SlideShare ist ein Scribd-Unternehmen logo

2011 02-08-ms tech-days-sdl-sgi-v02

Sébastien GIORIA
Sébastien GIORIA

Présentation de SDL et d'une approche pragmatique pour l'implémentée

TechnologieBusiness
1 von 43
Downloaden Sie, um offline zu lesen
Microsoft Security Development LifeCycle : par ou commencer ? Sébastien Gioria (OWASP French Chapter Leader & OWASP Global Education Comittee Member) sebastien.gioria@owasp.org 8 Février 2011- Paris - Palais des congrès 1
Qui suis-je ? Consultant Sécurité Sénior au sein du cabinet d’audit Président du CLUSIR Poitou-Charentes OWASP France Leader - Evangéliste - OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager q  Expérience en Sécurité des Systèmes d’Information > 0x0D années q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms Twitter :@SPoint q  Expertise Technique ü  Gestion du risque, Architectures fonctionnelles, Audits ü  S-SDLC : Secure-Software Development LifeCycle. ü  PenTesting, Digital Forensics ü  Consulting et Formation en Réseaux et Sécurité q Domaines  de  prédilec0on  :     ü  Web,    WebServices, Insécurité du Web.   2
site:mycompany. com     hacked   OUI NON OK, site:xssed.com   mycompany.com   OUI mais alors ? NON   Laissez  moi  vous   Votre  applica,on  sera  piratée   reme5re  sur  la   bonne  voie   3
Agenda •  La souris, le fromage et le chat •  Qu’est-ce que Microsoft SDL ? •  SDL Warrior •  Par ou commencer •  Et après… 4
Pourquoi ? Les hackers sont astucieux 5
Le cout est important 6
Soyons donc précis ! 7
Security Development LifeCycle (SDL) •  2004 : « Stop Security Kiddies » •  Méthode de développement sécurisée de tous les produits Microsoft ! Vainqueurs a la CVE 2010 Produit   1er   2ème   3ème   Système   Linux  Kernel   Windows  Server   Apple  IOS  (35)   d’exploita0on   (129)   2008  (93)   SGBD   Oracle  (36)   Mysql  (3)   MS-­‐SQL  Server   (1)   Navigateur   Chrome  (164)   Safari  (130)   Firefox  (115)   8
9
Formation •  Obligatoire pour toute l’équipe projet : Architecte, Développeur, Testeur, Chef de projet •  Contenu minimum •  Conception sécurisée •  Modélisation des menaces •  Ecriture de code sécurisé •  Tests de sécurité •  Respect de la vie privée •  Contenu avancé •  Architecture et conception de la sécurité. •  Conception de l’interface utilisateur •  Problèmes de sécurité en détail •  Processus de réponse de sécurité •  Mise en œuvre d’atténuations personnalisées de menaces 10
Spécifications - Exigences de sécurité 1.  Identifier l’équipe ou la personne qui sera responsable du suivi et de la gestion de la sécurité 2.  Vérifier que les outils de suivi et de rapport des bogues assurent effectivement le suivi des problèmes de sécurité 3.  Définir et documenter l’échelle des bogues et les valeurs et seuil ainsi attribués aux bogues de sécurité. L’échelle des bogues et le seuil associé ne doivent jamais être assouplis, même si la date de fin du projet approche. 11
Spécifications - Exigences de respect de la vie privée 1.  Désigner le conseiller en respect de la vie privée 2.  Désigner le responsable dans l’équipe pour la vie privée 3.  Définir et documenter l’échelle, les valeurs et seuil attribués aux bogues de respect de la vie privée 12
Spécifications – Recommandations de sécurité 1.  Mettre en place le plan de sécurité 2.  Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : •  Il doit être compatible STRIDE •  Permettre d’identifier la cause du Bug 13
Spécifications – Evaluer le projet et les couts éventuels 1.  Evaluer les portions du projet nécessitant : •  modélisations des menaces •  revues de conception de sécurité •  tests de pénétration 2. Vérifier le taux d’impact sur la vie privée •  P1 : Risque élevé sur le respect de la vie privé => Le produit enregistre ou transfère des informations confidentielles •  P2 : Risque modéré => un transfert unique de données anonymes, initié par l’utilisateur •  P3 : Risque faible => Rien n’affecte le respect de la vie privée 14
