Enviar pesquisa
Carregar
Présentation au CRI-Ouest
•
0 gostou
•
637 visualizações
Sébastien GIORIA
Seguir
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 50
Baixar agora
Baixar para ler offline
Recomendados
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
Sébastien GIORIA
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
Sébastien GIORIA
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
Phonesec
2012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
OWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
Recomendados
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
Sébastien GIORIA
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
Sébastien GIORIA
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
Phonesec
2012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
OWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
Patrick Leclerc
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Gaudefroy Ariane
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
SonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
Patrick Leclerc
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Sebastien Gioria
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Vumetric
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
Sebastien Gioria
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
ConFoo
2011 03-09-cloud sgi
2011 03-09-cloud sgi
Sébastien GIORIA
Sécurité des applications Web
Sécurité des applications Web
Klee Group
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
Johan Moreau
Gérer son environnement de développement avec Docker
Gérer son environnement de développement avec Docker
Julien Dubois
Formation Axessit - Jurismus
Formation Axessit - Jurismus
LEXITY
Mais conteúdo relacionado
Mais procurados
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
Patrick Leclerc
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Gaudefroy Ariane
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
SonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
Patrick Leclerc
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Sebastien Gioria
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Vumetric
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
Sebastien Gioria
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
ConFoo
2011 03-09-cloud sgi
2011 03-09-cloud sgi
Sébastien GIORIA
Sécurité des applications Web
Sécurité des applications Web
Klee Group
Mais procurados
(19)
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
SonarQube et la Sécurité
SonarQube et la Sécurité
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
2011 03-09-cloud sgi
2011 03-09-cloud sgi
Sécurité des applications Web
Sécurité des applications Web
Destaque
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
Johan Moreau
Gérer son environnement de développement avec Docker
Gérer son environnement de développement avec Docker
Julien Dubois
Formation Axessit - Jurismus
Formation Axessit - Jurismus
LEXITY
Ressources pédagogiques en ligne
Ressources pédagogiques en ligne
XWiki
Conte du-pot-chinois
Conte du-pot-chinois
Mams De Zombiville
Poires
Poires
Comune di San Prospero
Anexo 7 guia de aprendizaje
Anexo 7 guia de aprendizaje
Vane Torres
Une solution de veille partagée et collaborative : le cas de l'AFP
Une solution de veille partagée et collaborative : le cas de l'AFP
XWiki
Lettre 2
Lettre 2
c.munoz23
La veille de Né Kid du 13.04.11 : Les Anonymous
La veille de Né Kid du 13.04.11 : Les Anonymous
Né Kid
Solution XWiki et implémentation
Solution XWiki et implémentation
XWiki
WEB 2.0
WEB 2.0
katidiana
Pourquoileshommesronflent
Pourquoileshommesronflent
Pedro Vieira
Marco Referencial
Marco Referencial
Carlos Ospina Mendieta
La Guerra
La Guerra
tuquiz
Marie Fait Du Sport
Marie Fait Du Sport
guestc28c1b
Guia 4to-P Progra-Aplic-2
Guia 4to-P Progra-Aplic-2
Ma Isabel Arriaga
Représentations du \"Handicap\"
Représentations du \"Handicap\"
Santesih
Somriure
Somriure
guest08b4f4
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Adequation
Destaque
(20)
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
Gérer son environnement de développement avec Docker
Gérer son environnement de développement avec Docker
Formation Axessit - Jurismus
Formation Axessit - Jurismus
Ressources pédagogiques en ligne
Ressources pédagogiques en ligne
Conte du-pot-chinois
Conte du-pot-chinois
Poires
Poires
Anexo 7 guia de aprendizaje
Anexo 7 guia de aprendizaje
Une solution de veille partagée et collaborative : le cas de l'AFP
Une solution de veille partagée et collaborative : le cas de l'AFP
