Application Security

- Training calendar

Modules	Days	February	March	April	May	June	July	August	September
ISO 27034 Introduction	1d	25		18		30		25
ISO 27034 Lead Foundation	2d	22-23		27-28		02-03		30-31
ISO 27034 Lead Auditor	5d		07-11		23-27		11-15		05-09
ISO 27034 Lead Implementer	5d	01-05		18-22		06-10		15-19
Mobile and E-Banking security	3d		01-03		25-27				13-15

- Details

ISO 27034 Introduction (Duration: 01 days)

Comprendre les fondements de la sécurité des applications.
Connaître les interrelations entre ISO 27034 et les autres normes de sécurité de l'information (ISO / CEI 27034-1, l'ISO / CEI 27034-1, l'ISO / CEI 27034-2, l'ISO / CEI 27034-3, l'ISO / CEI 27034-4, ISO / CEI 27034-5, ISO / IEC 27034-5-1, ISO / IEC 27034-6).
Introduire les concepts, les méthodes, les normes et les techniques permettant de gérer efficacement la sécurité des applications.
Comprendre la relation entre les composantes de l’Application Security (AS) y compris la gestion des risques, les contrôles et la conformité avec les exigences des différentes parties prenantes de l'organisation.
Comprendre les étapes du processus de certification ISO 27034.

Professionnel IT.

Personnel impliqué dans la mise en oeuvre de la norme ISO 27034.

Directeur des systèmes d’information.

Consultant IT.

Responsable de sécurité SI.

Auditeur.

Gestionnaire de développement de logiciels.

Manager de risques.

Administrateur.

Connaissances générales en sécurité des systèmes d’information.

Introduction à la norme ISO / IEC 27034 AS et sa vision globale
Présentation de la série 27034: ISO / CEI 27034-1, l'ISO / CEI 27034-2, l'ISO / CEI 27034-3, l'ISO / CEI 27034-4, l'ISO / CEI 27034-5, ISO / IEC 27034-5-1, ISO / IEC 27034-6.
Exigences de la structure de données de contrôle de la sécurité des applications, des descriptions et de la représentation graphique
Phases de mise en oeuvre de la norme ISO 27034
L'amélioration continue de la sécurité des applications
Mener un audit de certification ISO 27034

ISO 27034 Lead Foundation (Duration: 02 days)

Comprendre la mise en oeuvre d’une Application Security (AS) conformément à la norme ISO / IEC 27034.
Comprendre la relation entre les composantes d’une Application Security y compris la gestion des risques, les contrôles et la conformité avec les exigences des différentes parties prenantes de l'organisation.
Connaître les concepts, les méthodes, les normes, les méthodes et les techniques permettant de gérer efficacement une Application Security (AS).
Acquérir les connaissances nécessaires pour contribuer à la mise en oeuvre d'une AS tel que spécifié dans la norme ISO 27034.

Professionnel IT.

Personnel impliqué dans la mise en oeuvre de la norme ISO 27034.

Directeur des systèmes d’information.

Consultant IT.

Responsable de sécurité SI.

Auditeur.

Gestionnaire de développement de logiciels.

Manager de risques.

Administrateur.

Connaissances générales en sécurité des systèmes d’information.

Introduction à l'IT- Techniques de sécurité - Présentation concepts d’une Application Security tel que requis par la norme ISO 27034
- Introduction à la norme ISO / IEC 27034 AS et sa vision globale.
- Initiation aux techniques de sécurité – Application Security et du processus d’approche.
- Les principes fondamentaux de la sécurité de l'information.
- Règles générales: présentation des articles 6-8 de la norme ISO 27034.
- Mise en oeuvre de la norme ISO 27034.
- Amélioration continue d’une AS.
- Mener un audit de certification ISO 27034.
Mise en oeuvre des contrôles des IT –Techniques de sécurité- Présentation concepts d’une Application Security tel que requis par la norme ISO 27034
- Règles d’une structure de données de contrôle d’une AS, descriptions, représentation graphique.
- Documentation d’un environnement de contrôle d’une AS.
- Evaluation des risques d’une AS.
- Exemples de mise en oeuvre des contrôles d’une AS basées sur les meilleurs pratiques de la norme ISO 27034.
- Examen de certification ISO 27034 Foundation.

