SlideShare uma empresa Scribd logo

Présentation au CRI-Ouest

Sébastien GIORIA
Sébastien GIORIA
Tecnologia
1 de 50
Baixar para ler offline
Sécurité du Développement Web CRI’Ouest Nantes– France 29 Novembre 2010 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation 29/11/2010 http://www.owasp.org © 2010 - S.Gioria
Qui suis-je ? Consultant Sécurité au sein du cabinet d’audit Président du CLUSIR Poitou-Charentes OWASP France Leader - Evangéliste OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager +13 ans d’expérience en Sécurité des Systèmes d’Information q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms q  Expertise Technique ü  PenTesting, Digital Forensics ü  S-SDLC ü  Gestion du risque, Architectures fonctionnelles, Audits ü  Consulting et Formation en Réseaux et Sécurité q  Twitter :@SPoint Domaines de prédilection : ü  Web 4.2, WebServices, Insécurité du Web. q  29/11/2010 © 2010 - S.Gioria
Votre site a été piraté OUI NON Votre site va être piraté ;) OUI OK, mais alors ? NON Laissez moi vous remettre sur la bonne voie 29/11/2010 Votre site sera piraté © 2010 - S.Gioria
Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
Faiblesse des Applications Web %  A$aques   %  Dépenses   Applica1on  Web   10 % 75 % 90 % 25 % Eléments  Réseaux   Etude  du  GARTNER  2003   75%  des  a4aques  ciblent  le  niveau  Applica=f   66%  des    applica=ons  web  sont  vulnérables     29/11/2010 Etude  du  SANS  (septembre  2009)   h4p://www.sans.org/top-­‐cyber-­‐security-­‐risks/   © 2010 - S.Gioria
© IBM X-Force 2009 - Extrait du rapport 2009 29/11/2010 © 2010 - S.Gioria
© IBM X-Force 2009 - Extrait du rapport 2009 29/11/2010 © 2010 - S.Gioria
L’exposition a une vulnérabilité 29/11/2010 © 2010 - S.Gioria
Cout de la correction d’une faille 29/11/2010 © 2010 - S.Gioria
Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
Je suis protégé contre les attaques, j’ai un firewall 29/11/2010 © 2010 - S.Gioria
Mon site Web est sécurisé puisque il est protégé par SSL 29/11/2010 © 2010 - S.Gioria
Seuls des génies de l’informatique savent exploiter les failles des applications Web  Les outils sont de plus en plus simples d’emploi  Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.  L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain. 29/11/2010 © 2010 - S.Gioria
Une faille sur une application interne n’est pas importante  De part l’importance du web actuellement, cela peut être catastrophique.  Nombre de navigateurs permettant la création d’onglets :  Ils partagent tous la même politique de sécurité  Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX)  La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…. 29/11/2010 © 2010 - S.Gioria
Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
Le problème  Confidentialité  Protéger les données, les systèmes, les processus d’un accès non autorisé  Intégrité  Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle.  Disponibilité  Assurer que les données, systèmes et processus sont accessible au moment voulu 29/11/2010 © 2010 - S.Gioria
Le problème  Traçabilité  Assurer le cheminement de toute donnée, processus et la reconstruction des transactions  « Privacy »  Assurer que les données personnelles sont sous le contrôle de leur propriétaire  Conformité  Adhérer aux lois et réglementations  Image de marque  Ne pas se retrouver à la une du journal « Le Monde » suite à un incident 29/11/2010 © 2010 - S.Gioria
La menace  Les gouvernements ?  Le concurrent  La mafia  Le chômeur…  L’étudiant  Le « script kiddies »  Mon fils de 3 ans Capacité de protection Mais…… Personne ne nous piratera » « 29/11/2010 © 2010 - S.Gioria
29/11/2010 © 2010 - S.Gioria
Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
