SlideShare ist ein Scribd-Unternehmen logo

2012 03-02-sdl-sgi-v03

Sébastien GIORIA
Sébastien GIORIA

Présentation sur la SDL microsoft faite au confoo 2012

1 von 86
Downloaden Sie, um offline zu lesen
The OWASP Foundation http://www.owasp.org Microsoft Security Development LifeCycle Sébastien Gioria OWASP France Leader OWASP Global Education Committee Confoo.ca 2 Mars 2012 - Montréal - Canada Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. Sunday, March 4, 12
http://www.google.fr/#q=sebastien gioria ‣Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) ‣Responsable du Groupe Sécurité des Applications Web au CLUSIF Twitter :@SPoint CISA && ISO 27005 Risk Manager ‣ +13 ans d’expérience en Sécurité des Systèmes d’Information ‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms ‣ Expertise Technique - PenTesting, - Secure-SDLC - Gestion du risque, Architectures fonctionnelles, Audits - Consulting et Formation en Réseaux et Sécurité 2 2 Sunday, March 4, 12
Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game 3 Sunday, March 4, 12
Pourquoi ? Les  hackers  sont  astucieux Sunday, March 4, 12
Le cout est important Sunday, March 4, 12
Soyons donc précis ! Sunday, March 4, 12
Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game Sunday, March 4, 12
8 Sunday, March 4, 12
Security Development LifeCycle(SDL) § 2004 : « Stop Security Kiddies » § Méthode de développement sécurisée de tous les produits Microsoft ! Sunday, March 4, 12
Security Development LifeCycle(SDL) § 2004 : « Stop Security Kiddies » § Méthode de développement sécurisée de tous les produits Microsoft ! Vainqueurs a la CVE 2010 Produit 1er 2ème 3ème Système   Linux  Kernel   Windows  Server   Apple  IOS  (35) d’exploita9on (129) 2008  (93) MS-­‐SQL  Server   SGBD Oracle  (36) Mysql  (3) (1) Navigateur Chrome  (164) Safari  (130) Firefox  (115) Sunday, March 4, 12
The OWASP Foundation http://www.owasp.org Sunday, March 4, 12
The OWASP Foundation http://www.owasp.org Sunday, March 4, 12
The OWASP Foundation http://www.owasp.org Sunday, March 4, 12
Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game Sunday, March 4, 12
Formation • Obligatoire pour toute l’équipe projet : Architecte, Développeur, Testeur, Chef de projet • Contenu minimum • Conception sécurisée • Modélisation des menaces • Ecriture de code sécurisé • Tests de sécurité • Respect de la vie privée • Contenu avancé • Architecture et conception de la sécurité. • Conception de l’interface utilisateur • Problèmes de sécurité en détail • Processus de réponse de sécurité • Mise en œuvre d’atténuations personnalisées de menaces Sunday, March 4, 12
Spécifications - Exigences de sécurité 1. Identifier l’équipe ou la personne qui sera responsable du suivi et de la gestion de la sécurité 2. Vérifier que les outils de suivi et de rapport des bogues assurent effectivement le suivi des problèmes de sécurité 3. Définir et documenter l’échelle des bogues et les valeurs et seuil ainsi attribués aux bogues de sécurité. L’échelle des bogues et le seuil associé ne doivent jamais être assouplis, même si la date de fin du projet approche. Sunday, March 4, 12
Spécifications - Exigences de respect de la vie privée 1. Désigner le conseiller en respect de la vie privée 2. Désigner le responsable dans l’équipe pour la vie privée 3. Définir et documenter l’échelle, les valeurs et seuil attribués aux bogues de respect de la vie privée Sunday, March 4, 12
Spécifications – Recommandations de sécurité Sunday, March 4, 12
Spécifications – Recommandations de sécurité Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE – Permettre d’identifier la cause du Bug Sunday, March 4, 12
Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE – Permettre d’identifier la cause du Bug Sunday, March 4, 12
Spécifications – Evaluer le projet et les couts éventuels 1. Evaluer les portions du projet nécessitant : – modélisations des menaces – revues de conception de sécurité – tests de pénétration 2. Vérifier  le  taux  d’impact  sur  la  vie  privée – P1  :  Risque  élevé  sur  le  respect  de  la  vie  privé  =>   Le produit enregistre ou transfère des informations confidentielles – P2  :  Risque  modéré  =>  un transfert unique de données anonymes, initié par l’utilisateur – P3  :  Risque  faible  =>   Rien n’affecte le respect de la vie privée Sunday, March 4, 12
Conception 1. Effectuer une revue de conception 2. Effectuer des Analyses de risque – Modélisation des menaces (STRIDE/DREAD) – Code externes – Analyse des projets classés P1 (vie privée) Sunday, March 4, 12