ISO 27034 Lead Auditor (Duration: 05 days)

To acquire expertise to perform an ISO 27034 internal audit following ISO 19011 guidelines
To acquire expertise to perform an ISO 27034 certification audit following ISO 19011 guidelines and the specifications of ISO 17021 and ISO 27006
To acquire necessary expertise to manage an Application Security audit team
To understand the operation of an ISO 27034 conformant Application Security management system
To understand the relationship between an Application Security, including risk management, controls and compliance with the requirements of different stakeholders of the organization
To improve the ability to analyze the internal and external environment of an organization, its risk assessment and audit decision-making

Internal auditors

Auditors wanting to perform and lead Application Security certification audits

Project managers or consultants wanting to master the Application Security audit process

CxO and Senior Managers responsible for the IT governance of an enterprise and the management of its risks

Members of an information security team, development managers, application owners and line managers

Expert advisors in information technology

Technical experts wanting to prepare for Application Security audit function

ISO 27034 Foundation Certification or basic knowledge of ISO 27034 is recommended.

Introduction: AS overview and concepts as proposed by ISO/IEC 27034
- Normative, regulatory and legal framework related to application security
- Introduction to ISO/IEC 27034 AS and its global vision
- Fundamental principles in Information Security
- Overview, concepts, principles, definitions, scope, components, processes and actors involved in AS
- Detailed presentation of the clauses 6 to 8 of ISO 27034
Planning and Initiating an ISO 27034 audit
- Fundamental audit concepts and principles
- Audit approach based on evidence and on risk
- Preparation of an ISO 27034 certification audit
- Application Security documentation audit
- Conducting an opening meeting
Conducting an ISO 27034 audit
- Communication during the audit
- Audit test plans
- Formulation of audit findings
- Documenting nonconformities
Concluding and ensuring the follow-up of an ISO 27034 audit
- Audit documentation
- Quality review
- Conducting a closing meeting and conclusion of an ISO 27034 audit
- Evaluation of corrective action plans
- ISO 27034 Surveillance audit
- ISO 27034 Internal audit management program
Examen

ISO 27034 Lead Implementer (Duration: 05 days)

Comprendre la mise en oeuvre de l'AS conformément à la norme ISO / IEC 27034 externe d'une organisation, son évaluation des risques et de l'audit de prise de décision.
Acquérir une compréhension complète des concepts, méthodes, normes et techniques nécessaires à la gestion efficace de l'AS.
Comprendre la relation entre les composantes de l’Application Security (AS) y compris la gestion des risques, les contrôles et la conformité avec les exigences des différentes parties prenantes de l'organisation.
Acquérir les compétences nécessaires pour soutenir une organisation dans la mise en oeuvre, la gestion et la maintenance d'une AS comme spécifié dans la norme ISO / IEC 27034.
Acquérir les compétences nécessaires pour gérer une équipe mettant en oeuvre la norme ISO / IEC 27034.
Développer les connaissances et les compétences nécessaires pour conseiller les organisations sur les meilleures pratiques dans la gestion des AS.
Améliorer la capacité d'analyse et de prise de décision dans le contexte de l'AS.

Professionnel IT.
Personnel impliqué dans la mise en oeuvre de la norme ISO 27034.
Directeur des systèmes d’information.
Consultant IT.
Responsable de sécurité SI.
Auditeur.
Gestionnaire de développement de logiciels.
Manager de risques.
Administrateur.

Connaissances générales de la norme ISO 27034 sont recommandées.