Avant-propos…  Personne n’a la solution !  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois.  Sinon les bulletins du CERTA seraient vides…  Et surtout Oracle ne mentirait pas sur son surnom*…  La plupart des méthodologies sont en version beta mais s’améliorent… *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… 29/11/2010 © 2010 - S.Gioria
Que vous préconise-t-on ? EBIOS 2010/ISO 27005 ? CERT Secure Coding ? 29/11/2010 © 2010 - S.Gioria
Que font Microsoft, Apple, Sony, …. 29/11/2010 © 2010 - S.Gioria
29/11/2010 © 2010 - S.Gioria
29/11/2010 © 2010 - S.Gioria
Des politiques – OWASP ASVS   Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements   Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.   Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code   Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! 29/11/2010 © 2010 - S.Gioria
OWASP ASVS - 14 familles d’exigences  V1. Architecture de sécurité  V2. Authentification  V3. Gestion de Sessions  V4. Contrôle d'accès  V5. Validations d'entrées  V6. Encodage et échappement de sorties   V7. Cryptographie  V8. Gestion des erreurs et de la journalisation 29/11/2010  V9. Protection des données  V10. Sécurité des communications  V11. HTTP Sécurisé  V12. Configuration de la sécurité  V13. Recherche de codes malicieux  V14. Sécurité interne © 2010 - S.Gioria
29/11/2010 © 2010 - S.Gioria
Principes de développement KISS : Keep it Short and Simple  8 étapes clés :  Validation des entrées  Validation des sorties  Gestion des erreurs  Authentification ET Autorisation  Gestion des Sessions  Sécurisation des communications  Sécurisation du stockage  Accès Sécurisé aux ressources 29/11/2010 © 2010 - S.Gioria
KISS : Keep it Short and Simple  Suivre constamment les règles précédentes  Ne pas « tenter » de mettre en place des parades aux attaques  Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour  Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. 29/11/2010 © 2010 - S.Gioria
Mettre en place les Tests Qualité  Ne pas parler de tests sécurité !  Définir des fiches tests simples, basées sur le Top10/TopX :  Tests  Tests  Tests  Tests d’attaques clients/image de marque (XSS) d’intégrité (SQL Injection, …) de conformité (SQL/LDAP/XML Injection) de configuration (SSL, interfaces d’administration)  Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  …. 29/11/2010 © 2010 - S.Gioria
Appliquez la règle du 80/20 http://www.owasp.org/index.php/Top_10 29/11/2010 © 2010 - S.Gioria
Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
Et si vous commenciez ?  Il y a deux pas à franchir 1.  Commencer 2.  Utiliser les fameuses checklists Je commence à utiliser ces fameuses checklists 29/11/2010 © 2010 - S.Gioria
Et pour aller plus loin…. 1/2  Je configure mon outil de suivi de bogue §  Ajout d’une catégorie “securité” et les éléments de suivi!  Je met en place des tests sécurité Web §  Automatisés si je n’ai pas le temps… §  L’OWASP Top10 et l’OWASP Testing Guide sont un bon début. §  L’OWASP ASVS est une avancée supplémentaire !  Je corrige tous les problèmes sécurité que je trouve !  Si vous n’êtes pas prêts à corriger, ne cherchez pas ! 29/11/2010 © 2010 - S.Gioria
Et pour aller plus loin….  Je forme et partage  Développeurs, Architectes, …. §  Classification des Menaces (WASC) http://projects.webappsec.org/Threat-Classification §  OWASP Top10 (OWASP) http://www.owasp.org/index.php/Top_10  Je continue a améliorer mon cycle : §  Security Development Lifecycle (Microsoft) http://blogs.msdn.com/sdl/ §  Open Software Assurance Maturity Model (OWASP) http://www.opensamm.org/ §  Building Security in Maturity Model (Cigital/Fortify) http://www.bsi-mm.com/ 29/11/2010 © 2010 - S.Gioria 2/2