Conception 1.  Effectuer une revue de conception 2.  Effectuer des Analyses de risque •  Modélisation des menaces (STRIDE/DREAD) •  Code externes •  Analyse des projets classés P1 (vie privée) 15
STRIDE ? Catégorie   Descrip,on   Pas  un  bogue  de  sécurité     Usurpa0on  (Spoofing)   A^aque  par  laquelle  un  a^aquant  ou  un  serveur  non   autorisé  se  fait  passer  pour  un  u0lisateur  ou  un  serveur   valide,  ou  un  code  malveillant  se  présente  comme  valide     Falsifica0on  (Tampering)   Modifica0on  malveillante  des  données     Répudia0on  (Repudia0on)   Menaces  associées  aux  u0lisateurs  qui  nient  avoir   effectué  une  ac0on  sans  que  les  autres  par0es  aient  le   moyen  de  prouver  le  contraire     Divulga0on  d’informa0ons   Menaces  qui  impliquent  l’exposi0on  des  informa0ons  à   (Informa0ons  Disclosure)   des  individus  qui  ne  sont  pas  censés  y  accéder.     Déni  de  service  (Denial  of   A^aques  (DoS)  qui  empêchent  un  u0lisateur  autorisé   Service)   d’accéder  aux  services     Éléva0on  de  privilège   Menace  qui  permet  à  un  u0lisateur  de  s’octroyer  une   (Eleva0on  of  Privilege)   autorisa0on  supplémentaire     Réduc0on  de  la  surface   Il  est  important  d’iden0fier  la  surface  d’a^aque,  même  si   d’a^aque.    (A^ack  Surface   les  interfaces  qui  y  sont  exposées  ne  sont  pas  des   Reduc0on.  )   vulnérabilités  au  sens  technique     16
DREAD ? Catégorie   Descrip,on   Dommage  Poten0el   Si  la  menace  se  produit,  quel  est  le  niveau  de  dommage  :   (Damage)   0  –  Rien   10  –  Total  compromission   Reproduc0ble   Quelle  est  la  complexité  pour  reproduire  la  menace   (Reproducibility)   0  –  quasi-­‐impossible   10  –  pas  d’authen0fica0on,  a  travers  un  navigateur  Web   Exploita0on   De  quoi  a-­‐t-­‐on  besoin  pour  l’exploita0on     (Exploitability)   0  –  connaissance  en  programma0on,  des  ou0ls,  …   10  –  juste  un  navigateur  Web   U0lisateurs  touchés   Combien  d’u0lisateurs  seront  affectés     (Affected  Users)   0  –  Aucun   5  –  Quelques  uns   10  –  Tous   Découverte   La  faille  est-­‐elle  simple  a  découvrir     (Discoverability)   0  –  quasi-­‐impossible   5  –  via  un  sniffing  réseau  ou  autre  type   9  –  les  détails  sont  dans  le  domaine  public   10  –  Il  suffit  de  regarder  la  barre  du  navigateur  Web   17
Calcul final DREAD DAMAGE REPRODUCIBILITY EXPLOITABILITY AFFECTED USERS 5 DISCOVERABILITY 18
Implémentation 1.  Creer la documentation et les outils permettant d’adresser les problèmes de sécurité et de vie privée 2.  Suivre les bonnes pratiques de développement 3.  Intégrer les listes de contrôle de sécurité 4.  Effectuer une revue automatisée de code 19
Vérification 1.  Utilisation du Fuzzing •  Fichier •  Réseau •  Web 2.  Revue de code •  Définir les priorités de revue de code : •  Code critique : noyau, utilisation d’éléments sensible •  Code important : code élevant les privilèges •  Code mineur : rarement utilisé. 3.  Effectuer les tests de pénétration •  Boite noire •  Boite blanche 4.  Revoir la surface d’attaque et la minimiser si possible 20
Diffusion 1.  Effectuer une revue des manipulations de données privées 2.  Préparer les équipes au 2ème mercredi du mois Loi de Murphy 3.  Effectuer la revue finale de sécurité Dernière version des documents projets et risques à destination de l’équipe sécurité. 4.  Publier la version et archiver une copie. 21
Réponse aux incidents 1.  Définition des processus de réponses •  Equipe dédiées à la vie privée •  Equipes autres 2.  Mise en place des communications •  PGP 3.  Interaction avec le cycle de vie 22
23
