SlideShare une entreprise Scribd logo

2014 09-25-club-27001 iso 27034-presentation-v2.2

Sébastien GIORIA
Sébastien GIORIA

PRésentation de la norme ISO 27034 au Club 27001 PAris

Internet
1  sur  32
Télécharger pour lire hors ligne
LA NORME ISO 27034 Sebastien Gioria Club 27001 – Paris 25 Septembre 2014 Document confidentiel www.advens.fr - Advens® 2014
Agenda § Problématiques initiales et besoins exprimés pour la création de la norme § Les différents tomes § La norme ISO 27034-1:2011 § Questions/Réponses ? Document confidentiel www.advens.fr - Advens® 2014 2
http://www.google.fr/#q=sebastien gioria ‣ Innovation and Technology @Advens && Application Security Expert ‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader ‣ Proud father of youngs kids trying to hack my digital life. Twitter :@SPoint Document confidentiel www.advens.fr - Advens® 2014 3
Qui sommes-nous ? Nous aidons les organisations, publiques ou privées, à manager la sécurité de l'information pour en améliorer la performance. Nos différences • La valorisation de la fonction sécurité • Une approche métier s’appuyant sur des compétences sectorielles • Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » • Une approche pragmatique et des tableaux de bord actionnables • Une vision globale et indépendante des technologies Éléments clés • Créée en 2000 • CA 10 millions euros • 80 collaborateurs basés à Paris, Lille, Lyon, Grenoble, Niort • Plus de 300 clients actifs en France et à l’international • Prestataire d’audit de la sécurité des SI (PASSI) en cours par l’ANSSI Document confidentiel www.advens.fr - Advens® 2014 4
Problématiques initiales et besoins exprimés pour la création de la norme Document confidentiel www.advens.fr - Advens® 2014 5
80% des budgets sécurité sont consacrés à l’infrastructure alors que les applications concentrent 90% des vulnérabilités* 99% des applications Web sont vulnérables** En moyenne, une application contient 13 failles** 3,61$ par ligne de code, c’est le coût de la non qualité/sécurité dans un développement*** *Source : Ponemon Institute 2013 **Sources Cenzic 2013 Document confidentiel www.advens.fr - Advens® 2014 6 ***Source : Castsoftware 2012
Différentes causes pour les mêmes résultats Les utilisateurs cherchent agilité et autonomie ➜ Se tournent vers le Cloud sans évaluer la sécurité ➜ Bypassent la DSI, le RSSI ➜ Cherchent à optimiser les coûts et des délais rapides Les développeurs manquent de moyens ➜ Manquent de sensibilisation et de formation ➜ Utilisent des méthodologies dans lesquelles la sécurité n’est pas intégrée ➜ Répondent à des cahiers des charges qui n’intègrent pas d’exigences Les éditeurs ne maîtrisent pas la sécurité dans leurs produits ➜ Pression du marché / Time to market ➜ Absence de clauses sécurité dans les achats et dans les appels d’offres Document confidentiel www.advens.fr - Advens® 2014 7
Problématiques des utilisateurs finaux § Les vulnérabilités applicatives ont un impact plus fort qu'il y a 10 ans. § L'environnement technologique est complexe § Il est difficile de garder toujours le même niveau de sécurité, en particulier lors de la maintenance de l'application § Il faut rester conforme aux différents contextes règlementaires et législatifs § Il y a peu ou pas de contrôle sur les applications acquises › vulnérabilités ? › configuration / installation ? › opérations ? § Pas ou peu d'exigences de sécurité lors des A.O ou sur les contrats › dépendance du fournisseur › pas de droit de regard client parfois (clauses d'audit interdites) › ... Document confidentiel www.advens.fr - Advens® 2014 8
Besoins exprimés pour la création § L'utilisateur final a besoin d'outils pour définir les exigences des le début du projet § L'editeur a besoin d'outils pour se conformer aux exigences § L'auditeur a besoin d'outils pour évaluer la sécurité des applications › Processus › Méthode › Critères de controle Document confidentiel www.advens.fr - Advens® 2014 9
Les différents tomes de la série 27034 Document confidentiel www.advens.fr - Advens® 2014 10
ISO27034, une norme en 7 tomes § 27034-1 : Concepts et survol global – › Etat : 60.60 § 27034-2 : Cadre normatif de l'organisation - Que faut-il utiliser ? › Etat : 40.20 § 27034-3 : Processus de gestion de la sécurité d'une application - Comment intégrer dans le processus la sécurité ? › Etat : 10.99 § 27034-4 : Validation de la sécurité d'une application (organisation, application, humaine) › Etat 10.99 § 27034-5 : Protocoles et structures de données des contrôles de sécurité applicative › Etat : 30.20 § 27034-6 : Pratique de sécurité pour des cas spécifiques d'applications (exemples, case study) › Etat 30.20 § 27034-7 : Application security control attribute predictability (concept américain J) › Etat 10.99 Document confidentiel www.advens.fr - Advens® 2014 11