Lettre 2
Lettre 2
La veille de Né Kid du 13.04.11 : Les Anonymous
La veille de Né Kid du 13.04.11 : Les Anonymous
Solution XWiki et implémentation
Solution XWiki et implémentation
WEB 2.0
WEB 2.0
Pourquoileshommesronflent
Pourquoileshommesronflent
Marco Referencial
Marco Referencial
La Guerra
La Guerra
Marie Fait Du Sport
Marie Fait Du Sport
Guia 4to-P Progra-Aplic-2
Guia 4to-P Progra-Aplic-2
Représentations du \"Handicap\"
Représentations du \"Handicap\"
Somriure
Somriure
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Semelhante a Présentation au CRI-Ouest
Cci octobre 2014
Cci octobre 2014
Jean-Robert Bos
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
Cyber Security Alliance
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
Microsoft
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
Sylvain Maret
E-Reputation & réseaux sociaux
E-Reputation & réseaux sociaux
Inter-Ligere
2010 03-11-sdlc-v02
2010 03-11-sdlc-v02
Sébastien GIORIA
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
polenumerique33
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Sylvain Cortes
SRI.pdf
SRI.pdf
TestTest449467
Owasp top-10-2013-french
Owasp top-10-2013-french
vangogue
Expose sur monit
Expose sur monit
WadAbdoul
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Jean-Baptiste Guerraz
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
Sébastien GIORIA
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3
Pascal Flamand
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft Technet France
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
ITrust - Cybersecurity as a Service
Semelhante a Présentation au CRI-Ouest
(20)
Cci octobre 2014
Cci octobre 2014
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
E-Reputation & réseaux sociaux
E-Reputation & réseaux sociaux
2010 03-11-sdlc-v02
2010 03-11-sdlc-v02
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
SRI.pdf
SRI.pdf
Owasp top-10-2013-french
Owasp top-10-2013-french
Expose sur monit
Expose sur monit
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
Mais de Sébastien GIORIA
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
2014 09-04-pj
2014 09-04-pj
Sébastien GIORIA
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
OWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
2013 04-04-html5-security-v2
2013 04-04-html5-security-v2
Sébastien GIORIA
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Sébastien GIORIA
Secure Coding for Java
Secure Coding for Java
Sébastien GIORIA
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
Sébastien GIORIA
2011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Sébastien GIORIA
Top10 risk in app sec
Top10 risk in app sec
Sébastien GIORIA
Top10 risk in app sec fr
Top10 risk in app sec fr
Sébastien GIORIA
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
Sébastien GIORIA
20100114 Waf V0.7
20100114 Waf V0.7
Sébastien GIORIA
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02
Sébastien GIORIA
Mais de Sébastien GIORIA
(16)
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-04-pj
2014 09-04-pj
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
OWASP, the life and the universe
OWASP, the life and the universe
2013 04-04-html5-security-v2
2013 04-04-html5-security-v2
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Secure Coding for Java
Secure Coding for Java
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
2011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Top10 risk in app sec
Top10 risk in app sec
Top10 risk in app sec fr
Top10 risk in app sec fr
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
20100114 Waf V0.7
20100114 Waf V0.7
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02
Présentation au CRI-Ouest
1.
Sécurité du Développement Web CRI’Ouest Nantes–
France 29 Novembre 2010 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation 29/11/2010 http://www.owasp.org © 2010 - S.Gioria
2.
Qui suis-je ? Consultant
Sécurité au sein du cabinet d’audit Président du CLUSIR Poitou-Charentes OWASP France Leader - Evangéliste OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager +13 ans d’expérience en Sécurité des Systèmes d’Information q Différents postes de manager SSI dans la banque, l’assurance et les télécoms q Expertise Technique ü PenTesting, Digital Forensics ü S-SDLC ü Gestion du risque, Architectures fonctionnelles, Audits ü Consulting et Formation en Réseaux et Sécurité q Twitter :@SPoint Domaines de prédilection : ü Web 4.2, WebServices, Insécurité du Web. q 29/11/2010 © 2010 - S.Gioria
3.