J’externalise…  J’ajoute les points de contrôles OWASP ASVS en amont…  Cahier des charges  Appels d’offres,  ….  Je sécurise ma relation avec un contrat de développement sécurisé  http://www.owasp.org/index.php/ Category:OWASP_Legal_Project 29/11/2010 © 2010 - S.Gioria
Mon informatique « s’envole »…  Les menaces restent les mêmes :  Injections, XSS, CSRF, ….  Mais quelque unes s’ajoutent :  abus de ressources  code malveillant  perte de données  vol ou détournement du service  partage de la technologie 29/11/2010 © 2010 - S.Gioria
Rappel ! 29/11/2010 © 2010 - S.Gioria
Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
Le décor  Société Française d’environ 400 personnes  Forte dépendance à l’informatique  métier principal  Beaucoup de compétences internes  Peu d’externalisation  Création d’un poste de RSSI  Objectif de réduire le nombre de corrections sécurité  Améliorer la crédibilité vis a vis des clients  Tests de sécurité réguliers après mise en production de modules/applications 29/11/2010 © 2010 - S.Gioria
Les étapes  Etat des lieux  Relecture des différents audits passés pour établir le contexte et le niveau de maturité en sécurité : §  En mode ‘pifométrique’ adapté de l’OpenSAMM ( http://www.OpenSamm.ORG)  Approche de gestion des projets  Visualisez les endroits ou il est possible d’entrer de la sécurité  Déploiement  Education  Ajout progressif d’activités 29/11/2010 © 2010 - S.Gioria
Le cycle et l’ajout des points Fiche Besoin Métier Exp Besoin Business Spécifications fonctionnelles de sécurit Planning Exigences Business Conception Codage Test Deploiement Tests qualité métiers 29/11/2010 © 2010 - S.Gioria Production
Les choix  Projet nouveau et stratégique  Délais très courts  Exigences de sécurité élevée  Définir des exigences fonctionnelles et politiques de sécurité associées  Utilisation des documents internes de code pour les développeurs 29/11/2010 © 2010 - S.Gioria
Les murs franchis  L’ajout de la sécurité dès l’initiation du cycle projet  La focalisation des tests intrusifs sur des tests complexes et utiles  La mise en place d’un framework d’entreprise sécurisé  La sensibilisation de tous les acteurs sur la sécurité © 2010 - S.Gioria 29/11/2010
Les fausses routes  Parler de tests sécurité en fin de cycle… => Rejet de la part des équipes de tests  Vouloir présenter au top management rapidement le processus pour validation… => Incapacité à négocier un budget  Imposer des outils/frameworks aux développeurs => Incapacité à les intégrer correctement 29/11/2010 © 2010 - S.Gioria
Le bilan final du projet  Augmentation du cout unitaire du projet de plus de 30 % !  Mais centré sur le processus + framework  ROI attendu rapidement  Meilleur intégration des équipes et des compétences.  Moins de ségrégation architectes/ développeurs/MOA 29/11/2010 © 2010 - S.Gioria
Et aujourd’hui (9 mois plus tard…) ?  Toujours des tests de sécurité en production, mais réduits de 50%.  Une prise de conscience progressive des personnes en amont(commerciaux).  Une bonne implication du management  Des tests sécurité externes de meilleure qualité  Une légère augmentation dans le cycle projet (5%) 29/11/2010 © 2010 - S.Gioria
Rejoignez nous ! 29/11/2010 © 2010 - S.Gioria
Paris – Fin Avril/Début Mai 2011 Cette formation, gratuite pour les membres de l'OWASP, payante (au prix d'une adhésion personnelle de la personne suivant le training) pour les autres, aura lieu dans Paris Intra-Muros sur une journée. Au cours de cette formation, des experts vous présenteront les différents guides/outils disponibles et pourront échanger avec vous. Les présentations étant des présentations de l'ordre de 30mn à 1h par guide/ outil.... 29/11/2010 © 2010 - S.Gioria

