SlideShare uma empresa Scribd logo

Développement sécurisé avec Microsoft.Net et HP Fortify

Transferir como PPTX, PDF
Microsoft
Microsoft

Intégration de la sécurité applicative dans le cycle de vie logiciel: maîtrise des risques et réduction des coûts HP Fortify Static Code Analyzer, plug-in Microsoft.Net pour la détection automatique et l’éradication à la source, les erreurs de codage qui pourraient donner lieu à des brèches de sécurité. Session présentée par le partenaire : HP. Speakers : Haleh Nematollahy (HP)

Tecnologia
1 de 15
HP Fortify Software Security Center et Microsoft VS .Net Haleh Nematollahy Security Solutions Architect HP Enterprise Security Products Fortify Sécurité
LES APPLICATIONS CIBLES CYBERATTAQUE Networks Hardware Applications Intellectual Security Measures Property • • • • • • • • • • #mstechdays Sécurité Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Business Anti-Virus/Anti-Spam Processes DLP Host FW Host IPS/IDS Trade Vuln. Assessment tools Secrets
LE PROBLEME 84% *Gartner, 2013 #mstechdays Sécurité des brèches sont au niveau de l’application
SECURITÉ LE DEFI Sécurisation des applications héritées In-house Development Certification Nouvelles Releases Validation Comformité Achat de logiciels Securisées Outsourced Open source Commercial #mstechdays Sécurité
L'APPROCHE ACTUELLE> RÉACTIVE, CHÈRE 2 Quelqu'un construit logiciel avec des failles In-house Outsourced Commercial IT déploie le mauvais logiciel 1 3 Open source $ $$ 4 convaincre et payer un développeur pour corriger #mstechdays Sécurité Nous nous faisons pirater ou nous payons quelqu'un pour nous dire que notre code est mauvais
FIXING THINGS LATE IS 30x more costly to secure in production FRUSTRATING Cost 30X 15X 10X 5X 2X Requirements • Coding Integration/ component testing System testing Production Une fois qu’une application est en production, le cout de remédiassions est 30x plus élevé . Source: NIST #mstechdays Sécurité
APPROCHE INTÉRIMAIRE> PLUS SÛR ET RENTABLE In-house Outsourced Commercial Mettre en œuvre des points de sécurité pour déterminer si le logiciel est résistant avant de déployer en production Open source 4 Surveiller et protéger les logiciels fonctionnant en production #mstechdays 2 1 Logiciels existants ou nouvellement créés 3 Travailler avec les Développeurs afin de localiser et de corriger les vulnérabilités Sécurité Good code
HP FORTIFY SOFTWARE SECURITY Trouver et corriger les problèmes de sécurité dans le CENTER Fortify les applications contre les attaques développement, • Économiser la sécurité, les audits et les pen tests IN-HOUSE COMMERCIAL #mstechdays OUTSOURCED OPEN SOURCE • Réduit les risques de logiciel avec un minimum d'effort et de coût • Protèger les applications contre les attaques en supprimant les failles de sécurité lors du développement Sécurité
Fortify Solutions Static Analysis Dynamic Analysis Runtime Analysis Actual Attacks Source Code Mgt System Static Analysis Via Build Integration Dynamic Testing In QA Or Production Real-Time Protection Of Running Application Vulnerability Management Normalization Remediation IDE Plug-ins for MS Visual Studio Application Lifecycle (Scoring, Guidance) Correlate Target Vulnerabilities With Common Guidance and Scoring Vulnerability Database Correlation Defects, Metrics And KPIs Used To Measure Risk (Static, Dynamic, Runtime) Developers (onshore or offshore) Threat Intelligence Rules Management Development, Project and Management Stakeholders Hackers
SOFTWARE SCANNING PROCESS Check in Code Scheduled Check-out, Code Repository Build and Scan Build / Scan on TFS MS VS Developers .fpr file Static Code Analysis (SCA) Repeat as Necessary Upload Scan Results Developer Fixes Bug / Security Finding Bug Tracking using MS TFS Submit Findings to Bug Tracker Fortify SSC #mstechdays Scan Fix Auditor Reviews Results Sécurité Auditor /Security
#mstechdays Sécurité Design/UX/UI
HP FORTIFY SOFTWARE SECURITY CENTER ET MS VS .NET • Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net • Réviser résultats dans VS 2013 • Fix SQLi, XSS dans VS 2013 • Scan/analyser avec Fortify SCA dans MS VS 2013 • Upload/télécharger les résultats sur Fortify Software Security Center • Démonstration de Software Security Center • Générer des Reports #mstechdays Sécurité Design/UX/UI
FIND, FIX AND FORTIFY HP Fortify Software Security Center 1 Find & Fix Trouver et corriger les problèmes de sécurité dans MS. Net développement 2 Fortify Fortifier les applications contre les attaques 3 Save Économiser le développement 4 Reduce Réduire le risque des applications #mstechdays Sécurité
Thank you Digital is business Merci Thank you

