M183 V3
Implémenter la sécurité d'une application
- Type
- EP obligatoire
- Lieu
- École professionnelle
- Année
- 3ème année d'apprentissage
- 183_3_Impl%C3%A9menter%20la%20s%C3%A9curit%C3%A9%20d%27une%20application.pdf
Compétence visée par le module
Planifier de manière sûre, développer et mettre en service des applications.
Situation / objet
Application Web avec lien sur des données, service Web.
Objectifs opérationnels et connaissances
183.1 Reconnaître et pouvoir expliquer les menaces actuelles. Acquérir des informations actuelles sur ce thème (reconnaissance et contre-mesures), et pouvoir démontrer et expliquer les effets possibles. g3 g5 g6 h4
| Connaissance | Texte |
|---|---|
| 183.1.1 | Connaître des sources d’informations sur les menaces actuelles. |
| 183.1.2 | Connaître des lacunes de sécurité et les conséquences possibles lors d’attaques. |
183.2 Pouvoir reconnaître les lacunes de sécurité ainsi que leurs causes dans une application. Pouvoir proposer et implémenter des contre-mesures. g3 g5 g6 h4
| Connaissance | Texte |
|---|---|
| 183.2.1 | Connaître des causes possibles de lacunes de sécurité dans des applications. |
| 183.2.2 | Connaître un déroulement pour l’identification des lacunes de sécurité dans des applications. |
| 183.2.3 | Connaître des contre-mesures pour les différentes catégories de menaces et comment ces mesures doivent être implantées. |
183.3 Pouvoir mettre en œuvre des mécanismes d’authentification et d’autorisation. g3 g5 g6 h4
| Connaissance | Texte |
|---|---|
| 183.3.1 | Connaître des mécanismes d’authentification et leurs fonctionnalités. |
| 183.3.2 | Connaître des mécanismes de codage et leur implémentation dans une application. |
| 183.3.3 | Connaître diverses procédures pour le pilotage des accès. |
183.4 Prendre en considération les aspects les plus importants de la sécurité lors du développement et de l’implémentation. g3 g5 g6 h4
| Connaissance | Texte |
|---|---|
| 183.4.1 | Connaître les aspects les plus importants de sécurité lors du développement d’une application. |
| 183.4.2 | Connaître des techniques lors de la réalisation qui permettent d’éviter les lacunes de sécurité (par ex. validation d’entrée/sortie, programmation défensive, gestion des sessions, gestion des erreurs). |
| 183.4.3 | Connaître le déroulement pour un déploiement sûr des applications. |
183.5 Générer des informations pour les audits et le login. Définir et implémenter des évaluations et alarmes. g3 g5 g6 h4
| Connaissance | Texte |
|---|---|
| 183.5.1 | Connaître la raison, la structure et le contenu d’un Log. |
| 183.5.2 | Connaître la raison, la structure et le contenu d’un Audit-Trails. |
| 183.5.3 | Connaître différentes formes d’alarme et les règles pour le déclenchement d’une alarme. |
Matrice de compétences
| Bande | Compétence | Débutant | Intermédiaire | Avancé | Objectifs |
|---|---|---|---|---|---|
| A1 | Comprendre les vulnérabilités et les mesures de sécurité | Je peux expliquer ce qu'est une faille de sécurité dans une application | Je peux expliquer les vulnérabilités de sécurité actuelles, leurs causes et leurs conséquences (par exemple « description » OWASP Top Ten) | Je peux évaluer les sources d'informations sur les vulnérabilités de sécurité en termes de pertinence |
183.1
183.2
|
| A2 | Comprendre les vulnérabilités et les mesures de sécurité | Je peux expliquer ce qui doit être fait concernant une vulnérabilité de sécurité (par exemple, identifier la vulnérabilité de sécurité, définir et mettre en œuvre des contre-mesures, vérifier l'effet) | Je peux expliquer les mesures pour lutter contre les vulnérabilités de sécurité actuelles (par exemple OWASP Top Ten « comment prévenir ») | Je peux démontrer des exemples pratiques de vulnérabilités de sécurité et de contre-mesures (par exemple rechercher, comprendre, démontrer des exemples pratiques, par exemple WebGoat) |
183.1
183.2
|
| B1 | Utiliser des procédures d'authentification | Je peux expliquer le fonctionnement des différentes procédures d'authentification | Je peux mettre en œuvre des procédures d'authentification dans une application | Je peux comparer la méthode d'authentification adaptée à un cas d'utilisation et la sélectionner en fonction des raisons |
183.3
|
| C1 | Mettre en œuvre des mécanismes de journalisation et de surveillance | Je peux collecter les informations pertinentes pour la surveillance et la journalisation | Je peux évaluer les informations collectées à des fins de surveillance et de journalisation et déterminer les informations pertinentes | Je peux mettre en place des systèmes de surveillance et de journalisation, analyser les informations collectées pour en déterminer la pertinence en matière de sécurité et en déduire les mesures appropriées. |
183.5
|
| C2 | Mettre en œuvre des mécanismes de journalisation et de surveillance | Je peux reconnaître et expliquer la structure et le contenu des journaux et des pistes d'audit | Sur la base de la structure et du contenu des journaux et des pistes d'audit, je peux suggérer des mesures individuelles pour résoudre d'éventuels problèmes de sécurité. | Je peux évaluer de manière critique les concepts d'alerte pour les journaux et les pistes d'audit et sélectionner les formes appropriées d'alerte et de déclenchement d'alarme de manière fondée. |
183.5
|
| D1 | Cryptographie | Je peux attribuer et classer des méthodes de cryptographie telles que le chiffrement symétrique et asymétrique ainsi que des fonctions de hachage à une application | Je peux utiliser le cryptage symétrique et asymétrique ainsi que les fonctions de hachage dans l'application pour protéger les données sensibles | Je peux évaluer l'adéquation des mesures cryptographiques utilisées dans une application et formuler et mettre en œuvre des suggestions d'amélioration. |
183.2
183.3
183.4
|
| E1 |
Évitez et corrigez les failles de sécurité
Non renseigné dans la source. |
Je peux lister et expliquer les risques de sécurité lors du développement d'applications | Je peux identifier les risques de sécurité lors du développement d'applications et les éviter lors de la mise en œuvre | Je peux analyser les architectures de sécurité lors de la conception d'applications et formuler des recommandations d'amélioration fondées. |
183.1
183.3
183.4
|
| E2 | Évitez et corrigez les failles de sécurité | Je peux décrire les mesures qui éliminent les failles de sécurité dans les applications | Je peux mettre en œuvre des mesures pour éliminer les failles de sécurité dans les applications | Je peux comparer et mettre en œuvre des mesures qui optimisent la sécurité des systèmes et des réseaux |
183.1
183.3
183.4
|
Modules liés par compétences PEC
| Module | Titre | PEC communes |
|---|---|---|
| M295 | Réaliser le back-end pour des applications | |
| M321 | Programmer des systèmes distribués | |
| M223 | Réaliser des applications multi-utilisateurs orientées objets | |
| M324 | Prendre en charge des processus DevOps avec des outils logiciels | |
| M346 | Concevoir et réaliser des solutions cloud | |
| M426 | Développer un logiciel avec des méthodes agiles | |
| M450 | Tester des applications | |
| M106 | Interroger, traiter et assurer la maintenance des bases de données | |
| M110 | Analyser et représenter des données avec des outils | |
| M114 | Mettre en œuvre des systèmes de codification, de compression et d’encryptage | |
| M165 | Utiliser des bases de données NoSQL | |
| M187 | Mettre en service un poste de travail ICT avec le système d’exploitation |