Recomendados

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 

Recomendados

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03Sébastien GIORIA
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgiSébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockJohan Moreau
 
Gérer son environnement de développement avec Docker
Gérer son environnement de développement avec DockerGérer son environnement de développement avec Docker
Gérer son environnement de développement avec DockerJulien Dubois
 
Formation Axessit - Jurismus
Formation Axessit - JurismusFormation Axessit - Jurismus
Formation Axessit - JurismusLEXITY
 

Mais conteúdo relacionado

Mais procurados

Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 

Mais procurados (19)

Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 

Destaque

Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockJohan Moreau
 
Gérer son environnement de développement avec Docker
Gérer son environnement de développement avec DockerGérer son environnement de développement avec Docker
Gérer son environnement de développement avec DockerJulien Dubois
 
Formation Axessit - Jurismus
Formation Axessit - JurismusFormation Axessit - Jurismus
Formation Axessit - JurismusLEXITY
 
Ressources pédagogiques en ligne
Ressources pédagogiques en ligneRessources pédagogiques en ligne
Ressources pédagogiques en ligneXWiki
 
Anexo 7 guia de aprendizaje
Anexo 7 guia de aprendizajeAnexo 7 guia de aprendizaje
Anexo 7 guia de aprendizajeVane Torres
 
Une solution de veille partagée et collaborative : le cas de l'AFP
Une solution de veille partagée et collaborative : le cas de l'AFPUne solution de veille partagée et collaborative : le cas de l'AFP
Une solution de veille partagée et collaborative : le cas de l'AFPXWiki
 
La veille de Né Kid du 13.04.11 : Les Anonymous
La veille de Né Kid du 13.04.11 : Les AnonymousLa veille de Né Kid du 13.04.11 : Les Anonymous
La veille de Né Kid du 13.04.11 : Les AnonymousNé Kid
 
Solution XWiki et implémentation
Solution XWiki et implémentationSolution XWiki et implémentation
Solution XWiki et implémentationXWiki
 
Pourquoileshommesronflent
PourquoileshommesronflentPourquoileshommesronflent
PourquoileshommesronflentPedro Vieira
 
La Guerra
La GuerraLa Guerra
La Guerratuquiz
 
Marie Fait Du Sport
Marie Fait Du SportMarie Fait Du Sport
Marie Fait Du Sportguestc28c1b
 
Représentations du \"Handicap\"
Représentations du \"Handicap\"Représentations du \"Handicap\"
Représentations du \"Handicap\"Santesih
 
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectivesPrésentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectivesAdequation
 

Destaque (20)

Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
 
Gérer son environnement de développement avec Docker
Gérer son environnement de développement avec DockerGérer son environnement de développement avec Docker
Gérer son environnement de développement avec Docker
 
Formation Axessit - Jurismus
Formation Axessit - JurismusFormation Axessit - Jurismus
Formation Axessit - Jurismus
 
Ressources pédagogiques en ligne
Ressources pédagogiques en ligneRessources pédagogiques en ligne
Ressources pédagogiques en ligne
 
Conte du-pot-chinois
Conte du-pot-chinoisConte du-pot-chinois
Conte du-pot-chinois
 
Poires
PoiresPoires
Poires
 
Anexo 7 guia de aprendizaje
Anexo 7 guia de aprendizajeAnexo 7 guia de aprendizaje
Anexo 7 guia de aprendizaje
 
Une solution de veille partagée et collaborative : le cas de l'AFP
Une solution de veille partagée et collaborative : le cas de l'AFPUne solution de veille partagée et collaborative : le cas de l'AFP
Une solution de veille partagée et collaborative : le cas de l'AFP
 
Lettre 2
Lettre 2Lettre 2
Lettre 2
 
La veille de Né Kid du 13.04.11 : Les Anonymous
La veille de Né Kid du 13.04.11 : Les AnonymousLa veille de Né Kid du 13.04.11 : Les Anonymous
La veille de Né Kid du 13.04.11 : Les Anonymous
 
Solution XWiki et implémentation
Solution XWiki et implémentationSolution XWiki et implémentation
Solution XWiki et implémentation
 
WEB 2.0
WEB 2.0WEB 2.0
WEB 2.0
 
Pourquoileshommesronflent
PourquoileshommesronflentPourquoileshommesronflent
Pourquoileshommesronflent
 
Marco Referencial
Marco ReferencialMarco Referencial
Marco Referencial
 
La Guerra
La GuerraLa Guerra
La Guerra
 
Marie Fait Du Sport
Marie Fait Du SportMarie Fait Du Sport
Marie Fait Du Sport
 
Guia 4to-P Progra-Aplic-2
Guia 4to-P Progra-Aplic-2Guia 4to-P Progra-Aplic-2
Guia 4to-P Progra-Aplic-2
 
Représentations du \"Handicap\"
Représentations du \"Handicap\"Représentations du \"Handicap\"
Représentations du \"Handicap\"
 
Somriure
SomriureSomriure
Somriure
 
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectivesPrésentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
Présentation du 17/03/2015 - Alpes-Maritimes - Bilan 2014 et perspectives
 

Semelhante a Présentation au CRI-Ouest

Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
E-Reputation & réseaux sociaux
E-Reputation & réseaux sociauxE-Reputation & réseaux sociaux
E-Reputation & réseaux sociauxInter-Ligere
 
