Formation - Security by Design : Intégrer la sécurité à vos projets informatiques dès leur conception

1 - Fondamentaux du Security by Design et cadrage sécurité

• Définir le Security by Design et ses enjeux techniques.
• Appliquer les principes clés : défense en profondeur, moindre privilège, sécurité par défaut
• Distinguer Secure by Design et Secure by Default
• Relier Security by Design aux architectures applicatives existantes (monolithes, microservices, cloud-native)
• Introduire la notion de trust boundaries pour préparer la modélisation des menaces
Atelier

Analyser une architecture applicative existante

Identifier les écarts par rapport aux principes du Security by Design

Associer chaque principe à des mécanismes techniques concrets (authentification, chiffrement, validation d’entrée, contrôle d’accès).

2 - Exigences de sécurité et modélisation des menaces

• Formuler des exigences de sécurité non fonctionnelles exploitables
• Identifier les données sensibles et contraintes réglementaires (RGPD, conformité)
• Introduire la modélisation des menaces (STRIDE ou équivalent)
• Utiliser les diagrammes de flux de données (DFD)
Atelier

Reformuler un cahier des charges fonctionnel en exigences de sécurité SMART

Classer les exigences par priorité et impact

Construire un diagramme de flux de données

Identifier les menaces associées à chaque composant

Proposer des mesures de mitigation adaptées

3 - Architecture sécurisée et intégration DevSecOps

• Analyser une architecture applicative sous l’angle sécurité
• Identifier patterns et antipatterns de sécurité
• Intégrer les contrôles de sécurité dans le SDLC.
• Positionner la sécurité dans une démarche DevSecOps
• Illustrer l’intégration avec des outils concrets : GitLab CI/CD, SonarQube, OWASP Dependency-Check, Trivy, etc
Atelier

Examiner une architecture applicative fournie

Identifier les faiblesses de conception

Proposer des améliorations d’architecture sécurisée

4 - Sécurité dans le développement et automatisation

• Appliquer les bonnes pratiques de codage sécurisé (OWASP, CWE)
• Comprendre le rôle et les différences entre outils SAST, DAST et SCA
• Intégrer les contrôles de sécurité automatisés dans les pipelines CI/CD
• Exploiter les résultats de scans pour prioriser et corriger les vulnérabilités
Atelier

Configurer des outils SAST / DAST dans un pipeline CI/CD fictif

Analyser les résultats de scans de sécurité

Corriger un défaut de sécurité simple identifié par les outils

Documenter une matrice de vulnérabilités et hiérarchiser les corrections

5 - Tests de sécurité et validation continue

• Mettre en place des tests unitaires et d’intégration orientés sécurité
• Comprendre les boucles de feedback automatisées
• Introduire les tests de fuzzing et les tests d’intrusion simplifiés
• Faire le lien avec l’OWASP ASVS (Application Security Verification Standard)
Atelier

Ajouter des contrôles de sécurité dans une suite de tests existante

Vérifier le déclenchement automatique des tests dans le pipeline CI/CD

Évaluer la couverture de tests sécurité à partir d’indicateurs quantitatifs

6 - Gouvernance technique et cas intégrateur

• Clarifier les rôles Dev / Sec / Ops dans une démarche Security by Design
• Définir des indicateurs de suivi sécurité (KPIs/KRIs : taux de correction, couverture de tests, MTTR sécurité)
• Identifier les pièges courants et meilleures pratiques de gouvernance technique
Atelier

Élaborer un plan d’action Security by Design pour une équipe technique