Objectifs
• Identifier les vulnérabilités OWASP Top 10 et les risques spécifiques à .NET (injection SQL, XSS, authentification)
• Implémenter des contrôles de sécurité dans le code : validation des entrées, encoding, gestion d'authentification RBAC
• Intégrer SAST (SonarQube, Checkmarx) et DAST dans les pipelines Azure DevOps
• Automatiser la détection de secrets et de dépendances vulnérables en CI/CD
• Configurer les security gates et appliquer une Policy as Code dans la pipeline
DURÉE
2 jours
PUBLIC
Développeurs C#/.NET, Tech Leads, Architectes logiciel, Responsables sécurité
PRÉ-REQUIS
• Maîtrise de C# et de l'écosystème .NET (ASP.NET, Entity Framework)
• Notions de base en CI/CD et Azure DevOps pipelines
MODALITÉS PÉDAGOGIQUES
• Alternance de concepts théoriques (40%) et de travaux pratiques (60%), individuellement ou en sous-groupes
• La pédagogie active est privilégiée : mise en situation sous forme d'ateliers et cas pratiques, exercices, analyses collectives
• Apports du formateur au regard de son expérience opérationnelle
• Support de formation fourni à chaque participant sous format numérique
• Questionnaire de satisfaction (Respect des objectifs, Contenu et déroulement de la formation, Formateur, Rythme d'apprentissage, Satisfaction globale)
MODALITÉS D'ÉVALUATION
• Quizz préalable sur les pré-requis .NET et CI/CD
• Évaluation au cours de la formation : questions par le formateur, ateliers et travaux pratiques, études de cas
• En fin de formation, QCM afin d'apprécier la marge de progression
Description
Fondamentaux de la Sécurité Applicative
Principes de sécurité et défense en profondeur
OWASP Top 10 : vulnérabilités critiques et impact
Vulnérabilités spécifiques à .NET (injection SQL, XSS, CSRF, authentification)
Shift Left : sécurité dès le développement
Démo : audit de sécurité initial d'une application
Contrôles de Sécurité dans le Code C#
Validation des entrées et sanitization
Encoding et échappement de données
Gestion sécurisée de l'authentification et RBAC
Protection contre l'injection SQL avec Entity Framework
Gestion sécurisée des secrets et credentials
Chiffrement et Gestion des Secrets
Chiffrement des données au repos et en transit
Azure Key Vault pour la gestion des secrets
Bonnes pratiques de configuration sécurisée
Rotation des secrets et audit
Analyse de Code avec SAST
SonarQube : installation et configuration
Checkmarx et autres outils SAST
Règles de sécurité et qualité du code
Analyse des rapports et remédiation
Intégration dans la pipeline de développement
Intégration SAST et DAST dans Azure DevOps
Configuration de pipelines Azure DevOps sécurisées
Intégration de SonarQube dans les builds
Dynamic Application Security Testing (DAST)
OWASP ZAP pour les tests de sécurité dynamiques
Rapports de sécurité et dashboards
Détection de Secrets et Dépendances Vulnérables
Détection automatique de secrets en CI/CD
Gestion des dépendances vulnérables (NuGet, npm)
GitHub Advanced Security et Microsoft Defender for Cloud
Audit et conformité des dépendances
Remédiation et gestion des CVE
Security Gates et Policy as Code
Définition des security gates dans la pipeline
Politiques de blocage des déploiements non sécurisés
Azure Policies pour la conformité
Automating security compliance checks
Approche progressiste du renforcement
Tests de Sécurité et Pentesting
Approches des tests de sécurité
Tests manuels et automatisés
Pentesting éthique et coordonné
Rapports de vulnérabilités et gestion des incidents
Remédiation et suivi
Cas Pratique et Culture DevSecOps
Mise en situation : sécuriser une application .NET complète
Du code à la production en passant par la détection et la remédiation
Implication des équipes dans la sécurité
Métriques et KPIs de sécurité
Retours d'expérience et bonnes pratiques
Conclusion et Roadmap Sécurité
Récapitulatif des apprentissages clés
Mise en place d'une stratégie DevSecOps durable
Outils et ressources pour poursuivre
Liste des sessions
ARTZA TECHNOLOGIES
Centre de formation
Lieu de formation