STRIDE ? Catégorie Descrip@on Pas  un  bogue  de  sécurité   A^aque  par  laquelle  un  a^aquant  ou  un  serveur  non   Usurpa9on  (Spoofing) autorisé  se  fait  passer  pour  un  u9lisateur  ou  un  serveur   valide,  ou  un  code  malveillant  se  présente  comme  valide   Falsifica9on  (Tampering) Modifica9on  malveillante  des  données   Menaces  associées  aux  u9lisateurs  qui  nient  avoir   Répudia9on  (Repudia9on) effectué  une  ac9on  sans  que  les  autres  par9es  aient  le   moyen  de  prouver  le  contraire   Divulga9on  d’informa9ons   Menaces  qui  impliquent  l’exposi9on  des  informa9ons  à   (Informa9ons  Disclosure) des  individus  qui  ne  sont  pas  censés  y  accéder.   Déni  de  service  (Denial  of   A^aques  (DoS)  qui  empêchent  un  u9lisateur  autorisé   Service) d’accéder  aux  services   Éléva9on  de  privilège   Menace  qui  permet  à  un  u9lisateur  de  s’octroyer  une   (Eleva9on  of  Privilege) autorisa9on  supplémentaire   Réduc9on  de  la  surface   Il  est  important  d’iden9fier  la  surface  d’a^aque,  même  si   d’a^aque.    (A^ack  Surface   les  interfaces  qui  y  sont  exposées  ne  sont  pas  des   Reduc9on.  ) vulnérabilités  au  sens  technique   Sunday, March 4, 12
DREAD ? Catégorie Description Si la menace se produit, quel est le niveau de dommage : Dommage Potentiel 0 – Rien (Damage) 10 – Total compromission Quelle est la complexité pour reproduire la menace Reproductible 0 – quasi-impossible (Reproducibility) 10 – pas d’authentification, a travers un navigateur Web De quoi a-t-on besoin pour l’exploitation Exploitation (Exploitability) 0 – connaissance en programmation, des outils, … 10 – juste un navigateur Web Combien d’utilisateurs seront affectés Utilisateurs touchés (Affected 0 – Aucun Users) 5 – Quelques uns 10 – Tous La faille est-elle simple a découvrir 0 – quasi-impossible Découverte (Discoverability) 5 – via un sniffing réseau ou autre type 9 – les détails sont dans le domaine public 10 – Il suffit de regarder la barre du navigateur Web Sunday, March 4, 12
Calcul final DREAD DAMAGE REPRODUCIBILITY EXPLOITABILITY 5 AFFECTED USERS DISCOVERABILITY Sunday, March 4, 12
Implémentation 1. Créer  la  documenta@on  et  les  ou@ls  permeGant   d’adresser  les  problèmes  de  sécurité  et  de  vie   privée 2. Suivre  les  bonnes  pra@ques  de  développement 3. Intégrer  les  listes  de  contrôle  de  sécurité   4. Effectuer  une  revue  automa@sée  de  code Sunday, March 4, 12
Vérification 1. Utilisation du Fuzzing • Fichier • Réseau • Web 2. Revue de code • Définir les priorités de revue de code : • Code critique : noyau, utilisation d’éléments sensible • Code important : code élevant les privilèges • Code mineur : rarement utilisé. 3. Effectuer les tests de pénétration • Boite noire • Boite blanche 4. Revoir la surface d’attaque et la minimiser si possible Sunday, March 4, 12
Diffusion 1. Effectuer une revue des manipulations de données privées 2. Préparer les équipes au 2ème mercredi du mois Loi de Murphy 3. Effectuer la revue finale de sécurité Dernière version des documents projets et risques à destination de l’équipe sécurité. 4. Publier la version et archiver une copie. Sunday, March 4, 12
Réponse aux incidents 1. Définition des processus de réponses – Equipe dédiées à la vie privée – Equipes autres 2. Mise en place des communications – PGP 3. Interaction avec le cycle de vie Sunday, March 4, 12
SDL Agile 25 Sunday, March 4, 12
Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game Sunday, March 4, 12
Avant-propos… • Ceci est une proposition à certains endroits de la SDL pour éviter : • d’être aux aguets tous les 2èmes mardi du mois. • des bulletins du CERT longs… • que Larry(*) nous sorte toujours la même chanson…. *:Oracle unbreakable? => dernier Patch Update 10/10 à la CVSS (encore une fois)… Sunday, March 4, 12
Sunday, March 4, 12
Le problème • Confidentialité • Protéger les données, les systèmes, les processus d’un accès non autorisé • Intégrité • Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle. • Disponibilité • Assurer que les données, systèmes et processus sont accessible au moment voulu Sunday, March 4, 12
Le problème • Traçabilité • Assurer le cheminement de toute donnée, processus et la reconstruction des transactions • « Privacy » • Assurer que les données personnelles sont sous le contrôle de leur propriétaire • Conformité • Adhérer  aux  lois  et  réglementa9ons   • Image  de  marque • Ne  pas  se  retrouver  à  la  une  du  journal  «  Le   Monde  »  suite  à  un  incident Sunday, March 4, 12
Le problème • Traçabilité • Assurer le cheminement de toute donnée, processus et la reconstruction des transactions • « Privacy » • Assurer que les données personnelles sont sous le contrôle de leur propriétaire • Conformité • Adhérer  aux  lois  et  réglementa9ons   • Image  de  marque • Ne  pas  se  retrouver  à  la  une  du  journal  «  Le   Monde  »  suite  à  un  incident Sunday, March 4, 12