Recomendados

Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018African Cyber Security Summit
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...UNIDEES Algérie
 
Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?ATN Groupe
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINTelecomValley
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
PerfUG : présentation de Dynatrace APM
PerfUG : présentation de Dynatrace APMPerfUG : présentation de Dynatrace APM
PerfUG : présentation de Dynatrace APMAntonio Gomes Rodrigues
 

Recomendados

Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018African Cyber Security Summit
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...UNIDEES Algérie
 
Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?ATN Groupe
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINTelecomValley
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
PerfUG : présentation de Dynatrace APM
PerfUG : présentation de Dynatrace APMPerfUG : présentation de Dynatrace APM
PerfUG : présentation de Dynatrace APMAntonio Gomes Rodrigues
 
Building a high quality+ products with SCA
Building a high quality+ products with SCABuilding a high quality+ products with SCA
Building a high quality+ products with SCASuman Sourav
 
P O K1 Presentation1( D E)
P O K1 Presentation1( D E)P O K1 Presentation1( D E)
P O K1 Presentation1( D E)Kabbalah Centre
 
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenPersönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenRoberto Mazzoni
 
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENTSCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENTScholars Private Primary School
 
Auf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltAuf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltUnic
 
Plaquette certification
Plaquette certificationPlaquette certification
Plaquette certificationTalentoday
 
Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.MRVRI
 
Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12Kianne Paganini
 
Das iPad in der klinischen Anwendung
Das iPad in der klinischen AnwendungDas iPad in der klinischen Anwendung
Das iPad in der klinischen Anwendungaycandigital
 
ApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 FinalApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 FinalLPS Brasil - Consultoria de Imóveis S.A.
 
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Dr. Thierry Oscar Edoh
 
SEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after PenguinSEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after PenguinSaša Ebach
 
Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.Moritz Haarmann
 
Ground equipment
Ground equipmentGround equipment
Ground equipmentcarlosleonis
 
Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.Paulo Leitao
 
Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11Kianne Paganini
 
Unitymedia SoM Kompetenz
Unitymedia SoM KompetenzUnitymedia SoM Kompetenz
Unitymedia SoM KompetenzInteractive Marketing Group GmbH
 
A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)Gafisa RI !
 
Gründen - im mobilen Umfeld
Gründen - im mobilen UmfeldGründen - im mobilen Umfeld
Gründen - im mobilen UmfeldMoritz Haarmann
 
Apresentação Resultados 3T08
Apresentação Resultados 3T08Apresentação Resultados 3T08
Apresentação Resultados 3T08LPS Brasil - Consultoria de Imóveis S.A.
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM France Lab
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 

Mais conteúdo relacionado

Destaque

Building a high quality+ products with SCA
Building a high quality+ products with SCABuilding a high quality+ products with SCA
Building a high quality+ products with SCASuman Sourav
 
P O K1 Presentation1( D E)
P O K1 Presentation1( D E)P O K1 Presentation1( D E)
P O K1 Presentation1( D E)Kabbalah Centre
 
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenPersönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenRoberto Mazzoni
 
Auf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltAuf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltUnic
 
Plaquette certification
Plaquette certificationPlaquette certification
Plaquette certificationTalentoday
 
Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.MRVRI
 
Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12Kianne Paganini
 
Das iPad in der klinischen Anwendung
Das iPad in der klinischen AnwendungDas iPad in der klinischen Anwendung
Das iPad in der klinischen Anwendungaycandigital
 
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Dr. Thierry Oscar Edoh
 
SEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after PenguinSEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after PenguinSaša Ebach
 
Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.Moritz Haarmann
 
Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.Paulo Leitao
 
Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11Kianne Paganini
 
A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)Gafisa RI !
 
Gründen - im mobilen Umfeld
Gründen - im mobilen UmfeldGründen - im mobilen Umfeld
Gründen - im mobilen UmfeldMoritz Haarmann
 

Destaque (20)

Building a high quality+ products with SCA
Building a high quality+ products with SCABuilding a high quality+ products with SCA
Building a high quality+ products with SCA
 
P O K1 Presentation1( D E)
P O K1 Presentation1( D E)P O K1 Presentation1( D E)
P O K1 Presentation1( D E)
 
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenPersönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
 
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENTSCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
 
Auf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltAuf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der Versicherungswelt
 
Plaquette certification
Plaquette certificationPlaquette certification
Plaquette certification
 
Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.
 
Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12
 
Das iPad in der klinischen Anwendung
Das iPad in der klinischen AnwendungDas iPad in der klinischen Anwendung
Das iPad in der klinischen Anwendung
 
ApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 FinalApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 Final
 
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]
 
SEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after PenguinSEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after Penguin
 
Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.
 
Ground equipment
Ground equipmentGround equipment
Ground equipment
 
Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.
 
Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11
 
Unitymedia SoM Kompetenz
Unitymedia SoM KompetenzUnitymedia SoM Kompetenz
Unitymedia SoM Kompetenz
 
A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)
 
Gründen - im mobilen Umfeld
Gründen - im mobilen UmfeldGründen - im mobilen Umfeld
Gründen - im mobilen Umfeld
 
Apresentação Resultados 3T08
Apresentação Resultados 3T08Apresentação Resultados 3T08
Apresentação Resultados 3T08
 

Semelhante a Développement sécurisé avec Microsoft.Net et HP Fortify

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM France Lab
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for BusinessNRC
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Jérôme Boulon
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielleSylvain Leroy
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 

Semelhante a Développement sécurisé avec Microsoft.Net et HP Fortify (20)

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
 
Symantec Code Signing (FR)
Symantec Code Signing (FR)Symantec Code Signing (FR)
Symantec Code Signing (FR)
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielle
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
Dev ops Monitoring
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
 
Qualite1
Qualite1Qualite1
Qualite1
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 

Mais de Microsoft

Uwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuMicrosoft
 
La Blockchain pas à PaaS
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaSMicrosoft
 
Tester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileMicrosoft
 
Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Microsoft
 
Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Microsoft
 
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Microsoft
 
Créer un bot de A à Z
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à ZMicrosoft
 
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft
 
Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Microsoft
 
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Microsoft
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsMicrosoft
 
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Microsoft
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryMicrosoft
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Microsoft
 
Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Microsoft
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Microsoft
 
Introduction à ASP.NET Core
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET CoreMicrosoft
 
Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Microsoft
 
Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Microsoft
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursMicrosoft
 

Mais de Microsoft (20)

Uwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieu
 
La Blockchain pas à PaaS
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaS
 
Tester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobile
 
Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo
 
Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.
 
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
 
Créer un bot de A à Z
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à Z
 
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?
 
Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016
 
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
 
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
 
Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
 
Introduction à ASP.NET Core
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET Core
 
Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?
 
Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
 

Développement sécurisé avec Microsoft.Net et HP Fortify

  • 1.
  • 2. HP Fortify Software Security Center et Microsoft VS .Net Haleh Nematollahy Security Solutions Architect HP Enterprise Security Products Fortify Sécurité
  • 3. LES APPLICATIONS CIBLES CYBERATTAQUE Networks Hardware Applications Intellectual Security Measures Property • • • • • • • • • • #mstechdays Sécurité Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Business Anti-Virus/Anti-Spam Processes DLP Host FW Host IPS/IDS Trade Vuln. Assessment tools Secrets
  • 4. LE PROBLEME 84% *Gartner, 2013 #mstechdays Sécurité des brèches sont au niveau de l’application
  • 5. SECURITÉ LE DEFI Sécurisation des applications héritées In-house Development Certification Nouvelles Releases Validation Comformité Achat de logiciels Securisées Outsourced Open source Commercial #mstechdays Sécurité
  • 6. L'APPROCHE ACTUELLE> RÉACTIVE, CHÈRE 2 Quelqu'un construit logiciel avec des failles In-house Outsourced Commercial IT déploie le mauvais logiciel 1 3 Open source $ $$ 4 convaincre et payer un développeur pour corriger #mstechdays Sécurité Nous nous faisons pirater ou nous payons quelqu'un pour nous dire que notre code est mauvais
  • 7. FIXING THINGS LATE IS 30x more costly to secure in production FRUSTRATING Cost 30X 15X 10X 5X 2X Requirements • Coding Integration/ component testing System testing Production Une fois qu’une application est en production, le cout de remédiassions est 30x plus élevé . Source: NIST #mstechdays Sécurité
  • 8. APPROCHE INTÉRIMAIRE> PLUS SÛR ET RENTABLE In-house Outsourced Commercial Mettre en œuvre des points de sécurité pour déterminer si le logiciel est résistant avant de déployer en production Open source 4 Surveiller et protéger les logiciels fonctionnant en production #mstechdays 2 1 Logiciels existants ou nouvellement créés 3 Travailler avec les Développeurs afin de localiser et de corriger les vulnérabilités Sécurité Good code
  • 9. HP FORTIFY SOFTWARE SECURITY Trouver et corriger les problèmes de sécurité dans le CENTER Fortify les applications contre les attaques développement, • Économiser la sécurité, les audits et les pen tests IN-HOUSE COMMERCIAL #mstechdays OUTSOURCED OPEN SOURCE • Réduit les risques de logiciel avec un minimum d'effort et de coût • Protèger les applications contre les attaques en supprimant les failles de sécurité lors du développement Sécurité
  • 10. Fortify Solutions Static Analysis Dynamic Analysis Runtime Analysis Actual Attacks Source Code Mgt System Static Analysis Via Build Integration Dynamic Testing In QA Or Production Real-Time Protection Of Running Application Vulnerability Management Normalization Remediation IDE Plug-ins for MS Visual Studio Application Lifecycle (Scoring, Guidance) Correlate Target Vulnerabilities With Common Guidance and Scoring Vulnerability Database Correlation Defects, Metrics And KPIs Used To Measure Risk (Static, Dynamic, Runtime) Developers (onshore or offshore) Threat Intelligence Rules Management Development, Project and Management Stakeholders Hackers
  • 11. SOFTWARE SCANNING PROCESS Check in Code Scheduled Check-out, Code Repository Build and Scan Build / Scan on TFS MS VS Developers .fpr file Static Code Analysis (SCA) Repeat as Necessary Upload Scan Results Developer Fixes Bug / Security Finding Bug Tracking using MS TFS Submit Findings to Bug Tracker Fortify SSC #mstechdays Scan Fix Auditor Reviews Results Sécurité Auditor /Security
  • 13. HP FORTIFY SOFTWARE SECURITY CENTER ET MS VS .NET • Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net • Réviser résultats dans VS 2013 • Fix SQLi, XSS dans VS 2013 • Scan/analyser avec Fortify SCA dans MS VS 2013 • Upload/télécharger les résultats sur Fortify Software Security Center • Démonstration de Software Security Center • Générer des Reports #mstechdays Sécurité Design/UX/UI
  • 14. FIND, FIX AND FORTIFY HP Fortify Software Security Center 1 Find & Fix Trouver et corriger les problèmes de sécurité dans MS. Net développement 2 Fortify Fortifier les applications contre les attaques 3 Save Économiser le développement 4 Reduce Réduire le risque des applications #mstechdays Sécurité

Notas do Editor

  1. Hi, my name is [Name]. I work as a [Title/ Role] at HP, in the Enterprise Security Products business unit. Today, I’ll be talking about application security and why governments and modern enterprises need it. What is application security? Simply put, it is about ensuring that every single line of code is secure and every single software application– whether it is built for the desktop, cloud or mobile device— is safe from cyber attackers and hackers. The goal here is about eliminating exploitablesecurity risk in software at the application code level, making it immune to attack even if intruders get past perimeter defenses.
  2. As an industry we have become much more effective at protection at the network and operating systems level. From NIPS, AV and DLP, these security have served a purpose and continue to do so. However, the bad guys continue to innovate, infiltrate and attack. They are increasingly attacking the new ‘weakest link’….the applications. According to Gartner, 84% new of breaches take advantage of threat that are associated with the applications. A February 2013 Frost & Sullivan study released in Information Week stated that 69% of CISOs listed application security as their biggest threatThe are a number of reasons why applications are the new weakest link 3 key takeaways are:The proliferation of software apps. From legacy SW to mobile apps for your iPhone, security teams now have to try to keep up with fast application delivery. Not all applications are tested before launched.Security teams have not historically been responsible for software securityWhen you combine this with the increased leverage of attack tools like Zeus, or the favorite of Anonymous…..something different is going on and we need to pay attention to these changes if we are going to improve our success rate. The challenge then centers on applications and visibility into the risks…
  3. Fortify gives you advanced technologies to ensure your applications are secure. Fortify inspects applications at the source code level (static testing) and while they are running (dynamic testing). Fortify supports more languages than any other application security vendor with significant strengths in the area of mobile application security. But it’s not just built for custom applications, Fortify and determine if vulnerabilities exist in commercial, custom and open source activities. And even more differentiated, Fortify can be delivered as a software you purchase or as a service. With unmatched flexibility and depth of coverage, Fortify ensures you have a world class application security program in place.
  4. Fortify gives you advanced technologies to ensure your applications are secure. Fortify inspects applications at the source code level (static testing) and while they are running (dynamic testing). Fortify supports more languages than any other application security vendor with significant strengths in the area of mobile application security. But it’s not just built for custom applications, Fortify and determine if vulnerabilities exist in commercial, custom and open source activities. And even more differentiated, Fortify can be delivered as a software you purchase or as a service. With unmatched flexibility and depth of coverage, Fortify ensures you have a world class application security program in place.