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR AquitaineCONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitainepolenumerique33
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-frenchvangogue
 
Expose sur monit
Expose sur monitExpose sur monit
Expose sur monitWadAbdoul
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesJean-Baptiste Guerraz
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8Sébastien GIORIA
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Pascal Flamand
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 

Semelhante a Présentation au CRI-Ouest (20)

Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
E-Reputation & réseaux sociaux
E-Reputation & réseaux sociauxE-Reputation & réseaux sociaux
E-Reputation & réseaux sociaux
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR AquitaineCONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitaine
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
 
Expose sur monit
Expose sur monitExpose sur monit
Expose sur monit
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 

Mais de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Sébastien GIORIA
 

Mais de Sébastien GIORIA (16)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10 2010 Rc1 French Version V02
 

Présentation au CRI-Ouest

  • 1. Sécurité du Développement Web CRI’Ouest Nantes– France 29 Novembre 2010 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation 29/11/2010 http://www.owasp.org © 2010 - S.Gioria
  • 2. Qui suis-je ? Consultant Sécurité au sein du cabinet d’audit Président du CLUSIR Poitou-Charentes OWASP France Leader - Evangéliste OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager +13 ans d’expérience en Sécurité des Systèmes d’Information q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms q  Expertise Technique ü  PenTesting, Digital Forensics ü  S-SDLC ü  Gestion du risque, Architectures fonctionnelles, Audits ü  Consulting et Formation en Réseaux et Sécurité q  Twitter :@SPoint Domaines de prédilection : ü  Web 4.2, WebServices, Insécurité du Web. q  29/11/2010 © 2010 - S.Gioria
  • 3. Votre site a été piraté OUI NON Votre site va être piraté ;) OUI OK, mais alors ? NON Laissez moi vous remettre sur la bonne voie 29/11/2010 Votre site sera piraté © 2010 - S.Gioria
  • 4. Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
  • 5. Faiblesse des Applications Web %  A$aques   %  Dépenses   Applica1on  Web   10 % 75 % 90 % 25 % Eléments  Réseaux   Etude  du  GARTNER  2003   75%  des  a4aques  ciblent  le  niveau  Applica=f   66%  des    applica=ons  web  sont  vulnérables     29/11/2010 Etude  du  SANS  (septembre  2009)   h4p://www.sans.org/top-­‐cyber-­‐security-­‐risks/   © 2010 - S.Gioria
  • 6. © IBM X-Force 2009 - Extrait du rapport 2009 29/11/2010 © 2010 - S.Gioria
  • 7. © IBM X-Force 2009 - Extrait du rapport 2009 29/11/2010 © 2010 - S.Gioria
  • 8. L’exposition a une vulnérabilité 29/11/2010 © 2010 - S.Gioria
  • 9. Cout de la correction d’une faille 29/11/2010 © 2010 - S.Gioria
  • 10. Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
  • 11. Je suis protégé contre les attaques, j’ai un firewall 29/11/2010 © 2010 - S.Gioria
  • 12. Mon site Web est sécurisé puisque il est protégé par SSL 29/11/2010 © 2010 - S.Gioria
  • 13. Seuls des génies de l’informatique savent exploiter les failles des applications Web  Les outils sont de plus en plus simples d’emploi  Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.  L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain. 29/11/2010 © 2010 - S.Gioria
  • 14. Une faille sur une application interne n’est pas importante  De part l’importance du web actuellement, cela peut être catastrophique.  Nombre de navigateurs permettant la création d’onglets :  Ils partagent tous la même politique de sécurité  Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX)  La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…. 29/11/2010 © 2010 - S.Gioria
  • 15. Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