Le problème • Traçabilité • Assurer le cheminement de toute donnée, processus et la reconstruction des transactions • « Privacy » • Assurer que les données personnelles sont sous le contrôle de leur propriétaire • Conformité • Adhérer  aux  lois  et  réglementa9ons   • Image  de  marque • Ne  pas  se  retrouver  à  la  une  du  journal  «  Le   Monde  »  suite  à  un  incident Sunday, March 4, 12
Le problème Sunday, March 4, 12
0x01 32 Sunday, March 4, 12
0x01 Régler 80% des problèmes avec 20% d’effort 32 Sunday, March 4, 12
0x10b • Se jeter à l’eau : Sunday, March 4, 12
0x10b • Se jeter à l’eau : Corrigez tous les problèmes que vous pouvez trouver Sunday, March 4, 12
0x10b • Se jeter à l’eau : Corrigez tous les problèmes que vous pouvez trouver Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
0x10b • Se jeter à l’eau : Corrigez tous les problèmes que vous pouvez trouver Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
34 Sunday, March 4, 12
Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
Phase 1 - Spécifications § Mise en place du bugtracker – Catégories d’effet des bugs : • Elements STRIDE (ou autre des modélisations) – Catégories de cause des bugs : • XSS, CSRF, SQL-i, DOS, Crypto…. Sunday, March 4, 12
Phase 2 – Design - OWASP ASVS ? • Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements • Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. • Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code • Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! Sunday, March 4, 12
Phase 2 – Design - OWASP ASVS ? • Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements • Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. • Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code • Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! Sunday, March 4, 12
Politique de sécurité Sunday, March 4, 12
Phase 2 - Modélisation des attaques • Utilisation des méthodologies : • STRIDE • ISO 27005 Garder a l’esprit l’impact métier ! • SDL Threat Modeling Tool • ….. • Garder à l’esprit : • 0x01 : la règle du 80/20 Sunday, March 4, 12
Phase 2 - Modélisation des attaques • Utilisation des méthodologies : • STRIDE • ISO 27005 Garder a l’esprit l’impact métier ! • SDL Threat Modeling Tool • ….. • Garder à l’esprit : • 0x01 : la règle du 80/20 Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
Phase 2 - Modélisation des attaques • Utilisation des méthodologies : • STRIDE • ISO 27005 Garder a l’esprit l’impact métier ! • SDL Threat Modeling Tool • ….. • Garder à l’esprit : • 0x01 : la règle du 80/20 Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
Phase 3 - Développement § Suivre les best-practices : – OWASP  Secure  Coding  Prac@ces • hGps://www.owasp.org/index.php/Secure_Coding_Principles – CERT/Oracle  Secure  Coding  for  Java • https://www.securecoding.cert.org/confluence/display/java/The+CERT+Oracle+Secure+Coding +Standard+for+Java – Secure  Coding  Guidelines  for  Java  (Oracle) • hGp://www.oracle.com/technetwork/java/seccodeguide-­‐139067.html § Utiliser les bons outils/bibliothèques (https://www.owasp.org) – OWASP  CSRF  Guard – OWASP  Java  Sani@zer – OWASP  S@nger Sunday, March 4, 12
Phase 3 - Cookies Sunday, March 4, 12
Phase 3 - Validations Sunday, March 4, 12
Phase 3 – SQL Sunday, March 4, 12
The OWASP Foundation Phase 3 – Pour aller http://www.owasp.org OWASP Enterprise Security API Sunday, March 4, 12
Phase 4 - Revue de code § Design : • OWASP Cheat Sheets : https://www.owasp.org/index.php/ Category:Cheatsheets • OWASP Application Verification Standard : https://www.owasp.org/ index.php/ Category:OWASP_Application_Security_Verification_Standard_Project § Semi-Automatisé : • OWASP LAPSE+ : https://www.owasp.org/index.php/ OWASP_LAPSE_Project • CodePro Analytix : http://code.google.com/javadevtools/download- codepro.html • Build : • SONAR : http://www.sonarsource.org/ Sunday, March 4, 12
Phase 4 – Revue de code (Code Pro Analytix) Sunday, March 4, 12
Phase 4 - Tests de pénétration 1. S’adresser à des cabinets/consultants dont le métier est la gestion des risques informatiques. 2. Demander des rapports orientés métiers Ø ne  pas  se  contenter  de  rapports  techniques 3. Demander des classifications compatibles avec votre outil de bogue. Ø Ne  pas  u@liser  des  référen@els  non  standards 4. Demande un transfert de compétences sur les failles pour éduquer les acteurs Ø Et  donc  savoir  comment  corriger Sunday, March 4, 12
Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
Phase 5 – Release / Production Sunday, March 4, 12
@SPoint sebastien.gioria@owasp.org 50 Sunday, March 4, 12
@SPoint sebastien.gioria@owasp.org Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] 50 Sunday, March 4, 12

