Cet ouvrage sur l’approche DevSecOps est destiné à tout membre d’une équipe opérationnelle IT ou de développement qui souhaite intégrer la sécurité dans sa pratique quotidienne et disposer des bons outils pour sécuriser ses développements, à chaque étape du cycle de vie des services. L’auteur commence par expliquer en quoi l’implémentation de la sécurité transforme en profondeur le fonctionnement des équipes au sein d’une entreprise, notamment les équipes de développement, avant de présenter en détail les notions d’intégration continue et de déploiement continu (CI/CD).

En guise de mise en pratique, il propose au lecteur d’implémenter étape par étape son propre pipeline d’intégration continue en Python en utilisant Gitlab-CI. Deux chapitres présentent ensuite en quoi Docker et Kubernetes sont des outils incontournables dans une approche DevSecOps. Pour en détailler l’installation, la configuration et l’utilisation, l’auteur s’appuie sur plusieurs exemples : déploiement d’un site Wordpress avec Docker Compose, analyse de la sécurité des images Docker avec Dockle et Trivy, sécurisation d’un cluster Kubernetes avec Kube-Bench, Kube-Hunter et les CIS Benchmark, analyse de la sécurité des fichiers YAML décrivant les objets Kubernetes avec KubeLinter et Checkov.

Les vulnérabilités appréhendées dans ces exemples sont détaillées afin que vous puissiez les reconnaître et les corriger. Les notions importantes du domaine de la cybersécurité sont explicitées, notamment le vocabulaire associé et les différents types d’attaques en mettant l’accent sur le Denial of Service et le Brute Force, ainsi que les principaux composants de la cryptographie (chiffrement symétrique, asymétrique, algorithmes de hash, Rainbow Table, fonctionnement des PKI et des certificats digitaux).

Un chapitre explore la sécurité du développement et les bonnes pratiques à mettre en oeuvre autour du SDLC et du SSDLC avec le Threat Modeling et la publication d’une Secure Coding Checklist. L’auteur y détaille également les différents environnements à mettre à disposition des développeurs, ainsi que l’utilisation de l’outil WebGoat, pour créer un environnement de Pentest à partir duquel les trois premières catégories du TOP10 de l’OWASP seront étudiées.

Les bonnes pratiques liées à la gestion des évènements et à la supervision de la stack applicative sont parcourues. L’ouvrage se termine par la mise en oeuvre concrète de l’approche DevSecOps au sein d’une entreprise (définition des objectifs de sécurité, développement d’une culture de la cybersécurité, implémentation d’un dépôt certifié d’images et d’artefacts, gestion du versioning de manière sécurisée et sécurisation des serveurs web), ainsi que par une présentation des pratiques de SCA, SAST, DAST et de l’utilisation de Terraform en contexte sécurisé.

Ce livre décrit les techniques et la méthodologie utilisées par les professionnels de l’analyse de malwares (ou logiciels malveillants). Il s’adresse à des informaticiens passionnés de sécurité, à des professionnels dans le domaine de la sécurité informatique, qui souhaitent une approche opérationnelle et hautement technique. Les auteurs commencent par l’identification et la classification des malwares, ils décrivent ensuite les collectes rapportées par des investigations numériques légales (inforensiques) puis les analyse.

Ces collectes comportent des images disque, des journaux d’évènements, mais aussi des images mémoire. Les outils et techniques permettant d’analyser ces données sont décrits avec de nombreux exemples. Après avoir identifié le malware, il convient de l’analyser. Les auteurs expliquent le fonctionnement des outils de sandboxes et décrivent des formats de fichier comme les documents PDF, Microsoft Office ou encore les binaires Windows.

Afin de réaliser des analyses extrêmement techniques, le livre contient un chapitre entier sur le reverse engineering (ou rétro-ingénierie), les auteurs y expliquent les bases de l’assembleur (x86 et x64) et l’utilisation d’outils d’analyse statique tels que Ghidra et Rizin ou de debuggers tels que x64dbg et WinDBG. En complément sur ce sujet du reverse engineering, un chapitre explique les techniques d’obfuscation utilisées par les malwares, telles que l’obfuscation de chaînes de caractères ou l’utilisation de packers.