Liens avec les autres normes ISO - § 0.5 Document confidentiel www.advens.fr - Advens® 2014 12
La norme dans le détail Document confidentiel www.advens.fr - Advens® 2014 13
Objectifs de la norme ISO 27034 § Proposer un modèle permettant de faciliter l'intégration de la sécurité dans le cycle de vie de développement d'une application › qu'elle soit développée en interne › qu'elle soit en partie "achetée" › qu'elle soit en mode SAAS § Proposer un modèle pouvant s'adapter aux processus et méthodologie de l'organisation § Mais en aucun cas › de proposer des contrôles ou règles de développement => voir OWASP ;) Document confidentiel www.advens.fr - Advens® 2014 14
Principes § La sécurité est une exigence métier § La sécurité d'une application dépend de son contexte d'utilisation § La sécurité d'une application doit pouvoir être démontrée § Il est nécessaire de pouvoir connaitre le bon niveau d'investissement financier pour sécuriser l'application § La portée de la sécurité d'une application est › tout ce qui au sein de l'organisation peut mettre en péril l'information critique › tout ce qu'il faut contrôler pour protéger l'information › inclut les personnes, processus, et l'infrastructure technologique Document confidentiel www.advens.fr - Advens® 2014 15
Portée de la sécurité d'une application - § 6.3 Document confidentiel www.advens.fr - Advens® 2014 16
Principes - processus - § 7 Processus de gestion des risques appliqué à chaque applicatif Cadre normatif de l'organisation Document confidentiel www.advens.fr - Advens® 2014 17
Cadre normatif de l'organisation – §8 Documente les standards et pratiques de l'organisation : • processus de gesiont de projet,... • politiques de sécurité • regles de developpemet, • ... Documente les produits, services et technologies utilisées par l'organisation, et permet de déterminer les menaces auquelles fait face l'application Documente le contexte réglementaire et legislatif ou sont utilisées les applications Dépot des spécifications et besoins fonctionnels ainsi que les solutions utilisées pour y répondre. On y trouve aussi le code, les librairies, ... Roles, responsabilittés et quelifications pour le projet. S'assure que tous les acteurs pour les processus sont définis et assure la séparation des privilèges Contient tous les contrôles de sécurité applicative approuvés C'est aussi un recueil des bonnes pratiques Contient tous les processus de sécurité impliqués par la sécurité des applications de l'organisation Modèle de cycle de vie standard pour la sécurité d'une application (cf slide suivant) Document confidentiel www.advens.fr - Advens® 2014 18
Modèle de cycle de vie pour la sécurité applicative - § 8.1.2.7 Buts : • aider l'organisation à valider le cycle de vie de chacune des applications • aider l'organisation à s'assurer que les problèmes de sécurité sont correctement adressés • aider l'organisation à minimiser le cout et l'impact de l'ISO27034 dans les projets • fournir un modèle standard pour le partage des ASCs a travers les projets Document confidentiel www.advens.fr - Advens® 2014 19
Controle de Sécurité Applicative (ASC) § 8.1.2.6.5 § Mesure de réduction du risque § Crée, approuvé et maintenu par l'organisation § Utilisé par les équipes de projet, d'opération, d'assurance qualité et d'audit § Peut être utilisé comme critère d'acception lors du développement § Vérifiable / Auditable § Décrit formellement dans un format standard (XML) Document confidentiel www.advens.fr - Advens® 2014 20
Librairie des controles de sécurité applicative § 8.1.2.6.2 § Peut être vue comme une grille Document confidentiel www.advens.fr - Advens® 2014 21
Application Level of Trust § 8.1.2.6.4 § Indice de tolérance au risque § Concrétisé par un ensemble de contrôle (cf une colonne de la grille de la librairie des contrôles) § Plusieurs niveaux sont définis : › Targeted Level of Trust : niveau de confiance cible définit par le propriétaire de l'application suite à l'analyse des risques › Actual Level of Trust : niveau de confiance réel, suite a un audit par ex Document confidentiel www.advens.fr - Advens® 2014 22
Processus de gestion de la sécurité § 7.3 Détermination des élément impactant l sécurité de l'application : • specs • acteurs • information • contexte business/relegislatif et Identification, analyse et evaluation du technologique risque Deduction des exigences de sécurité Extraction de l'ONF, des contrôles pertinents pour réduire les risques en fonction du 1 et du 2 Détermination du niveau de sécurité/ confiance par le propriétaire de l'application Il en sort un cadre appelé ANF. Il contient toute l'information relative à la sécurité de l'application Vérification du résultat de toutes les activités de vérification et tous les contrôles Le résultat qui en sort est le niveau de confiance réel Tous les controles de l'ANF sont utilisés pendant le cycle de vie de l'application Réalisation des activités de sécurité de tous les contrôles Réalisation de toutes les activités de vérification des contrôles Document confidentiel www.advens.fr - Advens® 2014 23