Empfohlen

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-OuestSébastien GIORIA
 

Empfohlen

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-OuestSébastien GIORIA
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
D'une photographie à l'autre. Essai d'analyse comparée.
D'une photographie à l'autre. Essai d'analyse comparée.D'une photographie à l'autre. Essai d'analyse comparée.
D'une photographie à l'autre. Essai d'analyse comparée.Santesih
 
Un arôme de pétales bleu turquoise
Un arôme de pétales bleu turquoiseUn arôme de pétales bleu turquoise
Un arôme de pétales bleu turquoiseagn-1
 
Initiation twitter
Initiation twitterInitiation twitter
Initiation twitterClaude Boé
 
Ecole primaire
Ecole primaire Ecole primaire
Ecole primaire Odile Drumetz
 
Code impots_2014_fr_b
Code impots_2014_fr_bCode impots_2014_fr_b
Code impots_2014_fr_bbelkadi069133
 
Calcul de dimensionnement
Calcul de dimensionnementCalcul de dimensionnement
Calcul de dimensionnementRachid Abdi
 
Tp final producción de textos 2012
Tp final producción de textos 2012Tp final producción de textos 2012
Tp final producción de textos 2012Verónica A. Dean
 
Iso
IsoIso
IsoMiguel Angel Quintero Restrepo
 
Una Buena Excusa
Una Buena ExcusaUna Buena Excusa
Una Buena Excusapolaco_s
 
Ficheidentite acteurs
Ficheidentite acteursFicheidentite acteurs
Ficheidentite acteursStéphanie LUCIEN-BRUN
 
trans1
trans1trans1
trans1fathedin ageeli
 
Quiero Volver
Quiero VolverQuiero Volver
Quiero VolverCris Araújo
 
La veille de nekid du 02.12.10 : l'arbre de noël de l'entreprise
La veille de nekid du 02.12.10 : l'arbre de noël de l'entrepriseLa veille de nekid du 02.12.10 : l'arbre de noël de l'entreprise
La veille de nekid du 02.12.10 : l'arbre de noël de l'entrepriseNé Kid
 
Què es la tecnologìa
Què es la tecnologìaQuè es la tecnologìa
Què es la tecnologìaCiuad de Asis
 

Weitere ähnliche Inhalte

Was ist angesagt?

OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 

Was ist angesagt? (8)

OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 

Andere mochten auch

D'une photographie à l'autre. Essai d'analyse comparée.
D'une photographie à l'autre. Essai d'analyse comparée.D'une photographie à l'autre. Essai d'analyse comparée.
D'une photographie à l'autre. Essai d'analyse comparée.Santesih
 
Un arôme de pétales bleu turquoise
Un arôme de pétales bleu turquoiseUn arôme de pétales bleu turquoise
Un arôme de pétales bleu turquoiseagn-1
 
Initiation twitter
Initiation twitterInitiation twitter
Initiation twitterClaude Boé
 
Code impots_2014_fr_b
Code impots_2014_fr_bCode impots_2014_fr_b
Code impots_2014_fr_bbelkadi069133
 
Calcul de dimensionnement
Calcul de dimensionnementCalcul de dimensionnement
Calcul de dimensionnementRachid Abdi
 
Tp final producción de textos 2012
Tp final producción de textos 2012Tp final producción de textos 2012
Tp final producción de textos 2012Verónica A. Dean
 
Una Buena Excusa
Una Buena ExcusaUna Buena Excusa
Una Buena Excusapolaco_s
 
La veille de nekid du 02.12.10 : l'arbre de noël de l'entreprise
La veille de nekid du 02.12.10 : l'arbre de noël de l'entrepriseLa veille de nekid du 02.12.10 : l'arbre de noël de l'entreprise
La veille de nekid du 02.12.10 : l'arbre de noël de l'entrepriseNé Kid
 
Què es la tecnologìa
Què es la tecnologìaQuè es la tecnologìa
Què es la tecnologìaCiuad de Asis
 
Ciencia técnica- tecnología -villar
Ciencia técnica- tecnología -villarCiencia técnica- tecnología -villar
Ciencia técnica- tecnología -villarCarola68
 
Grupo4 presentacion sesion virtual2
Grupo4 presentacion sesion virtual2Grupo4 presentacion sesion virtual2
Grupo4 presentacion sesion virtual2Vane Torres
 
PresentacióN Pego NéStor Portes 4 D En Talayuela
PresentacióN Pego NéStor Portes 4 D En TalayuelaPresentacióN Pego NéStor Portes 4 D En Talayuela
PresentacióN Pego NéStor Portes 4 D En Talayuelaseiscentros
 

Andere mochten auch (20)

D'une photographie à l'autre. Essai d'analyse comparée.
D'une photographie à l'autre. Essai d'analyse comparée.D'une photographie à l'autre. Essai d'analyse comparée.
D'une photographie à l'autre. Essai d'analyse comparée.
 
