Demandeurs d'emploi
Vous souhaitez changer de métier et entrer dans le numérique, même sans bagage technique. Nous vous accompagnons pas à pas pour acquérir les bases, structurer votre projet et viser un premier poste.
Description | Programme | Prérequis | Objectifs et compétences ciblées | À qui s'adresse ce cours | Durée | Format du cours | Modalités d'évaluation / Certification | Dates à venir | Comment accéder au cours | Quand accéder au cours | Tarifs | Contact administratif & Pédagogique | Accessibilité | Mentions obligatoires |
Description
Les applications (web, API, mobile) sont aujourd’hui la première surface d’attaque des organisations. Les vulnérabilités majeures proviennent rarement d’un “hack sophistiqué” : elles viennent surtout de contrôles d’accès insuffisants, d’authentification mal cadrée, d’entrées non validées, de dépendances vulnérables, ou de pipelines de livraison non maîtrisés.
Cette formation s’adresse à des développeurs qui veulent aller au-delà du simple “secure coding” et devenir capables de tester, comprendre, corriger et prévenir les vulnérabilités applicatives les plus critiques. Elle couvre l’AppSec de manière concrète, avec une approche orientée PenTest applicatif Web/API, remédiation et validation des correctifs. L’objectif n’est pas de former des red teamers généralistes, mais des profils capables d’identifier des failles majeures, d’en mesurer l’impact, puis de sécuriser durablement les applications développées ou en cours de développement.
Le parcours est structuré en deux niveaux complémentaires. Le premier bloc forme au développement sécurisé et au PenTest applicatif, avec des labs et mises en situation orientés “attaque contrôlée → correction → re-test”. Le second bloc, optionnel, étend cette logique au DevSecOps, en intégrant les contrôles de sécurité dans la chaîne d’intégration et de déploiement (tests automatisés, analyse de code, analyse des dépendances, pipeline CI/CD). L’ensemble permet de construire un profil rare et recherché : un développeur capable de raisonner sécurité de bout en bout, du code jusqu’à la mise en production.
Programme
- Installer l’environnement de développement et de test. Organiser le travail avec Git. Préparer un setup reproductible (application + base de données + dépendances) pour pouvoir tester, attaquer et corriger.
- Identifier les actifs (données, comptes, API), la surface d’attaque et les scénarios d’abus. Transformer ces scénarios en checklist de tests PenTest et en backlog de corrections.
- Faire de la reconnaissance applicative. Découvrir pages, endpoints API, paramètres, rôles. Utiliser une méthodologie de découverte d’endpoints et de fonctionnalités exposées. Produire une carte de test (ce qui doit être attaqué et comment).
- Tester les faiblesses classiques : mots de passe, gestion de session, jetons, “remember me”, fixation de session, déconnexion, reset password. Comprendre comment prouver l’impact et comment corriger proprement. Comprendre et tester la CSRF (Cross-Site Request Forgery). Mettre en place les protections attendues (tokens, SameSite, vérifications serveur) et valider la correction par re-test.
- Tester l’autorisation (qui a le droit de faire quoi) et détecter les failles “Insecure Direct Object Reference (IDOR)” (accès à des ressources d’un autre utilisateur). Corriger avec des règles d’autorisation côté serveur et des tests de non-régression.
- Comprendre et tester les injections (SQL injection, command injection, NoSQL injection) et les erreurs de validation/normalisation. Savoir reproduire une faille de façon contrôlée, mesurer l’impact, puis corriger (requêtes paramétrées, validation stricte, encodage).
- Tester les API. Vérifier authentification, permissions, exposition de données, abus. Tester les CORS misconfigurations (mauvaises configurations CORS) et corriger (origins autorisées, credentials, règles strictes). Démontrer avant/après.
- Tester les uploads (types de fichiers, chemins, exécution), les failles SSRF (Server-Side Request Forgery : forcer le serveur à appeler une URL interne), la configuration (headers sécurité, cookies, CORS). Mettre en place des protections et re-tester.
- Identifier les vulnérabilités des dépendances (Software Composition Analysis – SCA). Mettre en place une politique de mise à jour et de correctifs. Comprendre les risques supply chain (dépendances, packages, outils de livraison).
- Créer des tests unitaires et d’intégration orientés sécurité (ex. “un utilisateur ne doit jamais accéder aux ressources d’un autre”). Construire des tests de non-régression après correction d’une faille. Objectif : éviter que la faille revienne.
- Découvrir et utiliser l’outillage standard du PenTest applicatif (OWASP ZAP, Nmap, Semgrep, etc.). Utiliser un proxy d’audit web pour capturer, rejouer et modifier des requêtes. Utiliser des outils de découverte d’endpoints et de surface d’attaque au bon niveau. Structurer un rapport utile aux développeurs (reproduction, impact, correction, re-test, preuves).
- Réaliser un projet final AppSec. Deux formats possibles selon ton choix pédagogique : sécuriser une application existante (corriger toutes les failles majeures) ou développer un outil de sécurité (Python) utilisé pour tester/valider une partie des vulnérabilités. Inclure rapport + démonstration + re-test.