Processus de vérification de la sécurité § 8.5 Document confidentiel www.advens.fr - Advens® 2014 24
Apports directes de la norme § Un cadre standard de gestion des risques applicatifs § Un futur référentiel permettant de « vérifier » / « valider » le niveau de sécurité d’une application § Des processus permettant la certification des entreprises/applications ET PUIS C’EST TOUT !!! Document confidentiel www.advens.fr - Advens® 2014 25
Inconvénients / Effort de déploiements § Définir les rôles et responsabilités : › peut être assez complexe suivant le S.I › complexe dans le cas de S.I infogérés (Cloud....) existants § Documenter les processus et les composants › Les mettre a jour pour coller a la norme § Créer les cadres normatifs de l’organisation § Mettre en oeuvre le processus : 1. dans l’organisation 2. dans les projets ! Gérer le changement ! Document confidentiel www.advens.fr - Advens® 2014 26
Apports indirects (Avantages) de la norme § Apporte une augmentation du niveau de sécurité des applications § Uniformisation et normalisation de la sécurité des applications : › OWASP ASVS › OWASP OpenSAMM › BSIMM (Cigital) › SDL (Microsoft) › ..... § Meilleur controle des fournisseurs d’applications (internes, externes) § Réutilisation des composants, processus et contrôles existants Roles Responsabiltié Bénéfice de la norme Managers Gérer le cout de l’implémentation et du maintient de la sécurité applicative Permet de prouver que l’application a atteint le niveau de sécurité voulu et qu’elle le maintient Developers Comprendre ou la sécurité doit être appliqué dans chacune des phase du cycle de vie de l’application Permet d’identifier et implémenter les controles de sécurité nécessaires Auditors Vérifier les contrôles pour prouver le niveau de sécurité de l’application Permet de standardiser le processus de certification en sécurité applicative End users N/A Permet de s’assurer que l’application peut être utilisée en toute sécurité. Document confidentiel www.advens.fr - Advens® 2014 27
Les questions qui fachent ! ou pas ! § Existe-t-il des certifications ISO 27034 ? › Réponse : Oui via le PECB ! (LSTI si vous m’entendez, venez me voir J) − ISO 27034 Lead Auditor − ISO 27034 Lead Implementer − ISO 27034 Fundations § Existe-t-il des entreprises ayant implémentées la norme ? › Réponse : Oui ! − Au moins Microsoft (facile vu que la SDL colle dans l’annexe A....) ; cf blog microsoft.com « Microsoft has used a risk based approach to guide software security investments through a program of continuous improvement and processes since the Security Development Lifecycle (SDL) became a company-wide mandatory policy in 2004. In 2012, Microsoft used ISO/IEC 27034-1, an international application security standard as a baseline to evaluate mandatory engineering policies, standards, and procedures along with their supporting people, processes, and tools. All current mandatory application security related policies, standards, and procedures along with their supporting people, processes, and tools meet or exceed the guidance in ISO/IEC 27034-1 as published in 2011. » − Un équipementier serait en cours en France.... − Différentes sociétés canadiennes (facile, le créateur de la norme est canadien ;)) Document confidentiel www.advens.fr - Advens® 2014 28
Prochaines dates § Application Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 - http://www.appsec-forum.ch/ › Secure Coding for Java – 1 Day training › SonarQube pour la sécurité applicative § CLUSIR InfoNord – 16 Décembre 2014 › Le paradigme de la sécurité des objets connectés; Présentation de l’OWASP Top10 IoT § Confoo 2015 – Montreal – 16 au 20 Février 2015 § OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015 Document confidentiel www.advens.fr - Advens® 2014 29
? Questions / Réponses Document confidentiel www.advens.fr - Advens® 2014 30
Merci pour votre participation Application Security Academy Saisons 1, 2 et 3 Groupe LinkedIn Webinars – 9 épisodes Découvrez nos ressources sur la sécurité des applications www.advens.fr/blog Document confidentiel www.advens.fr - Advens® 2014 31
VOTRE CONTACT Sébastien Gioria | Innovation & Technologies 4 square Edouard VII – 75009 Paris T + 33 (0)1 84 16 30 25Ÿ F +33 (0)3 20 70 54 28 Ÿ M +33 (0)6 70 59 11 44 sebastien.gioria@advens.fr Ÿ www.advens.fr Document confidentiel www.advens.fr - Advens® 2014