Un arôme de pétales bleu turquoise
Un arôme de pétales bleu turquoiseUn arôme de pétales bleu turquoise
Un arôme de pétales bleu turquoise
 
Initiation twitter
Initiation twitterInitiation twitter
Initiation twitter
 
Ecole primaire
Ecole primaire Ecole primaire
Ecole primaire
 
Code impots_2014_fr_b
Code impots_2014_fr_bCode impots_2014_fr_b
Code impots_2014_fr_b
 
Calcul de dimensionnement
Calcul de dimensionnementCalcul de dimensionnement
Calcul de dimensionnement
 
Tp final producción de textos 2012
Tp final producción de textos 2012Tp final producción de textos 2012
Tp final producción de textos 2012
 
Iso
IsoIso
Iso
 
Una Buena Excusa
Una Buena ExcusaUna Buena Excusa
Una Buena Excusa
 
Ficheidentite acteurs
Ficheidentite acteursFicheidentite acteurs
Ficheidentite acteurs
 
trans1
trans1trans1
trans1
 
Quiero Volver
Quiero VolverQuiero Volver
Quiero Volver
 
La veille de nekid du 02.12.10 : l'arbre de noël de l'entreprise
La veille de nekid du 02.12.10 : l'arbre de noël de l'entrepriseLa veille de nekid du 02.12.10 : l'arbre de noël de l'entreprise
La veille de nekid du 02.12.10 : l'arbre de noël de l'entreprise
 
Què es la tecnologìa
Què es la tecnologìaQuè es la tecnologìa
Què es la tecnologìa
 
PPT Alumnos
PPT AlumnosPPT Alumnos
PPT Alumnos
 
Ciencia técnica- tecnología -villar
Ciencia técnica- tecnología -villarCiencia técnica- tecnología -villar
Ciencia técnica- tecnología -villar
 
Grupo4 presentacion sesion virtual2
Grupo4 presentacion sesion virtual2Grupo4 presentacion sesion virtual2
Grupo4 presentacion sesion virtual2
 
Seminario 11
Seminario 11Seminario 11
Seminario 11
 
Fisica Ii 13
Fisica Ii 13Fisica Ii 13
Fisica Ii 13
 
PresentacióN Pego NéStor Portes 4 D En Talayuela
PresentacióN Pego NéStor Portes 4 D En TalayuelaPresentacióN Pego NéStor Portes 4 D En Talayuela
PresentacióN Pego NéStor Portes 4 D En Talayuela
 

Ähnlich wie 2012 03-02-sdl-sgi-v03

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
MS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdfMS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdfErol GIRAUDY
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
Sec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources SecuriteSec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources Securitegueste70933
 
Conformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsConformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsWiiisdom
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaCyber Security Alliance
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODMarc Rousselet
 

Ähnlich wie 2012 03-02-sdl-sgi-v03 (20)

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
MS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdfMS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdf
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
Sec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources SecuriteSec109 Outils Et Ressources Securite
Sec109 Outils Et Ressources Securite
 
Conformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsConformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjects
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
 