Avant-propos… •  Personne n’a la solution ! •  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. •  Sinon les bulletins du CERTA seraient vides… •  Et surtout Oracle ne mentirait pas sur son surnom*… •  La plupart des méthodologies sont en version beta mais s’améliorent… •  Ceci est un exemple de ce que l’on peut faire *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… 24
0x01 Régler 80% des problèmes avec 20% d’effort 25
0x10b •  Se jeter à l’eau : Je corrige tous les problèmes de sécurité que je trouve ! Si vous n’êtes pas prêts à corriger, ne cherchez pas ! 26
Le problème •  Confidentialité •  Protéger les données, les systèmes, les processus d’un accès non autorisé •  Intégrité •  Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle. •  Disponibilité •  Assurer que les données, systèmes et processus sont accessible au moment voulu 27
Le problème •  Traçabilité •  Assurer le cheminement de toute donnée, processus et la reconstruction des transactions •  « Privacy » •  Assurer que les données personnelles sont sous le contrôle de leur propriétaire  Conformité    Adhérer  aux  lois  et  réglementa0ons      Image  de  marque    Ne  pas  se  retrouver  à  la  une  du  journal  «  Le  Monde  »  suite   à  un  incident     28
Le problème 29
30
Formation •  OWASP Top10 2010 : Les 10 risques les plus critiques des applications •  Classification des Menaces (WASC) Ø http://projects.webappsec.org/Threat-Classification •  CWE/SANS list : Top 25 Most Dangerous Programming Errors. •  http://microsoft.com/sdl/ 31
Définition des exigences OWASP – ASVS ? •  Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements •  Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. •  Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code •  Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! 32
Modélisation des attaques •  Utilisation des méthodologies : •  STRIDE •  ISO 27005 Garder a l’esprit •  SDL Threat Modeling Tool l’impact métier ! •  ….. •  Garder à l’esprit : •  0x01 : la règle du 80/20 •  0x10b Si vous n’êtes pas prêts à corriger, ne cherchez pas ! 33
Mettre en place des tableaux de décision 34
Utilisation des bons outils •  Formation •  Cf précédemment •  Visual Studio Team System (VSTS) 2008 •  SDL Process Template •  Checklists •  Quick Security Reference - SQL Injection : •  Quick Security Reference - Cross Site Scripting : •  Quick Security Reference - Exposure of Sensitive Information •  SANS/CWE25 •  Librairies : •  ESAPI •  Web Protection Library •  Anti-XSS •  Security Runtime Engine •  http://www.microsoft.com/security/sdl/adopt/tools.aspx 35
Exemple CWE25 36
Authenticator User AccessController AccessReferenceMap Validator Encoder HTTPUtilities 37 Encryptor EncryptedProperties Randomizer Enterprise Security API Exception Handling OWASP Enterprise Security API Custom Enterprise Web Application Logger IntrusionDetector Existing Enterprise Security Services/Libraries SecurityConfiguration 37
Revue de code •  Code Managé : •  CAT.NET •  FxCop •  Microsoft Source Code Analyzer for SQL Injection. •  OWASP Code Crawler •  CodePro AnalytiX (Java) 38
39
Tests de pénétration 1.  S’adresser à des cabinets/consultants dont le métier est la gestion des risques informatiques. 2.  Demander des rapports orientés métiers Ø ne pas se contenter de rapports techniques 3.  Demander des classifications compatibles avec votre outil de bogue. Ø Ne pas utiliser des référentiels non standards 4.  Demande un transfert de compétences sur les failles pour éduquer les acteurs Ø Et donc savoir comment corriger 40
ET  APRES  ?   41
Et si vous commenciez ? • Il y a trois pas à franchir 1.  Commencer : •  Formation => cout == 0 •  CheckList => cout == 0 •  Outil de bogue => 2.  Je commence à utiliser ces fameuses checklists et remplir l’outil de bogue 3.  Je corrige tous les problèmes de sécurité que je trouve ! 42
A bientôt Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] 43