Recommandé

EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 

Recommandé

EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSebastien Gioria
 
Le PRN et le Qatar
Le PRN et le QatarLe PRN et le Qatar
Le PRN et le QatarPRN_numerique
 

Contenu connexe

Tendances

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 

Tendances (20)

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Mehari
MehariMehari
Mehari
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Ebios
EbiosEbios
Ebios
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 

En vedette

Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSebastien Gioria
 
infographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2Binfographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2BSO'xperts
 
Video mariela terminadooo
Video mariela terminadoooVideo mariela terminadooo
Video mariela terminadooorokuyo
 
Tecnologia y sociedad ana karina
Tecnologia y sociedad ana karinaTecnologia y sociedad ana karina
Tecnologia y sociedad ana karinaCiuad de Asis
 
Etude de cas e-réputation - Groupe 1
Etude de cas e-réputation - Groupe 1Etude de cas e-réputation - Groupe 1
Etude de cas e-réputation - Groupe 1Christophe Blazquez
 
Redynamiser nos ventes
Redynamiser nos ventesRedynamiser nos ventes
Redynamiser nos ventesEya Ben Othman
 
La base de connaissance de la FNAB
La base de connaissance de la FNABLa base de connaissance de la FNAB
La base de connaissance de la FNABXWiki
 
Tarea 7 planeación videoconf_carmen indira velez
Tarea 7 planeación videoconf_carmen indira velezTarea 7 planeación videoconf_carmen indira velez
Tarea 7 planeación videoconf_carmen indira velezcarivfi
 
Encuadre y tipos de tratamiento
Encuadre y tipos de tratamientoEncuadre y tipos de tratamiento
Encuadre y tipos de tratamientojulk_23
 
La plateforme IWA : retour d'expérience
La plateforme IWA : retour d'expérienceLa plateforme IWA : retour d'expérience
La plateforme IWA : retour d'expérienceXWiki
 

En vedette (20)

Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introduction
 
Le PRN et le Qatar
Le PRN et le QatarLe PRN et le Qatar
Le PRN et le Qatar
 
infographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2Binfographie : les indicateurs de performance marketing B2B
infographie : les indicateurs de performance marketing B2B
 
Video mariela terminadooo
Video mariela terminadoooVideo mariela terminadooo
Video mariela terminadooo
 
Tecnologia y sociedad ana karina
Tecnologia y sociedad ana karinaTecnologia y sociedad ana karina
Tecnologia y sociedad ana karina
 