Mehr von Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 

Mehr von Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 

2012 03-02-sdl-sgi-v03

  • 1. The OWASP Foundation http://www.owasp.org Microsoft Security Development LifeCycle Sébastien Gioria OWASP France Leader OWASP Global Education Committee Confoo.ca 2 Mars 2012 - Montréal - Canada Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. Sunday, March 4, 12
  • 2. http://www.google.fr/#q=sebastien gioria ‣Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y ‣OWASP France Leader & Founder - Evangéliste ‣OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) ‣Responsable du Groupe Sécurité des Applications Web au CLUSIF Twitter :@SPoint CISA && ISO 27005 Risk Manager ‣ +13 ans d’expérience en Sécurité des Systèmes d’Information ‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms ‣ Expertise Technique - PenTesting, - Secure-SDLC - Gestion du risque, Architectures fonctionnelles, Audits - Consulting et Formation en Réseaux et Sécurité 2 2 Sunday, March 4, 12
  • 3. Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game 3 Sunday, March 4, 12
  • 4. Pourquoi ? Les  hackers  sont  astucieux Sunday, March 4, 12
  • 5. Le cout est important Sunday, March 4, 12
  • 6. Soyons donc précis ! Sunday, March 4, 12
  • 7. Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game Sunday, March 4, 12
  • 9. Security Development LifeCycle(SDL) § 2004 : « Stop Security Kiddies » § Méthode de développement sécurisée de tous les produits Microsoft ! Sunday, March 4, 12
  • 10. Security Development LifeCycle(SDL) § 2004 : « Stop Security Kiddies » § Méthode de développement sécurisée de tous les produits Microsoft ! Vainqueurs a la CVE 2010 Produit 1er 2ème 3ème Système   Linux  Kernel   Windows  Server   Apple  IOS  (35) d’exploita9on (129) 2008  (93) MS-­‐SQL  Server   SGBD Oracle  (36) Mysql  (3) (1) Navigateur Chrome  (164) Safari  (130) Firefox  (115) Sunday, March 4, 12
  • 11. The OWASP Foundation http://www.owasp.org Sunday, March 4, 12
  • 12. The OWASP Foundation http://www.owasp.org Sunday, March 4, 12
  • 13. The OWASP Foundation http://www.owasp.org Sunday, March 4, 12
  • 14. Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game Sunday, March 4, 12
  • 15. Formation • Obligatoire pour toute l’équipe projet : Architecte, Développeur, Testeur, Chef de projet • Contenu minimum • Conception sécurisée • Modélisation des menaces • Ecriture de code sécurisé • Tests de sécurité • Respect de la vie privée • Contenu avancé • Architecture et conception de la sécurité. • Conception de l’interface utilisateur • Problèmes de sécurité en détail • Processus de réponse de sécurité • Mise en œuvre d’atténuations personnalisées de menaces Sunday, March 4, 12
  • 16. Spécifications - Exigences de sécurité 1. Identifier l’équipe ou la personne qui sera responsable du suivi et de la gestion de la sécurité 2. Vérifier que les outils de suivi et de rapport des bogues assurent effectivement le suivi des problèmes de sécurité 3. Définir et documenter l’échelle des bogues et les valeurs et seuil ainsi attribués aux bogues de sécurité. L’échelle des bogues et le seuil associé ne doivent jamais être assouplis, même si la date de fin du projet approche. Sunday, March 4, 12
  • 17. Spécifications - Exigences de respect de la vie privée 1. Désigner le conseiller en respect de la vie privée 2. Désigner le responsable dans l’équipe pour la vie privée 3. Définir et documenter l’échelle, les valeurs et seuil attribués aux bogues de respect de la vie privée Sunday, March 4, 12
  • 18. Spécifications – Recommandations de sécurité Sunday, March 4, 12
  • 19. Spécifications – Recommandations de sécurité Sunday, March 4, 12
  • 20. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité Sunday, March 4, 12
  • 21. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité Sunday, March 4, 12
  • 22. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : Sunday, March 4, 12
  • 23. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : Sunday, March 4, 12
  • 24. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE Sunday, March 4, 12
  • 25. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE Sunday, March 4, 12
  • 26. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE – Permettre d’identifier la cause du Bug Sunday, March 4, 12
  • 27. Spécifications – Recommandations de sécurité 1. Mettre en place le plan de sécurité 2. Vérifier que l’outil de bogue peut prendre en compte les éléments de la modélisation des attaques . Il doit comporter 2 fonctionnalités : – Il doit être compatible STRIDE – Permettre d’identifier la cause du Bug Sunday, March 4, 12
  • 28. Spécifications – Evaluer le projet et les couts éventuels 1. Evaluer les portions du projet nécessitant : – modélisations des menaces – revues de conception de sécurité – tests de pénétration 2. Vérifier  le  taux  d’impact  sur  la  vie  privée – P1  :  Risque  élevé  sur  le  respect  de  la  vie  privé  =>   Le produit enregistre ou transfère des informations confidentielles – P2  :  Risque  modéré  =>  un transfert unique de données anonymes, initié par l’utilisateur – P3  :  Risque  faible  =>   Rien n’affecte le respect de la vie privée Sunday, March 4, 12
  • 29. Conception 1. Effectuer une revue de conception 2. Effectuer des Analyses de risque – Modélisation des menaces (STRIDE/DREAD) – Code externes – Analyse des projets classés P1 (vie privée) Sunday, March 4, 12