  • 16. Le problème  Confidentialité  Protéger les données, les systèmes, les processus d’un accès non autorisé  Intégrité  Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle.  Disponibilité  Assurer que les données, systèmes et processus sont accessible au moment voulu 29/11/2010 © 2010 - S.Gioria
  • 17. Le problème  Traçabilité  Assurer le cheminement de toute donnée, processus et la reconstruction des transactions  « Privacy »  Assurer que les données personnelles sont sous le contrôle de leur propriétaire  Conformité  Adhérer aux lois et réglementations  Image de marque  Ne pas se retrouver à la une du journal « Le Monde » suite à un incident 29/11/2010 © 2010 - S.Gioria
  • 18. La menace  Les gouvernements ?  Le concurrent  La mafia  Le chômeur…  L’étudiant  Le « script kiddies »  Mon fils de 3 ans Capacité de protection Mais…… Personne ne nous piratera » « 29/11/2010 © 2010 - S.Gioria
  • 20. Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
  • 21. Avant-propos…  Personne n’a la solution !  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois.  Sinon les bulletins du CERTA seraient vides…  Et surtout Oracle ne mentirait pas sur son surnom*…  La plupart des méthodologies sont en version beta mais s’améliorent… *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… 29/11/2010 © 2010 - S.Gioria
  • 22. Que vous préconise-t-on ? EBIOS 2010/ISO 27005 ? CERT Secure Coding ? 29/11/2010 © 2010 - S.Gioria
  • 23. Que font Microsoft, Apple, Sony, …. 29/11/2010 © 2010 - S.Gioria
  • 26. Des politiques – OWASP ASVS   Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements   Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.   Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code   Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! 29/11/2010 © 2010 - S.Gioria
  • 27. OWASP ASVS - 14 familles d’exigences  V1. Architecture de sécurité  V2. Authentification  V3. Gestion de Sessions  V4. Contrôle d'accès  V5. Validations d'entrées  V6. Encodage et échappement de sorties   V7. Cryptographie  V8. Gestion des erreurs et de la journalisation 29/11/2010  V9. Protection des données  V10. Sécurité des communications  V11. HTTP Sécurisé  V12. Configuration de la sécurité  V13. Recherche de codes malicieux  V14. Sécurité interne © 2010 - S.Gioria
  • 29. Principes de développement KISS : Keep it Short and Simple  8 étapes clés :  Validation des entrées  Validation des sorties  Gestion des erreurs  Authentification ET Autorisation  Gestion des Sessions  Sécurisation des communications  Sécurisation du stockage  Accès Sécurisé aux ressources 29/11/2010 © 2010 - S.Gioria
  • 30. KISS : Keep it Short and Simple  Suivre constamment les règles précédentes  Ne pas « tenter » de mettre en place des parades aux attaques  Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour  Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. 29/11/2010 © 2010 - S.Gioria
  • 31. Mettre en place les Tests Qualité  Ne pas parler de tests sécurité !  Définir des fiches tests simples, basées sur le Top10/TopX :  Tests  Tests  Tests  Tests d’attaques clients/image de marque (XSS) d’intégrité (SQL Injection, …) de conformité (SQL/LDAP/XML Injection) de configuration (SSL, interfaces d’administration)  Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  …. 29/11/2010 © 2010 - S.Gioria
  • 32. Appliquez la règle du 80/20 http://www.owasp.org/index.php/Top_10 29/11/2010 © 2010 - S.Gioria
  • 33. Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
  • 34. Et si vous commenciez ?  Il y a deux pas à franchir 1.  Commencer 2.  Utiliser les fameuses checklists Je commence à utiliser ces fameuses checklists 29/11/2010 © 2010 - S.Gioria
  • 35. Et pour aller plus loin…. 1/2  Je configure mon outil de suivi de bogue §  Ajout d’une catégorie “securité” et les éléments de suivi!  Je met en place des tests sécurité Web §  Automatisés si je n’ai pas le temps… §  L’OWASP Top10 et l’OWASP Testing Guide sont un bon début. §  L’OWASP ASVS est une avancée supplémentaire !  Je corrige tous les problèmes sécurité que je trouve !  Si vous n’êtes pas prêts à corriger, ne cherchez pas ! 29/11/2010 © 2010 - S.Gioria