Volcanes activos
Volcanes activosVolcanes activos
Volcanes activos
 
Etude de cas e-réputation - Groupe 1
Etude de cas e-réputation - Groupe 1Etude de cas e-réputation - Groupe 1
Etude de cas e-réputation - Groupe 1
 
ETUDE 5 EN (1)
ETUDE 5 EN (1)ETUDE 5 EN (1)
ETUDE 5 EN (1)
 
Redynamiser nos ventes
Redynamiser nos ventesRedynamiser nos ventes
Redynamiser nos ventes
 
La base de connaissance de la FNAB
La base de connaissance de la FNABLa base de connaissance de la FNAB
La base de connaissance de la FNAB
 
Coop société de consommateurs
Coop société de consommateursCoop société de consommateurs
Coop société de consommateurs
 
null
nullnull
null
 
Cours10 connant2010
Cours10 connant2010Cours10 connant2010
Cours10 connant2010
 
Pueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca RonaldPueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca Ronald
 
Tutoriales
TutorialesTutoriales
Tutoriales
 
Tarea 7 planeación videoconf_carmen indira velez
Tarea 7 planeación videoconf_carmen indira velezTarea 7 planeación videoconf_carmen indira velez
Tarea 7 planeación videoconf_carmen indira velez
 
Programacio castella
Programacio castellaProgramacio castella
Programacio castella
 
Encuadre y tipos de tratamiento
Encuadre y tipos de tratamientoEncuadre y tipos de tratamiento
Encuadre y tipos de tratamiento
 
La Libertad
La LibertadLa Libertad
La Libertad
 
La plateforme IWA : retour d'expérience
La plateforme IWA : retour d'expérienceLa plateforme IWA : retour d'expérience
La plateforme IWA : retour d'expérience
 

Similaire à 2014 09-25-club-27001 iso 27034-presentation-v2.2

Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)TelecomValley
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiquesPMI Lévis-Québec
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015Julien Vq
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Score card sécurité Infologo
Score card sécurité InfologoScore card sécurité Infologo
Score card sécurité InfologoInfologo
 
20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)LeClubQualiteLogicielle
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014PRONETIS
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfFootballLovers9
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 

Similaire à 2014 09-25-club-27001 iso 27034-presentation-v2.2 (20)

Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
 
Mehari
MehariMehari
Mehari
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Score card sécurité Infologo
Score card sécurité InfologoScore card sécurité Infologo
Score card sécurité Infologo
 
20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)
 
Iso27001
Iso27001 Iso27001
Iso27001
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 