Votre site a été piraté OUI NON Votre
site va être piraté ;) OUI OK, mais alors ? NON Laissez moi vous remettre sur la bonne voie 29/11/2010 Votre site sera piraté © 2010 - S.Gioria
4.
Agenda Pourquoi ? 4 préjugés La
problématique Comment s’y prendre Et si ? Retour d’expérience Questions ? 29/11/2010 © 2010 - S.Gioria
5.
Faiblesse des Applications
Web % A$aques % Dépenses Applica1on Web 10 % 75 % 90 % 25 % Eléments Réseaux Etude du GARTNER 2003 75% des a4aques ciblent le niveau Applica=f 66% des applica=ons web sont vulnérables 29/11/2010 Etude du SANS (septembre 2009) h4p://www.sans.org/top-‐cyber-‐security-‐risks/ © 2010 - S.Gioria
6.
© IBM X-Force
2009 - Extrait du rapport 2009 29/11/2010 © 2010 - S.Gioria
7.
© IBM X-Force
2009 - Extrait du rapport 2009 29/11/2010 © 2010 - S.Gioria
8.
L’exposition a une
vulnérabilité 29/11/2010 © 2010 - S.Gioria
9.
Cout de la
correction d’une faille 29/11/2010 © 2010 - S.Gioria
10.
Agenda Pourquoi ? 4 préjugés La
problématique Comment s’y prendre Et si ? Retour d’expérience Questions ? 29/11/2010 © 2010 - S.Gioria
11.
Je suis protégé
contre les attaques, j’ai un firewall 29/11/2010 © 2010 - S.Gioria
12.
Mon site Web
est sécurisé puisque il est protégé par SSL 29/11/2010 © 2010 - S.Gioria
13.
Seuls des génies
de l’informatique savent exploiter les failles des applications Web Les outils sont de plus en plus simples d’emploi Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données. L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain. 29/11/2010 © 2010 - S.Gioria
14.
Une faille sur
une application interne n’est pas importante De part l’importance du web actuellement, cela peut être catastrophique. Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX) La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…. 29/11/2010 © 2010 - S.Gioria
15.
Agenda Pourquoi ? 4 préjugés La
problématique Comment s’y prendre Et si ? Retour d’expérience Questions ? 29/11/2010 © 2010 - S.Gioria
16.
Le problème Confidentialité Protéger les
données, les systèmes, les processus d’un accès non autorisé Intégrité Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle. Disponibilité Assurer que les données, systèmes et processus sont accessible au moment voulu 29/11/2010 © 2010 - S.Gioria
17.
Le problème Traçabilité Assurer le
cheminement de toute donnée, processus et la reconstruction des transactions « Privacy » Assurer que les données personnelles sont sous le contrôle de leur propriétaire Conformité Adhérer aux lois et réglementations Image de marque Ne pas se retrouver à la une du journal « Le Monde » suite à un incident 29/11/2010 © 2010 - S.Gioria
18.
La menace Les gouvernements
? Le concurrent La mafia Le chômeur… L’étudiant Le « script kiddies » Mon fils de 3 ans Capacité de protection Mais…… Personne ne nous piratera » « 29/11/2010 © 2010 - S.Gioria
19.
29/11/2010 © 2010 -
S.Gioria
20.
Agenda Pourquoi ? 4 préjugés La
problématique Comment s’y prendre Et si ? Retour d’expérience Questions ? 29/11/2010 © 2010 - S.Gioria
21.
Avant-propos… Personne n’a la
solution ! Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. Sinon les bulletins du CERTA seraient vides… Et surtout Oracle ne mentirait pas sur son surnom*… La plupart des méthodologies sont en version beta mais s’améliorent… *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… 29/11/2010 © 2010 - S.Gioria
22.
Que vous préconise-t-on
? EBIOS 2010/ISO 27005 ? CERT Secure Coding ? 29/11/2010 © 2010 - S.Gioria
23.
