit
• Équilibre entre sécurité et autres attributs de qualité
• Comprendre que la sécurité est un processus, et non une mesure unique
• Comprendre que la sécurité est la responsabilité de toutes les parties prenantes
• Connaître les lignes directrices, normes et recommandations courantes
• Connaître les systèmes de classification des problèmes de sécurité
• Catégoriser les certifications les plus fréquentes

Partie 2 – Conception et développement sécurisé

• Concept de « validation de toutes les entrées et échappement de toutes les sorties »
• Principe des points de contrôle, des revues et du « zéro confiance »
• Indicateurs d’une conception applicative sécurisée
• Patrons de base pour des directives de codage sécurisé
• Contenu d’un processus de développement sécurisé et cadre de référence
• Concepts d’accès pour le paysage système, les artefacts et le code source
• Outils et composants d’infrastructure soutenant le développement sécurisé
• Distinction des méthodes analytiques
• Gestion des incidents

Partie 3 – Cryptographie

• Notions de base en cryptographie
• Fonctions de hachage
• Algorithmes de chiffrement
• Concepts de confiance
• Utilisation pratique

Partie 4 – Web : Fondamentaux techniques

• Bonnes pratiques courantes
• Types d’authentification
• Mesures de sécurité basées sur « la dissimulation » (security through obscurity)
• Protocoles liés à la sécurité (ex. : TLS)
• Concepts d’autorisation et implémentations associées
• Outils de support

Partie 5 – Web : Attaques connues et vecteurs d’attaque

• Vecteurs d’attaque et classification
• Dangers spécifiques de l’ingénierie sociale dans les applications web
• Attaques par injection
• Fonctionnement et impact des attaques DoS (denial of service) et DDoS (distributed denial of service)
• Attaques via l’environnement d’exécution ou la plateforme applicative
• Détection de failles de sécurité via le fuzzing
• Attaques de type « homme du milieu » (Man-in-the-middle)
• Sources clés sur les menaces et attaques actuelles

Partie 6 – Web : Sécurité et infrastructure

• Fonctionnement et processus liés aux pare-feux
• Pare-feux pour applications web (WAF)
• Systèmes de détection/prévention d’intrusion (IDS/IPS)
• Validation avec retour d’expérience de l’exploitation
• Utilisation du protocole TLS (Transport Layer Security)