Web Application Security
Certification européenne en sécurité applicative web : maîtrisez l'OWASP Top 10, les techniques d'exploitation et les stratégies de défense pour sécuriser vos applications.
Key skills
- ✓Identifier et corriger les vulnérabilités OWASP Top 10
- ✓Implémenter des mécanismes d'authentification et d'autorisation sécurisés
- ✓Réaliser des tests de sécurité applicatifs (SAST, DAST, pentesting)
- ✓Concevoir des architectures web résilientes aux attaques
Market equivalents
This PROVA certification covers the competency scope expected by the following certifications:
Is this right for you?
✓ This certification is right for you if:
- →Développeurs full-stack intégrant la sécurité dans leurs pratiques
- →Ingénieurs sécurité spécialisés en applicatif et pentesting web
- →DevSecOps automatisant les contrôles de sécurité dans les pipelines
✗ This certification is not suitable if:
- →Débutants sans expérience en développement web → orientez-vous vers une formation fondamentale en développement avant cette certification
- →Experts en sécurité offensive avancée → considérez plutôt notre certification Master 801 en Offensive Security (à venir)
Prerequisites & eligibility
Expérience professionnelle de 12 mois minimum en développement web ou sécurité informatique.
Purchase options
Exam voucher, LMS pathway, bundle packs — build your order
Options d'achat
Composez votre parcours — voucher d'examen, préparation LMS, packs entreprise.
Skills assessed
Détection de vulnérabilités
Maîtrise de l'identification et de l'exploitation des failles OWASP Top 10 dans les applications web modernes.
Défense en profondeur
Conception et implémentation de stratégies de sécurité multicouches pour applications critiques.
Tests de sécurité
Utilisation d'outils professionnels (Burp Suite, OWASP ZAP, SonarQube) pour auditer les applications web.
Conformité RGPD
Application des principes de privacy by design et sécurisation des données personnelles dans les applications.
Exam format
Curriculum
Fondamentaux de la sécurité web
Architecture de sécurité web : modèle de menaces OWASP, méthodologie STRIDE, principes de défense en profondeur. Cycle de vie de développement sécurisé (SDL, S-SDLC). Threat modeling et analyse de risques applicatifs. Standards et référentiels : OWASP ASVS, NIST, ISO 27034. Environnements de test et laboratoires sécurisés.
Vulnérabilités d'injection et manipulation de données
SQL injection : types (in-band, blind, time-based), exploitation, bypass de WAF, prévention (prepared statements, ORM). NoSQL injection (MongoDB, Redis). Cross-Site Scripting : reflected, stored, DOM-based, mutation XSS, bypass de filtres. XML External Entity (XXE) : exploitation et prévention. LDAP injection, command injection, OS command injection. Server-Side Template Injection (SSTI). Validation et sanitisation des entrées.
Authentification, sessions et contrôle d'accès
Broken authentication : attaques par force brute, credential stuffing, session fixation, session hijacking. Gestion sécurisée des sessions : cookies, tokens, HttpOnly, Secure, SameSite. JSON Web Tokens (JWT) : structure, validation, attaques (algorithm confusion, weak secret). OAuth 2.0 et OpenID Connect : flows, sécurisation. Authentification multifacteur (MFA/2FA). Broken access control : IDOR, privilege escalation, path traversal. Modèles RBAC, ABAC, ReBAC.
Sécurité des données et cryptographie
Chiffrement symétrique et asymétrique : AES, RSA, algorithmes recommandés. Hashing sécurisé : bcrypt, Argon2, PBKDF2, éviter MD5/SHA1. Gestion des secrets : vaults (HashiCorp Vault, AWS Secrets Manager), rotation des clés. TLS/SSL : configuration sécurisée, certificate pinning, HSTS. Protection des données sensibles : masquage, tokenisation, anonymisation. Conformité RGPD : privacy by design, minimisation, chiffrement des données personnelles.
Sécurité des APIs et architectures modernes
How to fund your certification
3 options to cover the cost of your certification
OPCO — Employer funding
Ask your employer to cover the cost through your OPCO (employee training plan).
Personal — €450 incl. VAT
Secure online payment by credit card (Stripe).
Business rate: €585 excl. VAT
Frequently asked questions
Cette certification remplace-t-elle les certifications américaines comme CEH ou OSCP ?
Non, le périmètre est différent. PROVA Web Application Security est focalisée sur la sécurité applicative et le développement sécurisé, là où CEH couvre le pentesting généraliste et OSCP l'exploitation avancée de systèmes. Notre approche est plus pragmatique et alignée sur les besoins réels des équipes de développement européennes, avec une forte orientation RGPD et conformité européenne.
Quels outils dois-je maîtriser pour passer l'examen ?
L'examen évalue votre compréhension des concepts et méthodologies, pas la maîtrise d'outils spécifiques. Cependant, une familiarité avec Burp Suite Community, OWASP ZAP, et les DevTools des navigateurs est fortement recommandée. Les cas pratiques utilisent des interfaces standardisées accessibles à tous.
L'examen contient-il des labs pratiques en direct ?
Les cas pratiques sont des scénarios interactifs basés sur des captures d'écran, logs et code source à analyser. Vous devrez identifier des vulnérabilités, proposer des exploits et recommander des corrections. Aucun environnement de lab en direct n'est requis pendant l'examen.
Cette certification est-elle reconnue par les RSSI européens ?
PROVA est en cours de reconnaissance par les principales associations de sécurité européennes (CLUSIF, OSSIR, ISSA Europe). Notre alignement EQF niveau 6 garantit une équivalence avec un niveau Bac+3/4 en sécurité applicative, ce qui facilite la reconnaissance par les services RH et les RSSI soucieux de souveraineté européenne.
Puis-je passer l'examen en anglais ?
They got certified
« Excellente certification pour passer du dev classique au dev sécurisé. Les cas pratiques sont réalistes et m'ont permis d'identifier des failles dans nos propres applications. Bien plus pragmatique que les certifs américaines que j'ai pu croiser. »
« Le rapport PROVA DNA est un vrai plus : il détaille précisément mes points forts et axes d'amélioration. J'ai pu structurer mon plan de formation continue grâce à cette analyse. La reconnaissance européenne est un atout pour mon évolution. »
« Nous encourageons nos développeurs à passer cette certification. Le niveau est sérieux, l'alignement RGPD est pertinent, et le fait que ce soit européen facilite la reconnaissance auprès de nos clients institutionnels. Enfin une alternative crédible. »
International recognition
Couvre des domaines similaires à CompTIA Security+ (volet applicatif), CEH (module web) et GIAC GWEB, avec une approche européenne renforcée sur RGPD et conformité.
CompTIA, CEH et GIAC sont des marques déposées de leurs propriétaires respectifs. PROVA est une organisation indépendante et non affiliée à ces entités.
Your certification pathway
Before, during, after — the recommended progression
Droits du candidat
Transparence
Les critères de décision et le barème sont documentés et accessibles avant l'examen.
Droit d'appel
Toute décision peut être contestée dans les 30 jours. Examen par un tiers indépendant.
Plainte
Toute personne peut signaler un dysfonctionnement. Formulaire public accessible sans compte.