Que font Microsoft,
Apple, Sony, …. 29/11/2010 © 2010 - S.Gioria
24.
29/11/2010 © 2010 -
S.Gioria
25.
29/11/2010 © 2010 -
S.Gioria
26.
Des politiques –
OWASP ASVS Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! 29/11/2010 © 2010 - S.Gioria
27.
OWASP ASVS -
14 familles d’exigences V1. Architecture de sécurité V2. Authentification V3. Gestion de Sessions V4. Contrôle d'accès V5. Validations d'entrées V6. Encodage et échappement de sorties V7. Cryptographie V8. Gestion des erreurs et de la journalisation 29/11/2010 V9. Protection des données V10. Sécurité des communications V11. HTTP Sécurisé V12. Configuration de la sécurité V13. Recherche de codes malicieux V14. Sécurité interne © 2010 - S.Gioria
28.
29/11/2010 © 2010 -
S.Gioria
29.
Principes de développement KISS
: Keep it Short and Simple 8 étapes clés : Validation des entrées Validation des sorties Gestion des erreurs Authentification ET Autorisation Gestion des Sessions Sécurisation des communications Sécurisation du stockage Accès Sécurisé aux ressources 29/11/2010 © 2010 - S.Gioria
30.
KISS : Keep
it Short and Simple Suivre constamment les règles précédentes Ne pas « tenter » de mettre en place des parades aux attaques Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. 29/11/2010 © 2010 - S.Gioria
31.
Mettre en place
les Tests Qualité Ne pas parler de tests sécurité ! Définir des fiches tests simples, basées sur le Top10/TopX : Tests Tests Tests Tests d’attaques clients/image de marque (XSS) d’intégrité (SQL Injection, …) de conformité (SQL/LDAP/XML Injection) de configuration (SSL, interfaces d’administration) Ajouter des revues de code basées sur des checklists SANS/Top25 OWASP ASVS …. 29/11/2010 © 2010 - S.Gioria
32.
Appliquez la règle
du 80/20 http://www.owasp.org/index.php/Top_10 29/11/2010 © 2010 - S.Gioria
33.
Agenda Pourquoi ? 4 préjugés La
problématique Comment s’y prendre Et si ? Retour d’expérience Questions ? 29/11/2010 © 2010 - S.Gioria
34.
Et si vous
commenciez ? Il y a deux pas à franchir 1. Commencer 2. Utiliser les fameuses checklists Je commence à utiliser ces fameuses checklists 29/11/2010 © 2010 - S.Gioria
35.
Et pour aller
plus loin…. 1/2 Je configure mon outil de suivi de bogue § Ajout d’une catégorie “securité” et les éléments de suivi! Je met en place des tests sécurité Web § Automatisés si je n’ai pas le temps… § L’OWASP Top10 et l’OWASP Testing Guide sont un bon début. § L’OWASP ASVS est une avancée supplémentaire ! Je corrige tous les problèmes sécurité que je trouve ! Si vous n’êtes pas prêts à corriger, ne cherchez pas ! 29/11/2010 © 2010 - S.Gioria
36.
Et pour aller
plus loin…. Je forme et partage Développeurs, Architectes, …. § Classification des Menaces (WASC) http://projects.webappsec.org/Threat-Classification § OWASP Top10 (OWASP) http://www.owasp.org/index.php/Top_10 Je continue a améliorer mon cycle : § Security Development Lifecycle (Microsoft) http://blogs.msdn.com/sdl/ § Open Software Assurance Maturity Model (OWASP) http://www.opensamm.org/ § Building Security in Maturity Model (Cigital/Fortify) http://www.bsi-mm.com/ 29/11/2010 © 2010 - S.Gioria 2/2
37.
J’externalise… J’ajoute les points
de contrôles OWASP ASVS en amont… Cahier des charges Appels d’offres, …. Je sécurise ma relation avec un contrat de développement sécurisé http://www.owasp.org/index.php/ Category:OWASP_Legal_Project 29/11/2010 © 2010 - S.Gioria
38.