Empfohlen

2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
Sébastien GIORIA
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
ConFoo
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
arnaudm
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
Softeam agency
 

Empfohlen

2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
Sébastien GIORIA
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
ConFoo
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
arnaudm
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
Softeam agency
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
Sébastien GIORIA
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
Ilyass_rebla
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Sylvain Maret
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
Sylvain Maret
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
Hackfest Communication
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
Phonesec
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Klee Group
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
Abdeljalil AGNAOU
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA
 
Sec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources SecuriteSec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources Securite
gueste70933
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Faouzi Maddouri
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 
Le tour du monde en croisière avec MSC Croisières
Le tour du monde en croisière avec MSC CroisièresLe tour du monde en croisière avec MSC Croisières
Le tour du monde en croisière avec MSC Croisières
Julien Garbe
 
GRADOS 6
GRADOS 6GRADOS 6
GRADOS 6
San Juan Bosco
 

Weitere ähnliche Inhalte

Was ist angesagt?

Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
Phonesec
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm
 
Sec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources SecuriteSec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources Securite
gueste70933
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 

Was ist angesagt? (20)

Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
Sec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources SecuriteSec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources Securite
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 

Andere mochten auch

GSmart Certs Part 2
GSmart Certs Part 2GSmart Certs Part 2
GSmart Certs Part 2
Graham Smart
 
Premiers pas avec OpenBUGS
Premiers pas avec OpenBUGSPremiers pas avec OpenBUGS
Premiers pas avec OpenBUGS
Dhafer Malouche
 
BFSEFC - Contenu
BFSEFC - ContenuBFSEFC - Contenu
BFSEFC - Contenu
Murat KILIC
 

Andere mochten auch (20)

Le tour du monde en croisière avec MSC Croisières
Le tour du monde en croisière avec MSC CroisièresLe tour du monde en croisière avec MSC Croisières
Le tour du monde en croisière avec MSC Croisières
 
GRADOS 6
GRADOS 6GRADOS 6
GRADOS 6
 
Limitations et exceptions au droit d'auteur : observations sur l'arrêt "être ...
Limitations et exceptions au droit d'auteur : observations sur l'arrêt "être ...Limitations et exceptions au droit d'auteur : observations sur l'arrêt "être ...
Limitations et exceptions au droit d'auteur : observations sur l'arrêt "être ...
 
Que faire à paris avec sa grand mere ?
Que faire à paris avec sa grand mere ?Que faire à paris avec sa grand mere ?
Que faire à paris avec sa grand mere ?
 
Convocatoria ipjcc guatemala
Convocatoria ipjcc guatemalaConvocatoria ipjcc guatemala
Convocatoria ipjcc guatemala
 
Projet new york
Projet new yorkProjet new york
Projet new york
 
GSmart Certs Part 2
GSmart Certs Part 2GSmart Certs Part 2
GSmart Certs Part 2
 
Short film questionnaire results
Short film questionnaire resultsShort film questionnaire results
Short film questionnaire results
 
Présentation de l'USH lors du petit déjeuner XWiki du 7 octobre 2014
Présentation de l'USH lors du petit déjeuner XWiki du 7 octobre 2014Présentation de l'USH lors du petit déjeuner XWiki du 7 octobre 2014
Présentation de l'USH lors du petit déjeuner XWiki du 7 octobre 2014
 
Entreprises et sociétès
Entreprises et sociétèsEntreprises et sociétès
Entreprises et sociétès
 
Dossier de production
Dossier de productionDossier de production
Dossier de production
 
Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...
Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...
Nouveaux risques pour les entreprises (Gaëtan Lefèvre) - Belgian Insurance Co...
 
Gestión-etica-en-XM
Gestión-etica-en-XMGestión-etica-en-XM
Gestión-etica-en-XM
 
Premiers pas avec OpenBUGS
Premiers pas avec OpenBUGSPremiers pas avec OpenBUGS
Premiers pas avec OpenBUGS
 
Wuxia le renard - Salon du livre de Toronto - 4 décembre 2014
Wuxia le renard - Salon du livre de Toronto - 4 décembre 2014Wuxia le renard - Salon du livre de Toronto - 4 décembre 2014
Wuxia le renard - Salon du livre de Toronto - 4 décembre 2014
 
Affectation PEA
Affectation PEA Affectation PEA
Affectation PEA
 
manières de calculer le déplacement
manières de calculer le déplacement manières de calculer le déplacement
manières de calculer le déplacement
 
BFSEFC - Contenu
BFSEFC - ContenuBFSEFC - Contenu
BFSEFC - Contenu
 
Atención clientes VIP Pymes - UNE EPM
Atención clientes VIP Pymes - UNE EPMAtención clientes VIP Pymes - UNE EPM
Atención clientes VIP Pymes - UNE EPM
 
diapo année 2 n°1
diapo année 2 n°1diapo année 2 n°1
diapo année 2 n°1
 

Ähnlich wie 2011 02-08-ms tech-days-sdl-sgi-v02

Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
Open Source Experience
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sébastien Rabaud
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
PMI-Montréal
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
 