- Écrire un plan de tests qui couvre les fonctionnalités et les risques. Définir l’environnement de test et la stratégie (unitaires, intégration, système, acceptation). Inclure les tests sécurité essentiels.
- Mettre en place l’automatisation des tests. Inclure des tests sécurité de base et des tests de non-régression après correction.
- Mettre en place un DAST (test dynamique) : scanner l’application “en fonctionnement” pour détecter certaines failles (config, endpoints, patterns). Intégrer le résultat dans la boucle de correction.
- ettre en place un SAST (test statique) : analyser le code source (patterns de failles) avant déploiement. Paramétrer les règles et interpréter les résultats sans noyer l’équipe sous les faux positifs.
- ettre en place l’analyse des dépendances (SCA) pour détecter les bibliothèques vulnérables. Définir la politique de mise à jour et les seuils de criticité acceptables.
- Créer un déploiement reproductible (dev/test/prod) via conteneurs. Gérer la configuration et les secrets correctement. Réduire l’écart entre environnements.
- Mettre en place une chaîne CI/CD qui construit, teste et publie. Intégrer les contrôles de qualité et de sécurité (SAST/SCA/DAST) dans le pipeline.
- Définir des “quality gates” : critères qui autorisent ou bloquent la livraison (tests OK, vulnérabilités au-dessus d’un seuil interdit, couverture minimale, etc.). Justifier les seuils (pragmatiques, pas impossibles).
- Lire les rapports (tests, SAST, SCA, DAST). Distinguer vrais problèmes et bruit. Convertir en actions correctives et prouver la correction par re-test.
- Mettre en place un pipeline complet sur un projet. Démontrer une vulnérabilité détectée, corrigée, puis validée automatiquement par le pipeline (preuve “avant/après”).
Prérequis
- Niveau développeur : être capable de comprendre une application web/API, lire du code et exécuter un projet localement.
- Connaissances de base recommandées : HTTP, API REST, bases de données, Git.
- La formation ne nécessite pas un niveau “pentest avancé” au démarrage, mais demande de la rigueur, de la curiosité et une capacité à travailler sur des environnements de lab.
Objectifs et compétences ciblées
Objectifs pédagogiques
- Comprendre et modéliser les risques d’une application pour prioriser les tests et les corrections.
- Réaliser un PenTest applicatif Web/API (reconnaissance, tests, preuves) sur un périmètre autorisé.
- Identifier et valider les vulnérabilités majeures (auth/session, contrôle d’accès/IDOR, injections, CSRF, CORS misconfigurations, uploads, SSRF, mauvaises configurations).
- Corriger proprement les failles et mettre en place des tests de non-régression afin d’éviter leur réapparition.
- Produire un livrable professionnel : rapport de vulnérabilités (reproduction, impact, correctif, re-test) et démonstration.
- (Option CCP3 / DevSecOps) Mettre en place une chaîne de livraison sécurisée : CI/CD, SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing), SCA (Software Composition Analysis), quality gates, conteneurs et lecture/interprétation des rapports.
Compétences visées
CCP 1 – Développer une application sécurisée (Installer et configurer son environnement de travail en fonction du projet, développer des interfaces utilisateur, développer des composants métier, contribuer à la gestion d’un projet informatique)
CCP 3 – Préparer le déploiement d’une application sécurisée (Préparer et exécuter les plans de tests d’une application, préparer et documenter le déploiement d’une application, contribuer à la mise en production dans une démarche DevOps)
À qui s'adresse ce cours
- Développeurs web / back-end / full-stack souhaitant monter en compétence sur l’AppSec, la sécurité des applications et la remédiation.
- Concepteurs développeurs d’applications (CDA) ou profils équivalents souhaitant ajouter une spécialisation AppSec / DevSecOps.
- Leads techniques souhaitant structurer la sécurité applicative et la qualité de livraison au sein d’une équipe.
- Consultants techniques (développement) souhaitant proposer une approche AppSec concrète (tests → correctifs → revalidation).
L’entrée en formation pourra être précédée d’un test technique ou d’un entretien de positionnement, afin de confirmer l’adéquation entre le niveau du candidat et les attendus du parcours.
Durée
500h
Format du cours
A distance,A distance,Mixte
Modalités d'évaluation / Certification
Le suivi de progression s’appuie sur des quiz courts et des points de passage réguliers : validation de la reconnaissance applicative, validation des tests auth/session/contrôle d’accès, validation d’une vulnérabilité reproduite et corrigée, validation des tests de non-régression, puis consolidation sur le projet fil rouge. En option DevSecOps, validation de l’intégration SAST/DAST/SCA, de la mise en place de quality gates et de la capacité à interpréter les rapports CI/CD.
Les compétences professionnelles sont évaluées tout au long de la formation à travers des épreuves reconstituées, des mises en situation professionnelles, des soutenances et des livrables techniques. Ces modalités sont conçues pour valider les compétences de 2 blocs de certification du titre professionnel Concepteur Développeur d’Applications.
Les compétences transversales – communication professionnelle, résolution de problèmes, autonomie, documentation, collaboration – sont mobilisées et évaluées en continu à travers l’ensemble des modalités ci-dessus. Elles participent directement à la mise en œuvre des compétences attendues.
