OWASP Mobile Top10 - Les 10 risques sur les mobiles
2014 09-25-club-27001 iso 27034-presentation-v2.2
1. LA NORME ISO 27034
Sebastien Gioria
Club 27001 – Paris
25 Septembre 2014
Document confidentiel www.advens.fr - Advens® 2014
2. Agenda
§ Problématiques initiales et besoins exprimés
pour la création de la norme
§ Les différents tomes
§ La norme ISO 27034-1:2011
§ Questions/Réponses ?
Document confidentiel www.advens.fr - Advens® 2014 2
3. http://www.google.fr/#q=sebastien gioria
‣ Innovation and Technology @Advens &&
Application Security Expert
‣ OWASP France Leader & Founder &
Evangelist,
‣ OWASP ISO Project & OWASP SonarQube Project
Leader
‣ Proud father of youngs kids trying to hack my
digital life.
Twitter :@SPoint
Document confidentiel www.advens.fr - Advens® 2014 3
4. Qui sommes-nous ?
Nous aidons les organisations, publiques ou privées, à manager la sécurité de
l'information pour en améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des
compétences sectorielles
• Une offre unique pour délivrer la sécurité
de bout en bout, « as-a-service »
• Une approche pragmatique et des
tableaux de bord actionnables
• Une vision globale et indépendante des
technologies
Éléments clés
• Créée en 2000
• CA 10 millions euros
• 80 collaborateurs basés à Paris, Lille,
Lyon, Grenoble, Niort
• Plus de 300 clients actifs en France et à
l’international
• Prestataire d’audit de la sécurité des SI
(PASSI) en cours par l’ANSSI
Document confidentiel www.advens.fr - Advens® 2014 4
5. Problématiques initiales et besoins exprimés pour
la création de la norme
Document confidentiel www.advens.fr - Advens® 2014 5
6. 80% des budgets sécurité sont consacrés à l’infrastructure
alors que les applications concentrent 90% des vulnérabilités*
99% des applications Web sont vulnérables**
En moyenne, une application contient 13 failles**
3,61$ par ligne de code, c’est le coût de la non
qualité/sécurité dans un développement***
*Source : Ponemon Institute 2013
**Sources Cenzic 2013
Document confidentiel www.advens.fr - Advens® 2014 6
***Source : Castsoftware 2012
7. Différentes causes pour les mêmes résultats
Les utilisateurs cherchent agilité et autonomie
➜ Se tournent vers le Cloud sans évaluer la sécurité
➜ Bypassent la DSI, le RSSI
➜ Cherchent à optimiser les coûts et des délais rapides
Les développeurs manquent de moyens
➜ Manquent de sensibilisation et de formation
➜ Utilisent des méthodologies dans lesquelles la sécurité n’est pas intégrée
➜ Répondent à des cahiers des charges qui n’intègrent pas d’exigences
Les éditeurs ne maîtrisent pas la sécurité dans leurs produits
➜ Pression du marché / Time to market
➜ Absence de clauses sécurité dans les achats et dans les appels d’offres
Document confidentiel www.advens.fr - Advens® 2014 7
8. Problématiques des utilisateurs finaux
§ Les vulnérabilités applicatives ont un impact plus fort qu'il y a 10 ans.
§ L'environnement technologique est complexe
§ Il est difficile de garder toujours le même niveau de sécurité, en particulier
lors de la maintenance de l'application
§ Il faut rester conforme aux différents contextes règlementaires et législatifs
§ Il y a peu ou pas de contrôle sur les applications acquises
› vulnérabilités ?
› configuration / installation ?
› opérations ?
§ Pas ou peu d'exigences de sécurité lors des A.O ou sur les contrats
› dépendance du fournisseur
› pas de droit de regard client parfois (clauses d'audit interdites)
› ...
Document confidentiel www.advens.fr - Advens® 2014 8
9. Besoins exprimés pour la création
§ L'utilisateur final a besoin d'outils pour définir les
exigences des le début du projet
§ L'editeur a besoin d'outils pour se conformer aux
exigences
§ L'auditeur a besoin d'outils pour évaluer la sécurité des
applications
› Processus
› Méthode
› Critères de controle
Document confidentiel www.advens.fr - Advens® 2014 9
10. Les différents tomes de la série 27034
Document confidentiel www.advens.fr - Advens® 2014 10
11. ISO27034, une norme en 7 tomes
§ 27034-1 : Concepts et survol global –
› Etat : 60.60
§ 27034-2 : Cadre normatif de l'organisation - Que faut-il utiliser ?
› Etat : 40.20
§ 27034-3 : Processus de gestion de la sécurité d'une application - Comment
intégrer dans le processus la sécurité ?
