Formation WAF et Sécurité des API

Sécurisez vos applications et API grâce aux WAF modernes, au WAAP et aux techniques avancées de protection contre les attaques applicatives.

Formation WAF et Sécurité des API

Description

Cette formation WAF et sécurité des API vous permettra de comprendre les menaces applicatives modernes et de mettre en place des mécanismes efficaces de protection pour les applications web, les API et les services cloud.

Pendant 2 jours, vous apprendrez à :

  • Identifier les attaques modernes ciblant les applications web et API
  • Concevoir une architecture de protection applicative moderne (WAAP)
  • Déployer un WAF pour sécuriser efficacement applications et API
  • Détecter et analyser les attaques à partir des logs de sécurité
  • Mettre en place des protections contre les bots et les abus d’API
  • Optimiser les règles WAF pour limiter les faux positifs

Cette formation complète idéalement une formation de sécurité des applications Web ou OWASP Top 10, en abordant les mécanismes de protection des applications exposées.

Public

Cette formation s’adresse aux ingénieur·e·s sécurité, DevOps, architectes cloud et administrateur·rice·s systèmes souhaitant sécuriser les points d’exposition applicatifs dans des environnements cloud, microservices et API-first.

Les objectifs

  • Identifier les menaces applicatives modernes ciblant applications web et API
  • Concevoir une architecture WAAP intégrant WAF, protection API et bot management
  • Déployer et configurer un WAF pour protéger des applications et API
  • Détecter et analyser les attaques applicatives dans les logs de sécurité
  • Mettre en place des protections contre les abus d’API et les bots malveillants
  • Ajuster les règles et gérer les faux positifs pour maintenir la disponibilité

Pré-requis

  • Connaître les bases du fonctionnement du web (HTTP, API REST)
  • Avoir des notions d’architecture applicative ou cloud
  • Connaître les principes fondamentaux de la sécurité des systèmes et réseaux
  • Ordinateur portable à apporter

Le programme de la formation WAF et Sécurité des API

Jour 1 — Menaces applicatives modernes et architecture WAAP

  • Panorama des attaques applicatives modernes
    • Évolution des attaques contre les applications web et API
    • Présentation du OWASP Top 10:2025 (Broken Access Control, Security Misconfiguration, Software Supply Chain Failures, Mishandling of Exceptional Conditions)
    • Attaques applicatives modernes (Business Logic Abuse, Credential stuffing et carding, Scraping massif et bots)
    • Attaques supply chain (dépendances npm / PyPI, compromission de scripts tiers)
    • Attaques ciblant les applications GenAI / LLM (prompt injection, data leakage)
  • Architecture moderne de protection applicative
    • De WAF à WAAP (Web Application & API Protection)
    • Positionnement des briques de sécurité (CDN, reverse proxy, WAAP, bot management)
    • Architectures modernes (cloud-native, microservices, serverless)
    • Protection au niveau edge
    • Gestion du TLS / termination
    • Introduction au Zero Trust pour les applications
  • Fonctionnement des moteurs WAAP / WAF modernes
    • Inspection HTTP / HTTPS
    • Protection basée sur les signatures, les règles OWASP CRS, les modèles comportementaux et la détection ML / anomaly detection
    • Différence entre signature-based detection et ML-driven detection
    • Introduction au virtual patching

Mises en pratique :

  • Exploitation d’une application vulnérable exposant une interface web, une API REST et une API GraphQL
  • Analyse d’architectures applicatives exposées
  • Conception d’une architecture sécurisée intégrant CDN, WAAP, protection API et bot management
  • Analyse du comportement d’un WAAP face à différentes attaques
  • Observation des alertes et classification des menaces

Jour 2 — Protection avancée des API, bots et applications modernes

  • Protection des API et services modernes
    • Pourquoi les API représentent aujourd’hui la majorité du trafic applicatif
    • Découverte et inventaire automatique des API
    • Protection des API REST
    • Protection GraphQL (introspection, depth limiting, complexity analysis)
    • Gestion de l’authentification et du contexte d’autorisation
    • Protection contre l’abus d’API
    • Protection des endpoints LLM / GenAI (prompt injection, data exfiltration)
  • Bot management et protection contre les abus
    • Typologie des bots malveillants
    • Credential stuffing et account takeover
    • Scraping massif et fraude
    • Méthodes de détection modernes (fingerprinting, comportement, machine learning)
    • Stratégies de mitigation (Rate limiting, challenges, blocage adaptatif)
  • Détection, logs et intégration sécurité
    • Analyse des logs WAAP
    • Identification des indicateurs d’attaque
    • Corrélation des événements
    • Intégration avec SIEM, XDR et Attack Surface Management
  • Tuning avancé et gestion des faux positifs
    • Déploiement progressif d’un WAAP
    • Gestion des faux positifs
    • Ajustement des règles
    • Auto-tuning et apprentissage comportemental
    • Modèle positive security (allow-list) pour API critiques
    • Gestion des virtual patching

