Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.

Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.

Dans un premier temps, l’étudiant doit comprendre le mécanisme des attaques.

Dans un deuxième temps, l’objectif est de réaliser des défis à travers des manipulations pratiques.

Cette huitième activité concerne les problématiques liées aux falsifications de requêtes côté serveur(SSRF – Server Side Request Forgery). Cette vulnérabilité a fait son entrée en 10ème position dans le dernier classement OWASP.

Ce Côté labo a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web. Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP.
Dans un premier temps, l'étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette septième activité concerne les problématiques liées à l’absence ou à la mauvaise configuration des protocoles de chiffrement. Cette vulnérabilité est en deuxième position dans le dernier classement du top 10 du groupe OWASP.

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.
Cette sixième activité concerne l’inclusion de fichiers locaux et distants. Cette faille arrive en 5ième position dans le classement OWASP 2017.

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.
Cette cinquième activité traite des vulnérabilités de type XXE (XML External Entities). Cette faille arrive en 5ᵉ position dans le classement OWASP 2021.

Fiches pratiques de travaux en laboratoire permettant d’exploiter la distribution Kali Linux dans le cadre du bloc 3 sur la cybersécurité.

Une fiche est commune aux deux options puis chaque option dispose de deux fiches spécifiques.

Principes didactiques retenus pour le scénario

Le référentiel du BTS SIO est désormais organisé en blocs de compétences afin de suivre les préconisations de la loi n° 2014-288 du 5 mars 2014 sur la formation professionnelle réaffirmées par la loi pour la liberté de choisir son avenir professionnel de 2018. Ainsi, à chaque bloc de compétences professionnel correspond une finalité métier et des compétences évaluées dans une seule épreuve. Il est ainsi possible pour un étudiant de choisir de se former à une ou plusieurs finalités métier constitutives du diplôme.

Afin de donner du sens aux apprentissages, les étudiants doivent se sentir en situation de prendre en charge des missions significatives du métier préparé. La stratégie adoptée ici consiste à leur proposer un scénario pédagogique qui les place dans un contexte professionnel où les compétences du référentiel vont être sollicitées. Dans leur « entreprise d’apprentissage », ils ont ainsi le rôle de collaborateurs en charge de la cybersécurité des services informatiques.

Structure du scénario pédagogique

La compétence globale « Assurer la cybersécurité d’une solution applicative et de son développement » est composée de plusieurs séquences, elles-mêmes composées de séances.

Une séquence permet d’accomplir une mission pour le compte d’une organisation cliente.  L’accomplissement de cette mission permet de travailler une ou plusieurs des compétences détaillées en mobilisant les savoirs associés. Des prérequis et des transversalités peuvent être précisés pour pouvoir suivre la séquence et faire des liens avec d’autres séquences. Une séquence est composée de séances.
 
Une séance correspond à un travail précis à réaliser, les ressources données ou à rechercher ainsi que les résultats attendus sont précisés. La réalisation de l’ensemble des tâches permet d’accomplir la mission confiée par l’organisation prestataire pour le compte d’une organisation cliente.

Ce Côté labo a pour objectif d’exploiter la plateforme d’apprentissage Mutillidae du groupe OWASP (OpenWeb Application Security Project) afin de se familiariser avec les principales vulnérabilités des applications Web.
Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l’OWASP.
Dans un premier temps, l’étudiant doit réaliser les attaques associées à chaque vulnérabilité.
Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.

Cette troisième activité traite des vulnérabilités de type XSS (Cross Site Scripting). Cette faille arrive en 7ième position dans le classement OWASP 2017.

Le CNED a commandé la rédaction de nouveaux cours pour le BTS SIO rénové. A cette fin, des scénarios pédagogiques ont été conçus pour ces étudiants qui travaillent à distance. Avec l’accord du CNED, ces scénarios sont publiés ici pour la communauté des professeurs concernés qui pourront en faire librement l’usage qu’ils souhaitent.


Principes didactiques retenus pour les scénarios

Le référentiel du BTS SIO est désormais organisé en blocs de compétences afin de suivre les préconisations de la loi n° 2014-288 du 5 mars 2014 sur la formation professionnelle réaffirmées par la loi pour la liberté de choisir son avenir professionnel de 2018. Ainsi, à chaque bloc de compétences professionnel correspond une finalité métier et des compétences évaluées dans une seule épreuve. Il est ainsi possible pour un étudiant de choisir de se former à une ou plusieurs finalités métier constitutives du diplôme.

Afin de donner du sens aux apprentissages, les étudiants doivent se sentir en situation de prendre en charge des missions significatives du métier préparé. La stratégie adoptée ici consiste à leur proposer un scénario pédagogique qui les place dans un contexte professionnel où les compétences du référentiel vont être sollicitées.
Dans leur « entreprise d’apprentissage », ils ont ainsi le rôle de collaborateurs en charge de missions de support et de la mise à disposition de services informatiques (bloc 1), ou bien d’administration des systèmes et des réseaux (bloc 2 SISR), ou bien de la conception et du développement d’applications (bloc 2 SLAM), ou bien de la cybersécurité des services informatiques (bloc3 SISR ou SLAM).

Les savoirs technologiques, économiques, juridiques et managériaux sont apportés au gré des besoins, en complément du scénario pédagogique d’apprentissage. Des fiches expliquant les savoirs et l’utilisation des outils peuvent être consultées avant et pendant la prise en charge d’une mission confiée dans le scénario pédagogique.
 
Les ateliers de professionnalisation permettent de renforcer l’acquisition des compétences en invitant les étudiants à réaliser des projets, idéalement en équipe, en s’organisant de façon à solliciter les compétences transversales liées au travail collaboratif. Ces projets sollicitent explicitement les compétences à faire valoir dans chacune des épreuves professionnelles associées à un bloc de compétences.


Structure des scénarios pédagogiques

La structure proposée pour chaque scénario pédagogique reprend les termes du référentiel du diplôme : blocs de compétences, compétences globales et détaillées, indicateurs de performance, savoirs technologiques, économiques, juridiques et managériaux associés.

Chaque compétence globale d’un bloc du référentiel est associée à un thème composé d’une ou plusieurs séquences, elles-mêmes composées de séances.

Une séquence permet d’accomplir une mission pour le compte d’une organisation cliente.  L’accomplissement de cette mission permet de travailler une ou plusieurs des compétences détaillées en mobilisant les savoirs associés. Des prérequis et des transversalités peuvent être précisés pour pouvoir suivre la séquence et faire des liens avec d’autres séquences. Une séquence est composée de séances.
 
Une séance correspond à un travail précis à réaliser, les ressources données ou à rechercher ainsi que les résultats attendus sont précisés. La réalisation de l’ensemble des tâches permet d’accomplir la mission confiée par l’organisation prestataire pour le compte d’une organisation cliente.