Ähnlich wie 2011 02-08-ms tech-days-sdl-sgi-v02 (20)

Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
1 introduction secu
1 introduction secu1 introduction secu
1 introduction secu
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 

Mehr von Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Sébastien GIORIA
 

Mehr von Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 

2011 02-08-ms tech-days-sdl-sgi-v02

  • 1. Microsoft Security Development LifeCycle : par ou commencer ? Sébastien Gioria (OWASP French Chapter Leader & OWASP Global Education Comittee Member) sebastien.gioria@owasp.org 8 Février 2011- Paris - Palais des congrès 1
  • 2. Qui suis-je ? Consultant Sécurité Sénior au sein du cabinet d’audit Président du CLUSIR Poitou-Charentes OWASP France Leader - Evangéliste - OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager q  Expérience en Sécurité des Systèmes d’Information > 0x0D années q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms Twitter :@SPoint q  Expertise Technique ü  Gestion du risque, Architectures fonctionnelles, Audits ü  S-SDLC : Secure-Software Development LifeCycle. ü  PenTesting, Digital Forensics ü  Consulting et Formation en Réseaux et Sécurité q Domaines  de  prédilec0on  :     ü  Web,    WebServices, Insécurité du Web.   2
  • 3. site:mycompany. com     hacked   OUI NON OK, site:xssed.com   mycompany.com   OUI mais alors ? NON   Laissez  moi  vous   Votre  applica,on  sera  piratée   reme5re  sur  la   bonne  voie   3
  • 4. Agenda •  La souris, le fromage et le chat •  Qu’est-ce que Microsoft SDL ? •  SDL Warrior •  Par ou commencer •  Et après… 4
  • 5. Pourquoi ? Les hackers sont astucieux 5
  • 6. Le cout est important 6
  • 8. Security Development LifeCycle (SDL) •  2004 : « Stop Security Kiddies » •  Méthode de développement sécurisée de tous les produits Microsoft ! Vainqueurs a la CVE 2010 Produit   1er   2ème   3ème   Système   Linux  Kernel   Windows  Server   Apple  IOS  (35)   d’exploita0on   (129)   2008  (93)   SGBD   Oracle  (36)   Mysql  (3)   MS-­‐SQL  Server   (1)   Navigateur   Chrome  (164)   Safari  (130)   Firefox  (115)   8
  • 9. 9
  • 10. Formation •  Obligatoire pour toute l’équipe projet : Architecte, Développeur, Testeur, Chef de projet •  Contenu minimum •  Conception sécurisée •  Modélisation des menaces •  Ecriture de code sécurisé •  Tests de sécurité •  Respect de la vie privée •  Contenu avancé •  Architecture et conception de la sécurité. •  Conception de l’interface utilisateur •  Problèmes de sécurité en détail •  Processus de réponse de sécurité •  Mise en œuvre d’atténuations personnalisées de menaces 10
  • 11. Spécifications - Exigences de sécurité 1.  Identifier l’équipe ou la personne qui sera responsable du suivi et de la gestion de la sécurité 2.  Vérifier que les outils de suivi et de rapport des bogues assurent effectivement le suivi des problèmes de sécurité 3.  Définir et documenter l’échelle des bogues et les valeurs et seuil ainsi attribués aux bogues de sécurité. L’échelle des bogues et le seuil associé ne doivent jamais être assouplis, même si la date de fin du projet approche. 11
  • 12. Spécifications - Exigences de respect de la vie privée 1.  Désigner le conseiller en respect de la vie privée 2.  Désigner le responsable dans l’équipe pour la vie privée 3.  Définir et documenter l’échelle, les valeurs et seuil attribués aux bogues de respect de la vie privée 12
  • 13. Spécifications – Recommandations de sécurité 1.  Mettre en place le plan de sécurité 2.  Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : •  Il doit être compatible STRIDE •  Permettre d’identifier la cause du Bug 13
  • 14. Spécifications – Evaluer le projet et les couts éventuels 1.  Evaluer les portions du projet nécessitant : •  modélisations des menaces •  revues de conception de sécurité •  tests de pénétration 2. Vérifier le taux d’impact sur la vie privée •  P1 : Risque élevé sur le respect de la vie privé => Le produit enregistre ou transfère des informations confidentielles •  P2 : Risque modéré => un transfert unique de données anonymes, initié par l’utilisateur •  P3 : Risque faible => Rien n’affecte le respect de la vie privée 14
