Formation - Cybersécurité pour les devs

À l’issue de cette formation, les participant·es disposeront de toutes les connaissances nécessaires pour sécuriser en profondeur le code de leurs applications.

Afin de réellement comprendre les vulnérabilités abordées, chaque module commencera par une approche offensive dans laquelle les participant·es devront exploiter la faille dans une application factice. Cette approche pédagogique permet de passer de l’autre côté du miroir, pour un apprentissage ludique sans moralisation ni dramatisation des erreurs humaines.

Planning indicatif

Cet agenda est fourni à titre d’exemple pour des profils full-stack, mais le contenu et la durée de la formation restent parfaitement adaptables en fonction de vos besoins.

         Jour 1 - Vulnérabilités web front-end

• Présentation des failles front-end les plus courantes : XSS, CSRF, …
• [Lab] Mise en pratique des attaques via un challenge Capture The Flag
• Protections contre les attaques front-end
• [Lab] Mise en place des protections sur un scénario défensif

         Jour 2 - Vulnérabilités web back-end

• Présentation des failles back-end les plus courantes : injection SQL, SSTI, IDOR, SSRF, faiblesses de configuration, …
• [Lab] Mise en pratique des attaques via un challenge Capture The Flag
• Protections contre les attaques back-end
• [Lab] Mise en place des protections sur un scénario défensif

         Jour 3 - Réagir en cas d’attaque

• Rappel des obligations légales en cas de cyberattaque
• Acteurs cybercriminels et menaces étatiques
• Introduction à l’investigation numérique (forensics)
• [Lab] Détection et analyse d’une intrusion sur une application en conditions réalistes
• Reprise d’activité post-incident

         Jour 4 - Validation des compétences

• [Lab] Travail en binôme - scénario complet de recherche et correction de vulnérabilités dans un scénario attaque-défense
• Evaluation de connaissances
• Délivrance de certificats

Public visé

Ce module est à visée introductive, aucune notion préalable en cybersécurité n’est nécessaire pour profiter pleinement des enseignements.

Les participant·es doivent être capables de coder de manière autonome sur au moins un langage de programmation (idéalement Python ou autre langage de scripting).

Pourquoi faire appel à moi ?

Après l’obtention de mon diplôme d’ingénieur à l’INSA Lyon, j’ai travaillé pendant plus de 2 ans en tant que CTO adjoint à la cybersécurité pour le groupe Capgemini France. J’y ai notamment dirigé le laboratoire R&D en cybersécurité (20 personnels à temps plein) et fondé la première équipe semi-professionnelle de Capture The Flag en France, les Capgemini Aces of Spades.

L’ANSSI m’a sélectionné à deux reprises dans l’équipe de France de cybersécurité en 2019 et 2020. La sélection regroupe chaque année plus de 3000 personnes en compétition pour décrocher l’une des 10 places dans l’équipe qui représente la france à l’ECSC. Je suis aujourd’hui entraîneur de l’équipe de France de cybersécurité pour WorldSkills, une autre compétition internationale qui opposera 65 pays cette année.

Je suis titulaire des prestigieuses distinctions Google Developer Expert et Microsoft MVP.

La création de contenus ludiques et engageants pour l’apprentissage est ma spécialité : j’ai notamment travaillé pour la startup CodinGame et participé à la création du Sogeti Cyber Escape, premier escape game de cybersécurité en France.

Mes formations et conférences sont très populaires : à titre d’exemple, ma conférence “Comment j’ai développé le détecteur de deepfakes le plus puissant du monde” a été élue 5e meilleure conférence à Devoxx Belgium 2022, parmi les 230 sessions de cet événement mondialement reconnu.