Plus de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 

Plus de Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 

2014 09-25-club-27001 iso 27034-presentation-v2.2

  • 1. LA NORME ISO 27034 Sebastien Gioria Club 27001 – Paris 25 Septembre 2014 Document confidentiel www.advens.fr - Advens® 2014
  • 2. Agenda § Problématiques initiales et besoins exprimés pour la création de la norme § Les différents tomes § La norme ISO 27034-1:2011 § Questions/Réponses ? Document confidentiel www.advens.fr - Advens® 2014 2
  • 3. http://www.google.fr/#q=sebastien gioria ‣ Innovation and Technology @Advens && Application Security Expert ‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader ‣ Proud father of youngs kids trying to hack my digital life. Twitter :@SPoint Document confidentiel www.advens.fr - Advens® 2014 3
  • 4. Qui sommes-nous ? Nous aidons les organisations, publiques ou privées, à manager la sécurité de l'information pour en améliorer la performance. Nos différences • La valorisation de la fonction sécurité • Une approche métier s’appuyant sur des compétences sectorielles • Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » • Une approche pragmatique et des tableaux de bord actionnables • Une vision globale et indépendante des technologies Éléments clés • Créée en 2000 • CA 10 millions euros • 80 collaborateurs basés à Paris, Lille, Lyon, Grenoble, Niort • Plus de 300 clients actifs en France et à l’international • Prestataire d’audit de la sécurité des SI (PASSI) en cours par l’ANSSI Document confidentiel www.advens.fr - Advens® 2014 4
  • 5. Problématiques initiales et besoins exprimés pour la création de la norme Document confidentiel www.advens.fr - Advens® 2014 5
  • 6. 80% des budgets sécurité sont consacrés à l’infrastructure alors que les applications concentrent 90% des vulnérabilités* 99% des applications Web sont vulnérables** En moyenne, une application contient 13 failles** 3,61$ par ligne de code, c’est le coût de la non qualité/sécurité dans un développement*** *Source : Ponemon Institute 2013 **Sources Cenzic 2013 Document confidentiel www.advens.fr - Advens® 2014 6 ***Source : Castsoftware 2012
  • 7. Différentes causes pour les mêmes résultats Les utilisateurs cherchent agilité et autonomie ➜ Se tournent vers le Cloud sans évaluer la sécurité ➜ Bypassent la DSI, le RSSI ➜ Cherchent à optimiser les coûts et des délais rapides Les développeurs manquent de moyens ➜ Manquent de sensibilisation et de formation ➜ Utilisent des méthodologies dans lesquelles la sécurité n’est pas intégrée ➜ Répondent à des cahiers des charges qui n’intègrent pas d’exigences Les éditeurs ne maîtrisent pas la sécurité dans leurs produits ➜ Pression du marché / Time to market ➜ Absence de clauses sécurité dans les achats et dans les appels d’offres Document confidentiel www.advens.fr - Advens® 2014 7
  • 8. Problématiques des utilisateurs finaux § Les vulnérabilités applicatives ont un impact plus fort qu'il y a 10 ans. § L'environnement technologique est complexe § Il est difficile de garder toujours le même niveau de sécurité, en particulier lors de la maintenance de l'application § Il faut rester conforme aux différents contextes règlementaires et législatifs § Il y a peu ou pas de contrôle sur les applications acquises › vulnérabilités ? › configuration / installation ? › opérations ? § Pas ou peu d'exigences de sécurité lors des A.O ou sur les contrats › dépendance du fournisseur › pas de droit de regard client parfois (clauses d'audit interdites) › ... Document confidentiel www.advens.fr - Advens® 2014 8
  • 9. Besoins exprimés pour la création § L'utilisateur final a besoin d'outils pour définir les exigences des le début du projet § L'editeur a besoin d'outils pour se conformer aux exigences § L'auditeur a besoin d'outils pour évaluer la sécurité des applications › Processus › Méthode › Critères de controle Document confidentiel www.advens.fr - Advens® 2014 9
  • 10. Les différents tomes de la série 27034 Document confidentiel www.advens.fr - Advens® 2014 10
  • 11. ISO27034, une norme en 7 tomes § 27034-1 : Concepts et survol global – › Etat : 60.60 § 27034-2 : Cadre normatif de l'organisation - Que faut-il utiliser ? › Etat : 40.20 § 27034-3 : Processus de gestion de la sécurité d'une application - Comment intégrer dans le processus la sécurité ? › Etat : 10.99 § 27034-4 : Validation de la sécurité d'une application (organisation, application, humaine) › Etat 10.99 § 27034-5 : Protocoles et structures de données des contrôles de sécurité applicative › Etat : 30.20 § 27034-6 : Pratique de sécurité pour des cas spécifiques d'applications (exemples, case study) › Etat 30.20 § 27034-7 : Application security control attribute predictability (concept américain J) › Etat 10.99 Document confidentiel www.advens.fr - Advens® 2014 11