Les auteurs détaillent les techniques permettant de dépacker des binaires packés. Deux chapitres sont dédiés à l’analyse de malwares sous systèmes mobiles : le système d’exploitation Android de Google et celui d’Apple : iOS. La dernière partie de ce livre décrit la cyber threat intelligence et explique comment stocker les informations acquises durant des investigations mais aussi comment les partager pour améliorer sa connaissance et sa détection.

Le livre est illustré d’exemples d’analyses de véritables malwares et les techniques présentées ont toutes été validées sur des cas réels.

Ce livre apporte les éléments clés pour se repérer dans les différentes technologies utilisées dans les projets basés sur Spring. Il prend en compte les différences de configuration liées aux versions de Spring (en version 4. 3 et 5. 3 au moment de l’écriture) et se base sur des exemples concrets d’utilisation. Il permet au lecteur d’être très rapidement autonome sur un projet d’entreprise qui utilise Spring, que ce soit au début d’un nouveau projet ou pour maintenir un projet existant : compréhension du noyau, accès aux données, maîtrise de la couche web.

Des connaissances sur le développement Java et notamment le développement d’applications web sont un prérequis indispensable pour tirer le meilleur parti possible du livre. L’auteur présente tout d’abord les éléments simples et courants de Spring (la configuration, les contextes, les librairies tiers) et explique ensuite certains aspects plus complexes que l’on rencontre souvent dans les projets (Ressources, Bindeurs, Validateurs, Convertisseurs et Tests).

La programmation par aspects est expérimentée, les applications web Spring MVC et les Web Services sont détaillés avec les tests unitaires associés. L’auteur présente les nouveautés Spring Boot, Kotlin avec Angular, les applications orientées messages et Spring Batch, une introduction à Reactor et WebFlux et une description de la partie Spring d’un projet généré à partir de JHipster afin d’illustrer une mise en oeuvre très actuelle ainsi qu’une présentation sur l’utilisation de GraphQL avec Spring.

Tout au long des chapitres, l’auteur s’appuie sur des exemples fonctionnels afin de permettre l’expérimentation au plus tôt par le lecteur. Dans ce but, des éléments sont en téléchargement sur le site.

Ce livre s’adresse aux développeurs souhaitant monter en compétences sur le développement d’applications web, côté serveur, avec les technologies essentielles de la Jakarta EE. Des connaissances sur le langage Java sont un prérequis nécessaire à la bonne compréhension du livre. Tout au long des chapitres, l’auteur aide le lecteur à mettre en place des projets au travers de l’IDE Eclipse lui permettant d’explorer le fonctionnement des technologies décrites.

Le premier chapitre présente Jakarta EE, le protocole HTTP et l’environnement de développement utilisé (Java, Eclipse, Tomcat et MySQL). Les deux chapitres suivants présentent en détail les fondamentaux du développement web avec les servlets et les JSP ainsi que les technologies suivantes : les filtres, les événements, les sessions, les cookies, l’EL et les balises JSTL. Le quatrième chapitre traite de la persistance des données, un élément incontournable pour créer une application.

La première partie de ce chapitre détaille l’utilisation de l’API JDBC et la seconde partie montre la puissance d’un ORM en présentant la spécification JPA. à l’issue de ces quatre premiers chapitres, le lecteur est capable de créer ses premières applications web en Java. Pour aller encore plus loin dans la connaissance et la maîtrise des technologies Java liées au développement web, le cinquième chapitre présente la notion de Framework qui permet d’architecturer les applications et d’industrialiser le développement.

à ce titre, les bases du Framework JSF sont présentées. Les deux chapitres suivants sont dédiés à la mise en oeuvre de technologies complémentaires : les Services Web REST et les WebSockets. Enfin, le dernier chapitre s’attarde sur le déploiement d’une application sur Tomcat en traitant des sujets incontournables que sont la sécurité (l’authentification, l’autorisation, HTTPS) et la journalisation.