› Etat : 10.99
§ 27034-4 : Validation de la sécurité d'une application (organisation, application,
humaine)
› Etat 10.99
§ 27034-5 : Protocoles et structures de données des contrôles de sécurité
applicative
› Etat : 30.20
§ 27034-6 : Pratique de sécurité pour des cas spécifiques d'applications
(exemples, case study)
› Etat 30.20
§ 27034-7 : Application security control attribute predictability (concept américain
J)
› Etat 10.99
Document confidentiel www.advens.fr - Advens® 2014 11
12. Liens avec les autres normes ISO - § 0.5
Document confidentiel www.advens.fr - Advens® 2014 12
13. La norme dans le détail
Document confidentiel www.advens.fr - Advens® 2014 13
14. Objectifs de la norme ISO 27034
§ Proposer un modèle permettant de faciliter l'intégration de la
sécurité dans le cycle de vie de développement d'une application
› qu'elle soit développée en interne
› qu'elle soit en partie "achetée"
› qu'elle soit en mode SAAS
§ Proposer un modèle pouvant s'adapter aux processus et
méthodologie de l'organisation
§ Mais en aucun cas
› de proposer des contrôles ou règles de développement => voir
OWASP ;)
Document confidentiel www.advens.fr - Advens® 2014 14
15. Principes
§ La sécurité est une exigence métier
§ La sécurité d'une application dépend de son contexte
d'utilisation
§ La sécurité d'une application doit pouvoir être démontrée
§ Il est nécessaire de pouvoir connaitre le bon niveau
d'investissement financier pour sécuriser l'application
§ La portée de la sécurité d'une application est
› tout ce qui au sein de l'organisation peut mettre en péril
l'information critique
› tout ce qu'il faut contrôler pour protéger l'information
› inclut les personnes, processus, et l'infrastructure
technologique
Document confidentiel www.advens.fr - Advens® 2014 15
16. Portée de la sécurité d'une application - § 6.3
Document confidentiel www.advens.fr - Advens® 2014 16
17. Principes - processus - § 7
Processus de
gestion des risques
appliqué à chaque
applicatif
Cadre normatif de
l'organisation
Document confidentiel www.advens.fr - Advens® 2014 17
18. Cadre normatif de l'organisation – §8
Documente les standards et
pratiques de l'organisation :
• processus de gesiont de
projet,...
• politiques de sécurité
• regles de developpemet,
• ...
Documente les produits, services
et technologies utilisées par
l'organisation, et permet de
déterminer les menaces auquelles
fait face l'application
Documente le contexte
réglementaire et legislatif ou sont
utilisées les applications
Dépot des spécifications et
besoins fonctionnels ainsi que les
solutions utilisées pour y répondre.
On y trouve aussi le code, les
librairies, ...
Roles, responsabilittés et
quelifications pour le projet.
S'assure que tous les acteurs pour
les processus sont définis et
assure la séparation des privilèges
Contient tous les contrôles de
sécurité applicative approuvés
C'est aussi un recueil des bonnes
pratiques
Contient tous les processus de
sécurité impliqués par la sécurité
des applications de l'organisation
Modèle de cycle de vie standard
pour la sécurité d'une application
(cf slide suivant)
Document confidentiel www.advens.fr - Advens® 2014 18
19. Modèle de cycle de vie pour la sécurité applicative
- § 8.1.2.7
Buts :
• aider l'organisation à valider le cycle de vie de chacune des applications
• aider l'organisation à s'assurer que les problèmes de sécurité sont correctement
adressés
• aider l'organisation à minimiser le cout et l'impact de l'ISO27034 dans les projets
• fournir un modèle standard pour le partage des ASCs a travers les projets
Document confidentiel www.advens.fr - Advens® 2014 19
20. Controle de Sécurité Applicative (ASC) § 8.1.2.6.5
§ Mesure de réduction du risque
§ Crée, approuvé et maintenu par l'organisation
§ Utilisé par les équipes de projet, d'opération, d'assurance qualité et d'audit
§ Peut être utilisé comme critère d'acception lors du développement
§ Vérifiable / Auditable
§ Décrit formellement dans un format standard (XML)
Document confidentiel www.advens.fr - Advens® 2014 20
21. Librairie des controles de sécurité applicative §
8.1.2.6.2
§ Peut être vue comme une grille
Document confidentiel www.advens.fr - Advens® 2014 21
22. Application Level of Trust § 8.1.2.6.4
§ Indice de tolérance au risque
§ Concrétisé par un ensemble de contrôle (cf une colonne de la grille de la librairie des
contrôles)
§ Plusieurs niveaux sont définis :
› Targeted Level of Trust : niveau de confiance cible définit par le propriétaire de l'application
suite à l'analyse des risques
› Actual Level of Trust : niveau de confiance réel, suite a un audit par ex
Document confidentiel www.advens.fr - Advens® 2014 22
23. Processus de gestion de la sécurité § 7.3
Détermination des élément impactant l
sécurité de l'application :
• specs
• acteurs
• information
• contexte business/relegislatif et
Identification, analyse et evaluation du technologique
risque
Deduction des exigences de sécurité
Extraction de l'ONF, des contrôles
pertinents pour réduire les risques en
fonction du 1 et du 2
Détermination du niveau de sécurité/
confiance par le propriétaire de
l'application
Il en sort un cadre appelé ANF. Il contient
toute l'information relative à la sécurité
de l'application
Vérification du résultat de toutes les activités de
vérification et tous les contrôles
Le résultat qui en sort est le niveau de confiance
réel
Tous les controles de l'ANF sont utilisés pendant
le cycle de vie de l'application
Réalisation des activités de sécurité de tous les
contrôles
Réalisation de toutes les activités de vérification
des contrôles
Document confidentiel www.advens.fr - Advens® 2014 23
24. Processus de vérification de la sécurité § 8.5
Document confidentiel www.advens.fr - Advens® 2014 24
25. Apports directes de la norme
§ Un cadre standard de gestion des risques applicatifs
§ Un futur référentiel permettant de « vérifier » / « valider »
le niveau de sécurité d’une application
§ Des processus permettant la certification des
entreprises/applications
ET PUIS C’EST TOUT !!!