  • 12. Liens avec les autres normes ISO - § 0.5 Document confidentiel www.advens.fr - Advens® 2014 12
  • 13. La norme dans le détail Document confidentiel www.advens.fr - Advens® 2014 13
  • 14. Objectifs de la norme ISO 27034 § Proposer un modèle permettant de faciliter l'intégration de la sécurité dans le cycle de vie de développement d'une application › qu'elle soit développée en interne › qu'elle soit en partie "achetée" › qu'elle soit en mode SAAS § Proposer un modèle pouvant s'adapter aux processus et méthodologie de l'organisation § Mais en aucun cas › de proposer des contrôles ou règles de développement => voir OWASP ;) Document confidentiel www.advens.fr - Advens® 2014 14
  • 15. Principes § La sécurité est une exigence métier § La sécurité d'une application dépend de son contexte d'utilisation § La sécurité d'une application doit pouvoir être démontrée § Il est nécessaire de pouvoir connaitre le bon niveau d'investissement financier pour sécuriser l'application § La portée de la sécurité d'une application est › tout ce qui au sein de l'organisation peut mettre en péril l'information critique › tout ce qu'il faut contrôler pour protéger l'information › inclut les personnes, processus, et l'infrastructure technologique Document confidentiel www.advens.fr - Advens® 2014 15
  • 16. Portée de la sécurité d'une application - § 6.3 Document confidentiel www.advens.fr - Advens® 2014 16
  • 17. Principes - processus - § 7 Processus de gestion des risques appliqué à chaque applicatif Cadre normatif de l'organisation Document confidentiel www.advens.fr - Advens® 2014 17
  • 18. Cadre normatif de l'organisation – §8 Documente les standards et pratiques de l'organisation : • processus de gesiont de projet,... • politiques de sécurité • regles de developpemet, • ... Documente les produits, services et technologies utilisées par l'organisation, et permet de déterminer les menaces auquelles fait face l'application Documente le contexte réglementaire et legislatif ou sont utilisées les applications Dépot des spécifications et besoins fonctionnels ainsi que les solutions utilisées pour y répondre. On y trouve aussi le code, les librairies, ... Roles, responsabilittés et quelifications pour le projet. S'assure que tous les acteurs pour les processus sont définis et assure la séparation des privilèges Contient tous les contrôles de sécurité applicative approuvés C'est aussi un recueil des bonnes pratiques Contient tous les processus de sécurité impliqués par la sécurité des applications de l'organisation Modèle de cycle de vie standard pour la sécurité d'une application (cf slide suivant) Document confidentiel www.advens.fr - Advens® 2014 18
  • 19. Modèle de cycle de vie pour la sécurité applicative - § 8.1.2.7 Buts : • aider l'organisation à valider le cycle de vie de chacune des applications • aider l'organisation à s'assurer que les problèmes de sécurité sont correctement adressés • aider l'organisation à minimiser le cout et l'impact de l'ISO27034 dans les projets • fournir un modèle standard pour le partage des ASCs a travers les projets Document confidentiel www.advens.fr - Advens® 2014 19
  • 20. Controle de Sécurité Applicative (ASC) § 8.1.2.6.5 § Mesure de réduction du risque § Crée, approuvé et maintenu par l'organisation § Utilisé par les équipes de projet, d'opération, d'assurance qualité et d'audit § Peut être utilisé comme critère d'acception lors du développement § Vérifiable / Auditable § Décrit formellement dans un format standard (XML) Document confidentiel www.advens.fr - Advens® 2014 20
  • 21. Librairie des controles de sécurité applicative § 8.1.2.6.2 § Peut être vue comme une grille Document confidentiel www.advens.fr - Advens® 2014 21
  • 22. Application Level of Trust § 8.1.2.6.4 § Indice de tolérance au risque § Concrétisé par un ensemble de contrôle (cf une colonne de la grille de la librairie des contrôles) § Plusieurs niveaux sont définis : › Targeted Level of Trust : niveau de confiance cible définit par le propriétaire de l'application suite à l'analyse des risques › Actual Level of Trust : niveau de confiance réel, suite a un audit par ex Document confidentiel www.advens.fr - Advens® 2014 22
  • 23. Processus de gestion de la sécurité § 7.3 Détermination des élément impactant l sécurité de l'application : • specs • acteurs • information • contexte business/relegislatif et Identification, analyse et evaluation du technologique risque Deduction des exigences de sécurité Extraction de l'ONF, des contrôles pertinents pour réduire les risques en fonction du 1 et du 2 Détermination du niveau de sécurité/ confiance par le propriétaire de l'application Il en sort un cadre appelé ANF. Il contient toute l'information relative à la sécurité de l'application Vérification du résultat de toutes les activités de vérification et tous les contrôles Le résultat qui en sort est le niveau de confiance réel Tous les controles de l'ANF sont utilisés pendant le cycle de vie de l'application Réalisation des activités de sécurité de tous les contrôles Réalisation de toutes les activités de vérification des contrôles Document confidentiel www.advens.fr - Advens® 2014 23