  • 15. Conception 1.  Effectuer une revue de conception 2.  Effectuer des Analyses de risque •  Modélisation des menaces (STRIDE/DREAD) •  Code externes •  Analyse des projets classés P1 (vie privée) 15
  • 16. STRIDE ? Catégorie   Descrip,on   Pas  un  bogue  de  sécurité     Usurpa0on  (Spoofing)   A^aque  par  laquelle  un  a^aquant  ou  un  serveur  non   autorisé  se  fait  passer  pour  un  u0lisateur  ou  un  serveur   valide,  ou  un  code  malveillant  se  présente  comme  valide     Falsifica0on  (Tampering)   Modifica0on  malveillante  des  données     Répudia0on  (Repudia0on)   Menaces  associées  aux  u0lisateurs  qui  nient  avoir   effectué  une  ac0on  sans  que  les  autres  par0es  aient  le   moyen  de  prouver  le  contraire     Divulga0on  d’informa0ons   Menaces  qui  impliquent  l’exposi0on  des  informa0ons  à   (Informa0ons  Disclosure)   des  individus  qui  ne  sont  pas  censés  y  accéder.     Déni  de  service  (Denial  of   A^aques  (DoS)  qui  empêchent  un  u0lisateur  autorisé   Service)   d’accéder  aux  services     Éléva0on  de  privilège   Menace  qui  permet  à  un  u0lisateur  de  s’octroyer  une   (Eleva0on  of  Privilege)   autorisa0on  supplémentaire     Réduc0on  de  la  surface   Il  est  important  d’iden0fier  la  surface  d’a^aque,  même  si   d’a^aque.    (A^ack  Surface   les  interfaces  qui  y  sont  exposées  ne  sont  pas  des   Reduc0on.  )   vulnérabilités  au  sens  technique     16
  • 17. DREAD ? Catégorie   Descrip,on   Dommage  Poten0el   Si  la  menace  se  produit,  quel  est  le  niveau  de  dommage  :   (Damage)   0  –  Rien   10  –  Total  compromission   Reproduc0ble   Quelle  est  la  complexité  pour  reproduire  la  menace   (Reproducibility)   0  –  quasi-­‐impossible   10  –  pas  d’authen0fica0on,  a  travers  un  navigateur  Web   Exploita0on   De  quoi  a-­‐t-­‐on  besoin  pour  l’exploita0on     (Exploitability)   0  –  connaissance  en  programma0on,  des  ou0ls,  …   10  –  juste  un  navigateur  Web   U0lisateurs  touchés   Combien  d’u0lisateurs  seront  affectés     (Affected  Users)   0  –  Aucun   5  –  Quelques  uns   10  –  Tous   Découverte   La  faille  est-­‐elle  simple  a  découvrir     (Discoverability)   0  –  quasi-­‐impossible   5  –  via  un  sniffing  réseau  ou  autre  type   9  –  les  détails  sont  dans  le  domaine  public   10  –  Il  suffit  de  regarder  la  barre  du  navigateur  Web   17
  • 18. Calcul final DREAD DAMAGE REPRODUCIBILITY EXPLOITABILITY AFFECTED USERS 5 DISCOVERABILITY 18
  • 19. Implémentation 1.  Creer la documentation et les outils permettant d’adresser les problèmes de sécurité et de vie privée 2.  Suivre les bonnes pratiques de développement 3.  Intégrer les listes de contrôle de sécurité 4.  Effectuer une revue automatisée de code 19
  • 20. Vérification 1.  Utilisation du Fuzzing •  Fichier •  Réseau •  Web 2.  Revue de code •  Définir les priorités de revue de code : •  Code critique : noyau, utilisation d’éléments sensible •  Code important : code élevant les privilèges •  Code mineur : rarement utilisé. 3.  Effectuer les tests de pénétration •  Boite noire •  Boite blanche 4.  Revoir la surface d’attaque et la minimiser si possible 20
  • 21. Diffusion 1.  Effectuer une revue des manipulations de données privées 2.  Préparer les équipes au 2ème mercredi du mois Loi de Murphy 3.  Effectuer la revue finale de sécurité Dernière version des documents projets et risques à destination de l’équipe sécurité. 4.  Publier la version et archiver une copie. 21
  • 22. Réponse aux incidents 1.  Définition des processus de réponses •  Equipe dédiées à la vie privée •  Equipes autres 2.  Mise en place des communications •  PGP 3.  Interaction avec le cycle de vie 22
  • 23. 23