  • 36. Et pour aller plus loin….  Je forme et partage  Développeurs, Architectes, …. §  Classification des Menaces (WASC) http://projects.webappsec.org/Threat-Classification §  OWASP Top10 (OWASP) http://www.owasp.org/index.php/Top_10  Je continue a améliorer mon cycle : §  Security Development Lifecycle (Microsoft) http://blogs.msdn.com/sdl/ §  Open Software Assurance Maturity Model (OWASP) http://www.opensamm.org/ §  Building Security in Maturity Model (Cigital/Fortify) http://www.bsi-mm.com/ 29/11/2010 © 2010 - S.Gioria 2/2
  • 37. J’externalise…  J’ajoute les points de contrôles OWASP ASVS en amont…  Cahier des charges  Appels d’offres,  ….  Je sécurise ma relation avec un contrat de développement sécurisé  http://www.owasp.org/index.php/ Category:OWASP_Legal_Project 29/11/2010 © 2010 - S.Gioria
  • 38. Mon informatique « s’envole »…  Les menaces restent les mêmes :  Injections, XSS, CSRF, ….  Mais quelque unes s’ajoutent :  abus de ressources  code malveillant  perte de données  vol ou détournement du service  partage de la technologie 29/11/2010 © 2010 - S.Gioria
  • 40. Agenda  Pourquoi ?  4 préjugés  La problématique  Comment s’y prendre  Et si ?  Retour d’expérience  Questions ? 29/11/2010 © 2010 - S.Gioria
  • 41. Le décor  Société Française d’environ 400 personnes  Forte dépendance à l’informatique  métier principal  Beaucoup de compétences internes  Peu d’externalisation  Création d’un poste de RSSI  Objectif de réduire le nombre de corrections sécurité  Améliorer la crédibilité vis a vis des clients  Tests de sécurité réguliers après mise en production de modules/applications 29/11/2010 © 2010 - S.Gioria
  • 42. Les étapes  Etat des lieux  Relecture des différents audits passés pour établir le contexte et le niveau de maturité en sécurité : §  En mode ‘pifométrique’ adapté de l’OpenSAMM ( http://www.OpenSamm.ORG)  Approche de gestion des projets  Visualisez les endroits ou il est possible d’entrer de la sécurité  Déploiement  Education  Ajout progressif d’activités 29/11/2010 © 2010 - S.Gioria
  • 43. Le cycle et l’ajout des points Fiche Besoin Métier Exp Besoin Business Spécifications fonctionnelles de sécurit Planning Exigences Business Conception Codage Test Deploiement Tests qualité métiers 29/11/2010 © 2010 - S.Gioria Production
  • 44. Les choix  Projet nouveau et stratégique  Délais très courts  Exigences de sécurité élevée  Définir des exigences fonctionnelles et politiques de sécurité associées  Utilisation des documents internes de code pour les développeurs 29/11/2010 © 2010 - S.Gioria
  • 45. Les murs franchis  L’ajout de la sécurité dès l’initiation du cycle projet  La focalisation des tests intrusifs sur des tests complexes et utiles  La mise en place d’un framework d’entreprise sécurisé  La sensibilisation de tous les acteurs sur la sécurité © 2010 - S.Gioria 29/11/2010
  • 46. Les fausses routes  Parler de tests sécurité en fin de cycle… => Rejet de la part des équipes de tests  Vouloir présenter au top management rapidement le processus pour validation… => Incapacité à négocier un budget  Imposer des outils/frameworks aux développeurs => Incapacité à les intégrer correctement 29/11/2010 © 2010 - S.Gioria
  • 47. Le bilan final du projet  Augmentation du cout unitaire du projet de plus de 30 % !  Mais centré sur le processus + framework  ROI attendu rapidement  Meilleur intégration des équipes et des compétences.  Moins de ségrégation architectes/ développeurs/MOA 29/11/2010 © 2010 - S.Gioria
  • 48. Et aujourd’hui (9 mois plus tard…) ?  Toujours des tests de sécurité en production, mais réduits de 50%.  Une prise de conscience progressive des personnes en amont(commerciaux).  Une bonne implication du management  Des tests sécurité externes de meilleure qualité  Une légère augmentation dans le cycle projet (5%) 29/11/2010 © 2010 - S.Gioria
  • 50. Paris – Fin Avril/Début Mai 2011 Cette formation, gratuite pour les membres de l'OWASP, payante (au prix d'une adhésion personnelle de la personne suivant le training) pour les autres, aura lieu dans Paris Intra-Muros sur une journée. Au cours de cette formation, des experts vous présenteront les différents guides/outils disponibles et pourront échanger avec vous. Les présentations étant des présentations de l'ordre de 30mn à 1h par guide/ outil.... 29/11/2010 © 2010 - S.Gioria