Document confidentiel www.advens.fr - Advens® 2014 25
26. Inconvénients / Effort de déploiements
§ Définir les rôles et responsabilités :
› peut être assez complexe suivant le S.I
› complexe dans le cas de S.I infogérés (Cloud....) existants
§ Documenter les processus et les composants
› Les mettre a jour pour coller a la norme
§ Créer les cadres normatifs de l’organisation
§ Mettre en oeuvre le processus :
1. dans l’organisation
2. dans les projets !
Gérer le changement !
Document confidentiel www.advens.fr - Advens® 2014 26
27. Apports indirects (Avantages) de la norme
§ Apporte une augmentation du niveau de sécurité des applications
§ Uniformisation et normalisation de la sécurité des applications :
› OWASP ASVS
› OWASP OpenSAMM
› BSIMM (Cigital)
› SDL (Microsoft)
› .....
§ Meilleur controle des fournisseurs d’applications (internes, externes)
§ Réutilisation des composants, processus et contrôles existants
Roles Responsabiltié Bénéfice de la norme
Managers Gérer le cout de l’implémentation et du
maintient de la sécurité applicative
Permet de prouver que l’application a atteint le niveau de
sécurité voulu et qu’elle le maintient
Developers Comprendre ou la sécurité doit être
appliqué dans chacune des phase du cycle
de vie de l’application
Permet d’identifier et implémenter les controles de
sécurité nécessaires
Auditors Vérifier les contrôles pour prouver le niveau
de sécurité de l’application
Permet de standardiser le processus de certification en
sécurité applicative
End users N/A Permet de s’assurer que l’application peut être utilisée en
toute sécurité.
Document confidentiel www.advens.fr - Advens® 2014 27
28. Les questions qui fachent ! ou pas !
§ Existe-t-il des certifications ISO 27034 ?
› Réponse : Oui via le PECB ! (LSTI si vous m’entendez, venez me voir J)
− ISO 27034 Lead Auditor
− ISO 27034 Lead Implementer
− ISO 27034 Fundations
§ Existe-t-il des entreprises ayant implémentées la norme ?
› Réponse : Oui !
− Au moins Microsoft (facile vu que la SDL colle dans l’annexe A....) ; cf blog microsoft.com
« Microsoft has used a risk based approach to guide software security investments through a
program of continuous improvement and processes since the Security Development Lifecycle
(SDL) became a company-wide mandatory policy in 2004. In 2012, Microsoft used ISO/IEC
27034-1, an international application security standard as a baseline to evaluate mandatory
engineering policies, standards, and procedures along with their supporting people, processes,
and tools.
All current mandatory application security related policies, standards, and procedures along with
their supporting people, processes, and tools meet or exceed the guidance in ISO/IEC 27034-1 as
published in 2011. »
− Un équipementier serait en cours en France....
− Différentes sociétés canadiennes (facile, le créateur de la norme est canadien ;))
Document confidentiel www.advens.fr - Advens® 2014 28
29. Prochaines dates
§ Application Security Forum Western Switzerland – Yverdon les Bains
– 4 au 6 Novembre 2014 - http://www.appsec-forum.ch/
› Secure Coding for Java – 1 Day training
› SonarQube pour la sécurité applicative
§ CLUSIR InfoNord – 16 Décembre 2014
› Le paradigme de la sécurité des objets connectés; Présentation de
l’OWASP Top10 IoT
§ Confoo 2015 – Montreal – 16 au 20 Février 2015
§ OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015
Document confidentiel www.advens.fr - Advens® 2014 29
31. Merci pour votre participation
Application
Security
Academy
Saisons 1, 2 et 3
Groupe LinkedIn Webinars – 9 épisodes
Découvrez nos ressources sur la sécurité des applications
www.advens.fr/blog
Document confidentiel www.advens.fr - Advens® 2014 31
32. VOTRE CONTACT
Sébastien Gioria | Innovation & Technologies
4 square Edouard VII – 75009 Paris
T + 33 (0)1 84 16 30 25Ÿ F +33 (0)3 20 70 54 28 Ÿ M +33 (0)6 70 59 11 44
sebastien.gioria@advens.fr Ÿ www.advens.fr
Document confidentiel www.advens.fr - Advens® 2014