Mises en pratique :

  • Sécurisation d’une API REST et GraphQL
  • Simulation d’abus d’API et mise en place de protections
  • Simulation d’attaques automatisées
  • Mise en place de règles anti-bots
  • Simulation d’attaques automatisées
  • Mise en place de règles anti-bots
  • Analyse d’un scénario d’attaque complet
  • Identification de la chaîne d’attaque dans les logs
  • Analyse de faux positifs
  • Ajustement des règles pour équilibrer sécurité et disponibilité

Télécharger le programme

FAQ

Nos formations sont éligibles à plusieurs dispositifs de financement, selon votre situation. Human Coders est certifié Qualiopi, ce qui permet la prise en charge par des organismes comme Pôle emploi, votre OPCO ou encore le CPF (Compte Personnel de Formation) pour certaines formations.

Pour en savoir plus, veuillez consulter notre page : Comment financer votre formation ?

Oui, la formation peut être proposée en présentiel ou en distanciel. Pour les inter-entreprises, les modalités (présentiel ou à distance) sont fonction de la session.

Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)

Les formations se déroulent toujours en petit groupe de 3 à 6 stagiaires. Nous souhaitons que les formateurs et formatrices puissent passer un maximum de temps avec chacun·e.

Voici une journée type :

  • 9h : vous êtes accueillis par votre formateur·rice autour d'un petit déjeuner (croissants, pains au chocolat, jus de fruit, thé ou café...)
  • 9h30 : la formation commence
  • 12h30 : pause de midi. Le·a formateur·rice mangera avec vous. C'est l'occasion d'avoir des discussions plus informelles.
  • 14h : reprise de la formation
  • 18h : fin de la journée

8 raisons de participer à une formation Human Coders

  • Satisfaction client élevée : Un taux de statisfaction de 4,6/5 depuis 2012 (sur 1812 sessions réalisées). 99% des participants se disent satisfaits de nos formations
  • Approche pédagogique unique : Des formations en petit groupe, des formateurs passionnés et expérimentés, de véritables workshops... (Plus d'infos sur notre manifeste)
  • Catalogue de formations complet : 228 formations au catalogue, de quoi vous accompagner sur tout vos projets
  • Écosystème dynamique : Nous accompagnons les dev depuis 14 ans avec des initiatives comme Human Coders News, les Human Talks, le podcast ou encore notre serveur Discord
  • Financement facilité : Organisme certifié Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
  • Références clients prestigieuses : De nombreux clients qui nous font confiance depuis des années
  • Accompagnement sur mesure : Nous vous proposons un accompagnement personnalisé par nos consultants pour vous aider dans vos projets au-delà de la formation
  • Valorisation professionnelle : Remise d'un diplôme, d'une attestation et d'une certification, suivant les formations effectuées, que vous pourrez afficher sur vos CV et réseaux sociaux

Prix (Formation inter-entreprise)

1500 € HT / personne

Durée

2 jours

Formation intra-entreprise en présentiel ou à distance pour plusieurs personnes de votre entreprise.

Il est possible de modifier le programme ou l'adapter pour vos équipes. Indiquez-le nous !

Durée

2 jours

Formation privatisée pour une personne

  • Nous adaptons le contenu à vos besoins et attentes spécifiques
  • Vous choisissez la période de réalisation (la session est garantie)
  • Le·a formateur·rice adapte les exercices en fonction de votre projet

Durée

2 jours

Besoin d'aide ?

Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?


Rappel Email

Nos forces

  • Des formations à taille humaine
  • Des formateurs passionnés
  • Des véritables workshop
Accéder au Manifeste

Nos clients

Orange
Société Générale (GBSU/HUM)
Alcatel Submarine Networks
CNRS
Ministère de la Justice
LBC France

* Nombre de personnes ayant répondu au questionnaire de satisfaction sur cette formation depuis 2012