Un focus est aussi réalisé sur la mise en place du HTTP/2.

Ce livre a pour objectif de fournir au lecteur toutes les clés pour concevoir une base de données décisionnelle efficace, s’intégrant parfaitement à une solution OLAP et permettant également d’entrevoir des nouvelles possibilités dans la manipulation de la donnée. Il s’adresse à un public ayant déjà des connaissances en bases de données. La connaissance des progiciels décisionnels est un plus mais n’est pas indispensable.

L’auteur suit un fil conducteur pour la conception d’un modèle de données et répond aux questions que se posera naturellement le lecteur au fur et à mesure de l’avancement, notamment sur les contraintes inhérentes à un choix de modélisation, et lui permet de trouver les compromis entre la théorie et la réalité du terrain. A travers les premiers chapitres, le lecteur est invité à repenser et réorganiser la donnée technique autour d’une vision objet, la transformant ainsi en une véritable ressource.

Les chapitres qui suivent lui permettent de saisir et de mettre des noms sur les concepts de modélisation propres au décisionnel (dimension, cube, langage, modèle…). La suite du livre permet au lecteur de savoir identifier et formaliser un besoin pour réussir à le transposer dans cette architecture si spéciale mais si puissante. Enfin, le lecteur apprendra à enrichir et optimiser le modèle créé.

Comment intégrer les obligations du RGPD dans votre organisation, gérer vos données, concevoir vos parcours utilisateur et sécuriser vos données ? Ce guide vous donne les clés pour vous mettre en conformité et faire de la protection de la vie privée un avantage concurrentiel pour votre activité. En effet, le numérique doit être au service des citoyens ; son développement doit garantir l’identité humaine, les droits de l’homme, la vie privée et les libertés individuelles ou publiques.

Plus que jamais, c’est le respect d’un équilibre entre accompagnement de la transformation numérique et protection des droits des personnes qui permettra de relever les défis soulevés par la numérisation de notre environnement quotidien. Après avoir décrit le contexte de l’adoption de la nouvelle Loi Informatique et libertés et du RGPD et expliqué le concept d’Accountability, l’ouvrage s’intéresse à l’identification des traitements de données à caractère personnel (Chapitre 1) puis à déterminer comment le responsable de traitement doit s’assurer de la licéité des traitements (Chapitre 2), quels sont les outils dont il dispose pour sa ” compliance ” (Chapitre 3) et pour sécuriser les traitements (Chapitre 4) et les mesures de cybersécurité à mettre en place en cas de violations des données personnelles (Chapite5).

Cette troisième édition du guide est à jour de la réglementation sur la protection des données, il tient compte également des récentes positions doctrinales de la CNIL. Son objectif est d’aider les entreprises à faire de la loi Informatique et libertés, une opportunité, et non une contrainte, au service de l’innovation, de la confiance et de la croissance.

Les examens LPI 101 et LPI 102 sont les deux examens qui permettent d’obtenir la certification LPIC-1 “Certification Professionnelle Linux Administrateur”. Ce programme de certification du Linux Professional Institute est reconnu par les recruteurs qui voient dans cette certification un prérequis à l’embauche ou à l’accession à un poste d’administrateur. Les examens LPI 101 et 102 prouvent aux professionnels que vous maîtrisez les bases de l’administration système Linux quelle que soit la distribution : l’installation et la configuration complète d’un poste de travail ou d’un serveur (physique, virtuel ou sur le cloud) et de tous les services essentiels associés, tant systèmes que réseaux.

Cette nouvelle édition du livre tient compte des dernières nouveautés Linux. Pour vous aider à préparer efficacement cette certification, ce livre couvre tous les objectifs officiels de la dernière version de l’examen (révision 5), tant d’un point de vue théorique que d’un point de vue pratique. Il a été rédigé en français (il ne s’agit pas d’une traduction) par un formateur professionnel reconnu, Ingénieur Système et certifié Linux.

