Objectifs pédagogiques :
- Intégrer les principes de sécurité dans l'ensemble du cycle de développement logiciel (SSDLC)
- Appliquer des pratiques de codage sécurisé pour prévenir les vulnérabilités courantes
- Concevoir une architecture logicielle sécurisée adaptée à des besoins spécifiques

Plan de cours :

1. Introduction au développement logiciel sécurisé
- Importance de la sécurité dans le développement logiciel
- Menaces de sécurité courantes : Top 10 de l'OWASP, MITRE ATT&CK
- Cycle de vie du développement logiciel sécurisé (SSDLC)
- Sécurité shift-left : intégration de la sécurité dès le début du développement
- Normes réglementaires et de conformité (RGPD, HIPAA, ISO 27001)

2. Pratiques de codage sécurisé et vulnérabilités courantes
- Principes de codage sécurisé (validation des entrées, authentification, autorisation)
- Injection SQL, XSS, CSRF, désérialisation non sécurisée
- Authentification et gestion des mots de passe sécurisées (OAuth, JWT, hachage)
- Gestion et journalisation sécurisées des erreurs

3. Architecture logicielle sécurisée et principes de conception
- Principes d'architecture sécurisée (moindre privilège, défense en profondeur, confiance zéro)
- Conception d'API sécurisées (authentification, limitation du débit, validation des entrées)
- Gestion sécurisée des sessions (jetons, cookies, stockage sécurisé)
- Protection des données (chiffrement, stockage sécurisé, sauvegardes sécurisées)
- Études de cas de failles de sécurité réelles et moyens de les prévenir

Travaux dirigés (12h) :
- Exercice de modélisation des menaces : identification des risques de sécurité dans une architecture logicielle donnée
- Directives de codage sécurisé : analyse d'un fragment de code pour identifier ses vulnérabilités et le refactoriser
- Correction des vulnérabilités : identifier et corriger les failles de sécurité d'une application web
- Mise en œuvre de l'authentification et de l'autorisation : créer un système d'authentification sécurisé avec hachage des mots de passe et contrôle d'accès basé sur les rôles
- Conception d'un système sécurisé : à partir d'un scénario donné, créer un schéma d'architecture sécurisée en identifiant les risques et stratégies d'atténuation

Projet : création et sécurisation d'une petite application
- Conception et développement d'une application web simple
- API REST avec mécanismes d'authentification et d'autorisation sécurisés (JWT, OAuth, clés API)
- Modélisation des menaces, codage sécurisé, tests de sécurité et déploiement

Modalités d'évaluation :
- TD/TP surveillé et noté
- Projet par équipe