  • 30. STRIDE ? Catégorie Descrip@on Pas  un  bogue  de  sécurité   A^aque  par  laquelle  un  a^aquant  ou  un  serveur  non   Usurpa9on  (Spoofing) autorisé  se  fait  passer  pour  un  u9lisateur  ou  un  serveur   valide,  ou  un  code  malveillant  se  présente  comme  valide   Falsifica9on  (Tampering) Modifica9on  malveillante  des  données   Menaces  associées  aux  u9lisateurs  qui  nient  avoir   Répudia9on  (Repudia9on) effectué  une  ac9on  sans  que  les  autres  par9es  aient  le   moyen  de  prouver  le  contraire   Divulga9on  d’informa9ons   Menaces  qui  impliquent  l’exposi9on  des  informa9ons  à   (Informa9ons  Disclosure) des  individus  qui  ne  sont  pas  censés  y  accéder.   Déni  de  service  (Denial  of   A^aques  (DoS)  qui  empêchent  un  u9lisateur  autorisé   Service) d’accéder  aux  services   Éléva9on  de  privilège   Menace  qui  permet  à  un  u9lisateur  de  s’octroyer  une   (Eleva9on  of  Privilege) autorisa9on  supplémentaire   Réduc9on  de  la  surface   Il  est  important  d’iden9fier  la  surface  d’a^aque,  même  si   d’a^aque.    (A^ack  Surface   les  interfaces  qui  y  sont  exposées  ne  sont  pas  des   Reduc9on.  ) vulnérabilités  au  sens  technique   Sunday, March 4, 12
  • 31. DREAD ? Catégorie Description Si la menace se produit, quel est le niveau de dommage : Dommage Potentiel 0 – Rien (Damage) 10 – Total compromission Quelle est la complexité pour reproduire la menace Reproductible 0 – quasi-impossible (Reproducibility) 10 – pas d’authentification, a travers un navigateur Web De quoi a-t-on besoin pour l’exploitation Exploitation (Exploitability) 0 – connaissance en programmation, des outils, … 10 – juste un navigateur Web Combien d’utilisateurs seront affectés Utilisateurs touchés (Affected 0 – Aucun Users) 5 – Quelques uns 10 – Tous La faille est-elle simple a découvrir 0 – quasi-impossible Découverte (Discoverability) 5 – via un sniffing réseau ou autre type 9 – les détails sont dans le domaine public 10 – Il suffit de regarder la barre du navigateur Web Sunday, March 4, 12
  • 32. Calcul final DREAD DAMAGE REPRODUCIBILITY EXPLOITABILITY 5 AFFECTED USERS DISCOVERABILITY Sunday, March 4, 12
  • 33. Implémentation 1. Créer  la  documenta@on  et  les  ou@ls  permeGant   d’adresser  les  problèmes  de  sécurité  et  de  vie   privée 2. Suivre  les  bonnes  pra@ques  de  développement 3. Intégrer  les  listes  de  contrôle  de  sécurité   4. Effectuer  une  revue  automa@sée  de  code Sunday, March 4, 12
  • 34. Vérification 1. Utilisation du Fuzzing • Fichier • Réseau • Web 2. Revue de code • Définir les priorités de revue de code : • Code critique : noyau, utilisation d’éléments sensible • Code important : code élevant les privilèges • Code mineur : rarement utilisé. 3. Effectuer les tests de pénétration • Boite noire • Boite blanche 4. Revoir la surface d’attaque et la minimiser si possible Sunday, March 4, 12
  • 35. Diffusion 1. Effectuer une revue des manipulations de données privées 2. Préparer les équipes au 2ème mercredi du mois Loi de Murphy 3. Effectuer la revue finale de sécurité Dernière version des documents projets et risques à destination de l’équipe sécurité. 4. Publier la version et archiver une copie. Sunday, March 4, 12
  • 36. Réponse aux incidents 1. Définition des processus de réponses – Equipe dédiées à la vie privée – Equipes autres 2. Mise en place des communications – PGP 3. Interaction avec le cycle de vie Sunday, March 4, 12
  • 37. SDL Agile 25 Sunday, March 4, 12
  • 38. Agenda • La souris, le fromage et le chat • Qu’est-ce que Microsoft SDL ? • SDL Warrior • Duke in the game Sunday, March 4, 12
  • 39. Avant-propos… • Ceci est une proposition à certains endroits de la SDL pour éviter : • d’être aux aguets tous les 2èmes mardi du mois. • des bulletins du CERT longs… • que Larry(*) nous sorte toujours la même chanson…. *:Oracle unbreakable? => dernier Patch Update 10/10 à la CVSS (encore une fois)… Sunday, March 4, 12
  • 41. Le problème • Confidentialité • Protéger les données, les systèmes, les processus d’un accès non autorisé • Intégrité • Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle. • Disponibilité • Assurer que les données, systèmes et processus sont accessible au moment voulu Sunday, March 4, 12
  • 42. Le problème • Traçabilité • Assurer le cheminement de toute donnée, processus et la reconstruction des transactions • « Privacy » • Assurer que les données personnelles sont sous le contrôle de leur propriétaire • Conformité • Adhérer  aux  lois  et  réglementa9ons   • Image  de  marque • Ne  pas  se  retrouver  à  la  une  du  journal  «  Le   Monde  »  suite  à  un  incident Sunday, March 4, 12
  • 43. Le problème • Traçabilité • Assurer le cheminement de toute donnée, processus et la reconstruction des transactions • « Privacy » • Assurer que les données personnelles sont sous le contrôle de leur propriétaire • Conformité • Adhérer  aux  lois  et  réglementa9ons   • Image  de  marque • Ne  pas  se  retrouver  à  la  une  du  journal  «  Le   Monde  »  suite  à  un  incident Sunday, March 4, 12