Mon informatique «
s’envole »… Les menaces restent les mêmes : Injections, XSS, CSRF, …. Mais quelque unes s’ajoutent : abus de ressources code malveillant perte de données vol ou détournement du service partage de la technologie 29/11/2010 © 2010 - S.Gioria
39.
Rappel ! 29/11/2010 © 2010
- S.Gioria
40.
Agenda Pourquoi ? 4 préjugés La
problématique Comment s’y prendre Et si ? Retour d’expérience Questions ? 29/11/2010 © 2010 - S.Gioria
41.
Le décor Société Française
d’environ 400 personnes Forte dépendance à l’informatique métier principal Beaucoup de compétences internes Peu d’externalisation Création d’un poste de RSSI Objectif de réduire le nombre de corrections sécurité Améliorer la crédibilité vis a vis des clients Tests de sécurité réguliers après mise en production de modules/applications 29/11/2010 © 2010 - S.Gioria
42.
Les étapes Etat des
lieux Relecture des différents audits passés pour établir le contexte et le niveau de maturité en sécurité : § En mode ‘pifométrique’ adapté de l’OpenSAMM ( http://www.OpenSamm.ORG) Approche de gestion des projets Visualisez les endroits ou il est possible d’entrer de la sécurité Déploiement Education Ajout progressif d’activités 29/11/2010 © 2010 - S.Gioria
43.
Le cycle et
l’ajout des points Fiche Besoin Métier Exp Besoin Business Spécifications fonctionnelles de sécurit Planning Exigences Business Conception Codage Test Deploiement Tests qualité métiers 29/11/2010 © 2010 - S.Gioria Production
44.
Les choix Projet nouveau
et stratégique Délais très courts Exigences de sécurité élevée Définir des exigences fonctionnelles et politiques de sécurité associées Utilisation des documents internes de code pour les développeurs 29/11/2010 © 2010 - S.Gioria
45.
Les murs franchis L’ajout
de la sécurité dès l’initiation du cycle projet La focalisation des tests intrusifs sur des tests complexes et utiles La mise en place d’un framework d’entreprise sécurisé La sensibilisation de tous les acteurs sur la sécurité © 2010 - S.Gioria 29/11/2010
46.
Les fausses routes Parler
de tests sécurité en fin de cycle… => Rejet de la part des équipes de tests Vouloir présenter au top management rapidement le processus pour validation… => Incapacité à négocier un budget Imposer des outils/frameworks aux développeurs => Incapacité à les intégrer correctement 29/11/2010 © 2010 - S.Gioria
47.
Le bilan final
du projet Augmentation du cout unitaire du projet de plus de 30 % ! Mais centré sur le processus + framework ROI attendu rapidement Meilleur intégration des équipes et des compétences. Moins de ségrégation architectes/ développeurs/MOA 29/11/2010 © 2010 - S.Gioria
48.
Et aujourd’hui (9
mois plus tard…) ? Toujours des tests de sécurité en production, mais réduits de 50%. Une prise de conscience progressive des personnes en amont(commerciaux). Une bonne implication du management Des tests sécurité externes de meilleure qualité Une légère augmentation dans le cycle projet (5%) 29/11/2010 © 2010 - S.Gioria
49.
Rejoignez nous ! 29/11/2010 ©
2010 - S.Gioria
50.
Paris – Fin
Avril/Début Mai 2011 Cette formation, gratuite pour les membres de l'OWASP, payante (au prix d'une adhésion personnelle de la personne suivant le training) pour les autres, aura lieu dans Paris Intra-Muros sur une journée. Au cours de cette formation, des experts vous présenteront les différents guides/outils disponibles et pourront échanger avec vous. Les présentations étant des présentations de l'ordre de 30mn à 1h par guide/ outil.... 29/11/2010 © 2010 - S.Gioria
Baixar agora