Formation Analyse de vulnérabilités avec SonarQube et OWASP Mixte : présentiel / à distance

• Analyser les vulnérabilités identifiées par SonarQube
• Mettre en œuvre des audits de code basés sur les standards OWASP
• Configurer et exploiter un projet SonarQube pour l'analyse statique
• Évaluer les risques associés aux failles applicatives
• Mettre en œuvre des actions de remédiation adaptées c

• Développeurs souhaitant renforcer leurs compétences en sécurité applicative
• Ingénieurs qualité, DevOps ou leads techniques impliqués dans le delivery logiciel
• Professionnels IT responsables de l'analyse ou de la conformité sécurité 

• Compréhension des concepts fondamentaux du développement applicatif
• Connaissance de base en gestion de versions (Git) 

Jour 1 – Analyse statique avec SonarQube 

Session du matin 

• Rappels sur la sécurité applicative et l'analyse statique
• Structure, modules et règles deSonarQube
• Création et configuration d'un projet SonarQube 

Session de l'après-midi 

• Exécution d'analyses avecSonarScanner
• Compréhension des metrics : bugs, vulnérabilités, code smells
• Interprétation des rapports et premières remédiations 

TP / Exercice : Configuration d'un projet sur SonarQube, exécution d'une analyse complète et interprétation des résultats. 

Points clés & takeaways 

• Première maîtrise des analysesSonarQube
• Compréhension des principaux indicateurs
• Capacité à lire et prioriser les vulnérabilités 

Jour 2 – Standards OWASP et audit de sécurité 

Session du matin 

• Présentation OWASP Top 10
• Risques, impacts et scénarios d'exploitation
• Cartographie des vulnérabilités entre OWASP et SonarQube 

Session de l'après-midi 

• Analyse de cas réels de failles applicatives
• Priorisation des risques et construction d'un rapport d'audit
• Stratégies de remédiation sécurisées 

TP / Exercice : Analyse guidée de vulnérabilités OWASP sur un projet fourni : identification, classification, priorisation. 

Points clés & takeaways 

• Lecture experte des risques OWASP
• Méthodologie d'audit complète
• Analyse et priorisation des failles de sécurité 

Jour 3 – Intégration et remédiation 

Session du matin 

• Intégration deSonarQubedans une pipeline CI/CD
• Bonnes pratiques de remédiation de vulnérabilités
• Mise en place d'un workflow de revue de code sécurisé 

Session de l'après-midi 

• Exécution d'un audit completSonarQube+ OWASP
• Démonstration d'un pipeline automatisé
• Synthèse et validation des acquis 

TP / Exercice : Audit complet d'un projet : analyse SonarQube, classification OWASP, plan de remédiation. 

Points clés & takeaways 

• Capacité à auditer un projet complet
• Mise en œuvre d'un pipeline sécurisé
• Méthodologie reproductible pour les futures analyses 

Docaposte Institute propose plusieurs dispositifs pédagogiques adaptés aux apprenants :

• Formation en présentiel
• En groupe (inter-entreprises ou intra-entreprise)
• En individuel (monitorat)
• En journée ou en cours du soir (sur demande spécifique)
• Formation en distanciel
• Distanciel synchrone
• Distanciel asynchrone

• Apports des connaissances communes.
• Mises en situation sur le thème de la formation et des cas concrets.
• Méthodologie d'apprentissage attractive, interactive et participative.
• Equilibre théorie / pratique : 60 % / 40 %.
• Supports de cours fournis au format papier et/ou numérique.
• Ressources documentaires en ligne et références mises à disposition par le formateur.
• Pour les formations en présentiel dans les locaux mis à disposition, les apprenants sont accueillis dans une salle de cours équipée d'un réseau Wi-Fi, d'un tableau blanc ou paperboard. Un ordinateur avec les logiciels appropriés est mis à disposition (le cas échéant).

En amont de la formation :

• Recueil des besoins des apprenants afin de disposer des informations essentielles au bon déroulé de la formation (profil, niveau, attentes particulières...).
• Auto-positionnement des apprenants afin de mesurer le niveau de départ.

Tout au long de la formation : 

• Évaluation continue des acquis avec des questions orales, des exercices, des QCM, des cas pratiques ou mises en situation...

A la fin de la formation : 

• Auto-positionnement des apprenants afin de mesurer l'acquisition des compétences.
• Evaluation par le formateur des compétences acquises par les apprenants.
• Questionnaire de satisfaction à chaud afin de recueillir la satisfaction des apprenants à l'issue de la formation.
• Questionnaire de satisfaction à froid afin d'évaluer les apports ancrés de la formation et leurs mises en application au quotidien.

• Admission sans disposition particulière