  • 44. Le problème • Traçabilité • Assurer le cheminement de toute donnée, processus et la reconstruction des transactions • « Privacy » • Assurer que les données personnelles sont sous le contrôle de leur propriétaire • Conformité • Adhérer  aux  lois  et  réglementa9ons   • Image  de  marque • Ne  pas  se  retrouver  à  la  une  du  journal  «  Le   Monde  »  suite  à  un  incident Sunday, March 4, 12
  • 46. 0x01 32 Sunday, March 4, 12
  • 47. 0x01 Régler 80% des problèmes avec 20% d’effort 32 Sunday, March 4, 12
  • 48. 0x10b • Se jeter à l’eau : Sunday, March 4, 12
  • 49. 0x10b • Se jeter à l’eau : Corrigez tous les problèmes que vous pouvez trouver Sunday, March 4, 12
  • 50. 0x10b • Se jeter à l’eau : Corrigez tous les problèmes que vous pouvez trouver Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
  • 51. 0x10b • Se jeter à l’eau : Corrigez tous les problèmes que vous pouvez trouver Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
  • 61. Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
  • 62. Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
  • 63. Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
  • 64. Phase 0 - Formation • OWASP Top10 2010 : Les 10 risques les plus critiques des applications • CWE/SANS list : Top 25 Most Dangerous Programming Errors. • CERT Java Secure Coding • https://www.securecoding.cert.org/confluence/display/java/ The+CERT+Oracle+Secure+Coding+Standard+for+Java Sunday, March 4, 12
  • 65. Phase 1 - Spécifications § Mise en place du bugtracker – Catégories d’effet des bugs : • Elements STRIDE (ou autre des modélisations) – Catégories de cause des bugs : • XSS, CSRF, SQL-i, DOS, Crypto…. Sunday, March 4, 12
  • 66. Phase 2 – Design - OWASP ASVS ? • Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements • Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. • Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code • Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! Sunday, March 4, 12
  • 67. Phase 2 – Design - OWASP ASVS ? • Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements • Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application. • Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code • Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! Sunday, March 4, 12
  • 69. Phase 2 - Modélisation des attaques • Utilisation des méthodologies : • STRIDE • ISO 27005 Garder a l’esprit l’impact métier ! • SDL Threat Modeling Tool • ….. • Garder à l’esprit : • 0x01 : la règle du 80/20 Sunday, March 4, 12
  • 70. Phase 2 - Modélisation des attaques • Utilisation des méthodologies : • STRIDE • ISO 27005 Garder a l’esprit l’impact métier ! • SDL Threat Modeling Tool • ….. • Garder à l’esprit : • 0x01 : la règle du 80/20 Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
  • 71. Phase 2 - Modélisation des attaques • Utilisation des méthodologies : • STRIDE • ISO 27005 Garder a l’esprit l’impact métier ! • SDL Threat Modeling Tool • ….. • Garder à l’esprit : • 0x01 : la règle du 80/20 Si vous n’êtes pas prêts à corriger, ne cherchez pas ! Sunday, March 4, 12
  • 72. Phase 3 - Développement § Suivre les best-practices : – OWASP  Secure  Coding  Prac@ces • hGps://www.owasp.org/index.php/Secure_Coding_Principles – CERT/Oracle  Secure  Coding  for  Java • https://www.securecoding.cert.org/confluence/display/java/The+CERT+Oracle+Secure+Coding +Standard+for+Java – Secure  Coding  Guidelines  for  Java  (Oracle) • hGp://www.oracle.com/technetwork/java/seccodeguide-­‐139067.html § Utiliser les bons outils/bibliothèques (https://www.owasp.org) – OWASP  CSRF  Guard – OWASP  Java  Sani@zer – OWASP  S@nger Sunday, March 4, 12
  • 73. Phase 3 - Cookies Sunday, March 4, 12
  • 74. Phase 3 - Validations Sunday, March 4, 12
  • 75. Phase 3 – SQL Sunday, March 4, 12
  • 76. The OWASP Foundation Phase 3 – Pour aller http://www.owasp.org OWASP Enterprise Security API Sunday, March 4, 12
  • 77. Phase 4 - Revue de code § Design : • OWASP Cheat Sheets : https://www.owasp.org/index.php/ Category:Cheatsheets • OWASP Application Verification Standard : https://www.owasp.org/ index.php/ Category:OWASP_Application_Security_Verification_Standard_Project § Semi-Automatisé : • OWASP LAPSE+ : https://www.owasp.org/index.php/ OWASP_LAPSE_Project • CodePro Analytix : http://code.google.com/javadevtools/download- codepro.html • Build : • SONAR : http://www.sonarsource.org/ Sunday, March 4, 12
  • 78. Phase 4 – Revue de code (Code Pro Analytix) Sunday, March 4, 12
  • 79. Phase 4 - Tests de pénétration 1. S’adresser à des cabinets/consultants dont le métier est la gestion des risques informatiques. 2. Demander des rapports orientés métiers Ø ne  pas  se  contenter  de  rapports  techniques 3. Demander des classifications compatibles avec votre outil de bogue. Ø Ne  pas  u@liser  des  référen@els  non  standards 4. Demande un transfert de compétences sur les failles pour éduquer les acteurs Ø Et  donc  savoir  comment  corriger Sunday, March 4, 12
  • 80. Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
  • 81. Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
  • 82. Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
  • 83. Phase 4 - Mettre en place des tableaux de décision Sunday, March 4, 12
  • 84. Phase 5 – Release / Production Sunday, March 4, 12
  • 85. @SPoint sebastien.gioria@owasp.org 50 Sunday, March 4, 12
  • 86. @SPoint sebastien.gioria@owasp.org Il n'y a qu'une façon d'échouer, c'est d'abandonner avant d'avoir réussi [Olivier Lockert] 50 Sunday, March 4, 12