  • 24. Processus de vérification de la sécurité § 8.5 Document confidentiel www.advens.fr - Advens® 2014 24
  • 25. Apports directes de la norme § Un cadre standard de gestion des risques applicatifs § Un futur référentiel permettant de « vérifier » / « valider » le niveau de sécurité d’une application § Des processus permettant la certification des entreprises/applications ET PUIS C’EST TOUT !!! Document confidentiel www.advens.fr - Advens® 2014 25
  • 26. Inconvénients / Effort de déploiements § Définir les rôles et responsabilités : › peut être assez complexe suivant le S.I › complexe dans le cas de S.I infogérés (Cloud....) existants § Documenter les processus et les composants › Les mettre a jour pour coller a la norme § Créer les cadres normatifs de l’organisation § Mettre en oeuvre le processus : 1. dans l’organisation 2. dans les projets ! Gérer le changement ! Document confidentiel www.advens.fr - Advens® 2014 26
  • 27. Apports indirects (Avantages) de la norme § Apporte une augmentation du niveau de sécurité des applications § Uniformisation et normalisation de la sécurité des applications : › OWASP ASVS › OWASP OpenSAMM › BSIMM (Cigital) › SDL (Microsoft) › ..... § Meilleur controle des fournisseurs d’applications (internes, externes) § Réutilisation des composants, processus et contrôles existants Roles Responsabiltié Bénéfice de la norme Managers Gérer le cout de l’implémentation et du maintient de la sécurité applicative Permet de prouver que l’application a atteint le niveau de sécurité voulu et qu’elle le maintient Developers Comprendre ou la sécurité doit être appliqué dans chacune des phase du cycle de vie de l’application Permet d’identifier et implémenter les controles de sécurité nécessaires Auditors Vérifier les contrôles pour prouver le niveau de sécurité de l’application Permet de standardiser le processus de certification en sécurité applicative End users N/A Permet de s’assurer que l’application peut être utilisée en toute sécurité. Document confidentiel www.advens.fr - Advens® 2014 27
  • 28. Les questions qui fachent ! ou pas ! § Existe-t-il des certifications ISO 27034 ? › Réponse : Oui via le PECB ! (LSTI si vous m’entendez, venez me voir J) − ISO 27034 Lead Auditor − ISO 27034 Lead Implementer − ISO 27034 Fundations § Existe-t-il des entreprises ayant implémentées la norme ? › Réponse : Oui ! − Au moins Microsoft (facile vu que la SDL colle dans l’annexe A....) ; cf blog microsoft.com « Microsoft has used a risk based approach to guide software security investments through a program of continuous improvement and processes since the Security Development Lifecycle (SDL) became a company-wide mandatory policy in 2004. In 2012, Microsoft used ISO/IEC 27034-1, an international application security standard as a baseline to evaluate mandatory engineering policies, standards, and procedures along with their supporting people, processes, and tools. All current mandatory application security related policies, standards, and procedures along with their supporting people, processes, and tools meet or exceed the guidance in ISO/IEC 27034-1 as published in 2011. » − Un équipementier serait en cours en France.... − Différentes sociétés canadiennes (facile, le créateur de la norme est canadien ;)) Document confidentiel www.advens.fr - Advens® 2014 28
  • 29. Prochaines dates § Application Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 - http://www.appsec-forum.ch/ › Secure Coding for Java – 1 Day training › SonarQube pour la sécurité applicative § CLUSIR InfoNord – 16 Décembre 2014 › Le paradigme de la sécurité des objets connectés; Présentation de l’OWASP Top10 IoT § Confoo 2015 – Montreal – 16 au 20 Février 2015 § OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015 Document confidentiel www.advens.fr - Advens® 2014 29
  • 30. ? Questions / Réponses Document confidentiel www.advens.fr - Advens® 2014 30
  • 31. Merci pour votre participation Application Security Academy Saisons 1, 2 et 3 Groupe LinkedIn Webinars – 9 épisodes Découvrez nos ressources sur la sécurité des applications www.advens.fr/blog Document confidentiel www.advens.fr - Advens® 2014 31
  • 32. VOTRE CONTACT Sébastien Gioria | Innovation & Technologies 4 square Edouard VII – 75009 Paris T + 33 (0)1 84 16 30 25Ÿ F +33 (0)3 20 70 54 28 Ÿ M +33 (0)6 70 59 11 44 sebastien.gioria@advens.fr Ÿ www.advens.fr Document confidentiel www.advens.fr - Advens® 2014