Toutes les évaluations sont alignées avec les exigences du référentiel de certification, et documentées dans les grilles critériées utilisées lors des soutenances et projets.
Dates à venir
Février 2026
Mars 2026
Avril 2026
Comment accéder au cours
Pour vous pré-inscrire à cette formation et recevoir toutes les informations nécessaires, merci de remplir le formulaire en ligne suivant : Inscrivez-vous et on vous rappelle !.
Un test de positionnement est proposé pour nous permettre de vous orienter sur la bonne formation.
Quand accéder au cours
La durée estimée entre votre inscription et le début de la formation est de 48h à 72h (jours ouvrés) après validation de l’inscription, du financement et des tests de pré-formation (si nécessaires).
Tarifs
Nos formations sont conçues pour répondre aux besoins de chacun, que vous soyez en reconversion, à la recherche d’emploi, salarié ou entrepreneur. Découvrez nos options tarifaires adaptées à chaque profil:
- Tout public : A partir de 3000€ (des frais supplémentaires sont à prévoir si vous optez pour du coaching individuel en plus de la formation)
- Demandeurs d’emploi : Nous contacter pour un tarif préférentiel (100% financé par France Travail)
- Salariés : Prise en charge possible via CPF ou employeur
- Entrepreneurs : A partir de 3000€ (des frais supplémentaires sont à prévoir si vous optez pour du coaching individuel en plus de la formation)
- Étudiants : Nous contacter pour une réduction spéciale
La formation peut entrer dans le cadre de la formation continue et donc être financées par les aides publiques, les OPCO, Pôle Emploi et le FNE-Formation.
🎉 Cette formation est également disponible en abonnement mensuel : cours en ligne, workshops en direct live et coaching inclus. Idéale pour ceux qui souhaitent apprendre à leur rythme avec un budget maîtrisé.
Contact administratif & Pédagogique
Gilbert NZEKA - 09.73.72.89.30
Accessibilité
Les locaux de formation sont adaptés aux stagiaires en situation de handicap. L’accès à la formation également ainsi que les contenus.
Après avoir rempli le formulaire de pré-inscription, un responsable vous rappellera et pourra aborder avec vous comment la formation sera adaptée à des publics en situation de handicap si telle est votre situation. Les modalités pédagogiques et les modalités d’évaluation peuvent être adaptées en cas de besoin de compensation du handicap, dans le respect du référentiel RNCP/RS. Email du référent handicap: referent.handicap(at)ilaria-academy.net.
Mentions obligatoires
Cette formation offre diverses options de financement, y compris l’éligibilité au Compte Personnel de Formation (CPF). Explorez les possibilités pour faciliter votre parcours d’apprentissage, et bénéficiez d’un soutien financier adapté à vos besoins. Veuillez nous contacter pour en savoir plus.
Certification
Certification
Comment nous formons nos étudiants
Une pédagogie conçue pour vous rendre rapidement opérationnel : cours en live, accompagnement personnalisé, ressources en ligne, IA et applications mobiles au service de votre progression.
Cours en live sur Microsoft Teams
Suivez des sessions interactives en direct avec des formateurs, posez vos questions pour progressez. Absent? Un replay sera disponible pour ne rien manquer.
Coaching de groupe et individuel
Bénéficiez de séances de coaching en petit groupe et des rendez-vous individuels pour lever vos blocages, structurer votre projet et garder le cap.
Projets concrets et pratiques
Travaillez sur des cas réels du numérique : sites web, campagnes marketing, projets entrepreneuriaux, pour constituer un portfolio ou un vrai retour d’expérience.
IA & Ressources en ligne
Accédez à des ressources structurées (supports, replays, fiches pratiques) et apprenez à utiliser l’IA comme un outil pour gagner du temps et monter en compétences.
Applications mobiles pédagogiques
Progressez partout, tout le temps, grâce à nos applications mobiles dédiées à chaque cursus (suivi de progression, entraînements, rappels, contenus complémentaires).
Préparation aux examens et stages
Préparez vos examens avec des examens blancs, du feedback détaillé et un accompagnement vers un stage ou un projet freelance pour valider vos compétences.
Quels profils formons-nous ?
Salariés en activité
Vous êtes déjà en poste et vous voulez faire évoluer votre carrière, sécuriser votre emploi ou préparer une transition vers un rôle plus digital. Apprenez à votre rythme sans interrompre votre activité.
Jeunes et étudiants
Vous êtes en formation initiale ou venez d’obtenir votre diplôme, et vous souhaitez acquérir des compétences pratiques et opérationnelles pour booster votre employabilité dans le secteur du numérique.
Étudiants internationaux
Vous vivez à l’étranger et souhaitez suivre une formation à distance reconnue, avec la possibilité de passer vos examens à distance ou dans nos divers campus selon votre situation.
Replays de nos précédents cursus
Accédez aux replays complets de nos anciennes promotions, à un tarif plus accessible, pour progresser à votre rythme lorsque vous ne pouvez pas rejoindre la prochaine rentrée.
La certification qualité a été délivrée au titre de la catégorie: Action de formation.