  • 24. Avant-propos… •  Personne n’a la solution ! •  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. •  Sinon les bulletins du CERTA seraient vides… •  Et surtout Oracle ne mentirait pas sur son surnom*… •  La plupart des méthodologies sont en version beta mais s’améliorent… •  Ceci est un exemple de ce que l’on peut faire *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… 24
  • 25. 0x01 Régler 80% des problèmes avec 20% d’effort 25
  • 26. 0x10b •  Se jeter à l’eau : Je corrige tous les problèmes de sécurité que je trouve ! Si vous n’êtes pas prêts à corriger, ne cherchez pas ! 26
  • 27. Le problème •  Confidentialité •  Protéger les données, les systèmes, les processus d’un accès non autorisé •  Intégrité •  Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle. •  Disponibilité •  Assurer que les données, systèmes et processus sont accessible au moment voulu 27
  • 28. Le problème •  Traçabilité •  Assurer le cheminement de toute donnée, processus et la reconstruction des transactions •  « Privacy » •  Assurer que les données personnelles sont sous le contrôle de leur propriétaire  Conformité    Adhérer  aux  lois  et  réglementa0ons      Image  de  marque    Ne  pas  se  retrouver  à  la  une  du  journal  «  Le  Monde  »  suite   à  un  incident     28
  • 30. 30
  • 31. Formation •  OWASP Top10 2010 : Les 10 risques les plus critiques des applications •  Classification des Menaces (WASC) Ø http://projects.webappsec.org/Threat-Classification •  CWE/SANS list : Top 25 Most Dangerous Programming Errors. •  http://microsoft.com/sdl/ 31
  • 32. Définition des exigences OWASP – ASVS ? •  Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements •  Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. •  Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code •  Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! 32
  • 33. Modélisation des attaques •  Utilisation des méthodologies : •  STRIDE •  ISO 27005 Garder a l’esprit •  SDL Threat Modeling Tool l’impact métier ! •  ….. •  Garder à l’esprit : •  0x01 : la règle du 80/20 •  0x10b Si vous n’êtes pas prêts à corriger, ne cherchez pas ! 33
  • 34. Mettre en place des tableaux de décision 34
  • 35. Utilisation des bons outils •  Formation •  Cf précédemment •  Visual Studio Team System (VSTS) 2008 •  SDL Process Template •  Checklists •  Quick Security Reference - SQL Injection : •  Quick Security Reference - Cross Site Scripting : •  Quick Security Reference - Exposure of Sensitive Information •  SANS/CWE25 •  Librairies : •  ESAPI •  Web Protection Library •  Anti-XSS •  Security Runtime Engine •  http://www.microsoft.com/security/sdl/adopt/tools.aspx 35
  • 37. Authenticator User AccessController AccessReferenceMap Validator Encoder HTTPUtilities 37 Encryptor EncryptedProperties Randomizer Enterprise Security API Exception Handling OWASP Enterprise Security API Custom Enterprise Web Application Logger IntrusionDetector Existing Enterprise Security Services/Libraries SecurityConfiguration 37
  • 38. Revue de code •  Code Managé : •  CAT.NET •  FxCop •  Microsoft Source Code Analyzer for SQL Injection. •  OWASP Code Crawler •  CodePro AnalytiX (Java) 38
  • 39. 39
  • 40. Tests de pénétration 1.  S’adresser à des cabinets/consultants dont le métier est la gestion des risques informatiques. 2.  Demander des rapports orientés métiers Ø ne pas se contenter de rapports techniques 3.  Demander des classifications compatibles avec votre outil de bogue. Ø Ne pas utiliser des référentiels non standards 4.  Demande un transfert de compétences sur les failles pour éduquer les acteurs Ø Et donc savoir comment corriger 40
  • 41. ET  APRES  ?   41
  • 42. Et si vous commenciez ? • Il y a trois pas à franchir 1.  Commencer : •  Formation => cout == 0 •  CheckList => cout == 0 •  Outil de bogue => 2.  Je commence à utiliser ces fameuses checklists et remplir l’outil de bogue 3.  Je corrige tous les problèmes de sécurité que je trouve ! 42
  • 43. A bientôt Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] 43