Ainsi, les savoir-faire pédagogique et technique de l’auteur conduisent à une approche claire et visuelle, d’un très haut niveau technique. Chapitre par chapitre, vous pourrez valider vos acquis théoriques, à l’aide d’un grand nombre de questions-réponses (524 au total) mettant en exergue aussi bien les éléments fondamentaux que les caractéristiques spécifiques aux concepts abordés. Chaque chapitre s’achevant par des travaux pratiques (46 au total) vous aurez les moyens de mesurer votre autonomie.

Ces manipulations concrètes, au-delà même des objectifs fixés par l’examen, vous permettront de vous forger une première expérience significative et d’acquérir de véritables compétences techniques sur des mises en situations réelles. A cette maîtrise du produit et des concepts, s’ajoute la préparation spécifique à la certification : sur le site www.edieni.com vous pourrez accéder gratuitement à 1 examen blanc en ligne, destiné à vous entraîner dans des conditions proches de celles de l’épreuve.

Sur ce site, chaque question posée s’inscrit dans l’esprit de la certification et, pour chacune, les réponses sont suffisamment commentées pour contrôler et identifier vos ultimes lacunes. A vous de juger quand vous serez prêt pour l’examen final !

Ces deux livres offrent au lecteur un maximum d’informations sur l’administration d’une base de données transactionnelle SQL Server 2012 et plus de 20 H de mise en pratique sous la forme de TP à réaliser (avec leurs corrigés). Ce premier livre propose une dizaine de flash codes (ou QR codes) pour accéder à des séquences vidéos destinées à enrichir certains passages. Il s’adresse à toute personne désireuse d’administrer une base de données transactionnelle (administrateur de base de données, développeur…).
Avec le second livre sur SQL Server 2012, le lecteur pourra s’entraîner sur les différentes opérations que peut être amené à réaliser un administrateur SQL Server 2012 et ainsi mieux comprendre le fonctionnement et le comportement de SQL Server 2012.

Ces deux livres offrent au lecteur un maximum d’informations sur l’utilisation et l’administration avancée d’un système Linux : 951 pages pour devenir Expert. Des éléments complémentaires sont en téléchargement sur www.editions-eni.fr. Un livre de la collection Ressources Informatiques Linux – Principes de base de l’utilisation du système [4e édition] Extrait du résumé : Ce livre sur GNU/Linux s’adresse à tout informaticien désireux de maîtriser les principes de base de ce système d’exploitation ou d’organiser et consolider des connaissances acquises sur le terrain. Il présente de façon détaillée les principes de base du système et décrit très précisément les commandes essentielles à la manipulation de la ligne de commande shell, en les illustrant de nombreux exemples… Les chapitres du livre : Avant-propos – Introduction – Connexion et premières commandes – Documentation – L’arborescence Linux – Manipulation de fichiers – édition de fichiers texte – Vi – Droits d’accès aux fichiers – Gestion des processus – Shell Bash – Programmation et scripts Bash – Gestion du compte utilisateur – Outils Linux – Configuration basique du système Un livre de la collection Expert IT Linux – Administration avancée – Maintenance et exploitation de vos serveurs Extrait du résumé : Ce livre s’adresse à un public de professionnels de l’informatique soucieux de consolider leurs connaissances de base sur le système d’exploitation Linux afin d’évoluer en compétences sur la maintenance et le support de ce système d’exploitation.
Les distributions Linux traitées dans le livre sont Debian 7, Ubuntu Server 12.04 LTS et CentOS 6.4. Il est néanmoins possible d’adapter les sujets du livre à d’autres distributions… Les chapitres du livre : Introduction – Dépannage : techniques et procédures – Architecture du système GNU/Linux – Noyau Linux – Modules – Pseudo-systèmes de fichiers – Dépannage matériel – Maintenance des disques – Séquence d’amorçage – Maintenance des applications – Maintenance de la configuration réseau – Sécurité – Analyse des performances