Introduction: Vue d'ensemble et les concepts d’une AS tel que proposé par l'ISO / IEC 27034
- Introduction à la norme ISO 27034 AS et sa vision globale.
- Les principes fondamentaux dans la sécurité de l’information.
- Les aperçus, les concepts, les principes, les définitions, la portée, les composants, les processus et les acteurs impliqués dans l’AS.
- Les concepts embarqués implicitement.
- Présentation de la série 27034 : ISO/IEC 27034-1, ISO/IEC 27034-2, ISO/IEC 27034-3, ISO/IEC 27034-4, ISO/IEC 27034-5, ISO/IEC 27034-5-1, ISO/IEC 27034-6.
Mise en oeuvre de l’AS basée sur la norme ISO 27034
- La sécurité dans un projet d’application.
- Le processus de gestion de l’AS.
- Provisionnement et l’exploitation d’une application.
- Maintenir le niveau actuel de confiance sur le niveau ciblé de confiance.
- Développement de validation d’une AS.
- AS au niveau d’organisation :
  - Objectifs de l'AS pour une organisation,
  - Organization Normative Framework (ONF),
  - Le comité de l’ONF,
  - Le processus de management ONF,
  - Intégration des éléments de la norme ISO 27034 dans le processus existants de l’organisation,
  - Conception, validation, mise en oeuvre, vérification,
  - fonctionnement et évolution des ASC,
  - Les bibliothèques ASC,
  - La matrice de traçabilité de l’AS,
  - Rédaction de processus de certification.
- Cas d’étude :
  - Exemples de mise en oeuvre de l’ISO 27034 pour les petites et grandes entreprises,
  - Comment ISO 27034 peut aider à résoudre des règles de règlements contradictoires pour une application,
  - Développement d’ASC,
  - Acquisition d’ASC.
- Validation et certification d’une AS
  - Le but d’un audit interne AS.
  - Minimiser le coût d’une vérification.
  - Soyez sûr que vous avez toutes les preuves attendues.
  - Aperçu du processus de validation et de certification sous la norme ISO27034 :
    - Comment aider une organisation pour devenir certifiée,
    - Comment aider un projet de demande d’accréditation.
- Examen

Mobile and E-Banking security (Duration: 03 days)

Les pirates visent de plus en plus les plateformes E-Banking, les logiciels malveillants circulent et infectent les ordinateurs et smartphones dans le but d’effectuer des transactions frauduleuses depuis l’E-Banking. Cette formation permettra aux participants d'identifier les architectures et les solutions fiables et sécurisées qui permettent un accès sécurisés via le Web pour consultation et transactions sur un système bancaire (banque en ligne). Elle vous donnera aussi une idée sur les vulnérabilités d’ordre technique et fonctionnel qui touchent particulièrement aussi bien les plateformes E-Banking que Mobile Banking.

Chef de projet, développeur, décideur, et toutes personnes souhaitant avoir une vue synthétique et précise sur la sécurité des applications mobiles destinées pour le E-Banking.

Connaissance de base en sécurité des systèmes d’information.

Introduction
- Sécurité des applications web et Mobiles.
- Cyber-criminalité, Mobile et E-banking.
- Menaces du Mobile et E-Banking.
Politique de sécurité et normes des applications mobiles
- Politique de WAF.
- Politique de Firewall.
- Contrôle d’intégrité.
- Authentification et autorisation.
- Gestion des mises à jour de sécurité.
- Réponses aux incidents.
Sécurité des interfaces et des applications mobiles
- Web-services :
- Développement sécurisé d'applications mobiles.
- Durcissement des systèmes mobiles.
Audit de sécurité
- Audit de configuration.
- Evaluer le niveau de la confidentialité et l'intégrité des données.
- L'approche des tests d'intrusion.
- Méthodologie des tests d'intrusion.
- Vulnérabilités liées aux applications mobiles.
- Vulnérabilités des infrastructures mobiles.
Journalisation
- Traces d'authentification.
- Traces des actions applicatives.
- Traces du WAF et firewall réseau.
- Forensics et investigation des applications mobiles.
Examem