Gestion des vulnérabilités & Modèle de maturité
19 mai 2016
Conception Développement Test
Mise en
production
Maintenance
Sécurisation
du code
Sécurisation de
l’infrastructure
Sécuris...
Vulnérabilité applicative
Injection (SQLi, XML…)
XSS, CSRF…
Vulnérabilité technique
Mauvais paramétrage (HTTPS, ports ouve...
325
184
162
Adobe Flash
Chrome
Firefox
Autres
1 175 vulnérabilités analysées
Vulnérabilité critique : 71%
Vulnérabilité fa...
Installation d’un serveur web en mai 2014
Apache 2.4.9
MySQL 5.6.17
PHP 5.5.12
Versions en mai 2016
Apache 2.4.20
MySQL 5....
Le Vulnerability Management
Participe à une bonne hygiène informatique
Permet la maîtrise de son niveau de sécurité
Dissua...
Initial Evaluation Conformité Managé
Promouvoir un modèle de maturité pour l’amélioration continue
Connaître sa maturité a...
Initial
Evaluation
Conformité
Managé
Pas de démarche explicite
Démarche de scans de vulnérabilité pour connaître son nivea...
OWASP Top 10
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
CWE/SANS Top 25
https://cwe.mitre.org/top25/
C...
Conception Développement Test
Mise en
production
Maintenance
Sécurisation
du code
Sécurisation de
l’infrastructure
Sécuris...
Solutions
SaaS
Conseil en
sécurité
numérique
Offre
INCLOUDIO
Security by
design
Qualité du
code
Audit
Gestion
d’incidents
...
Membre du CLUSIR Nord de France
Secrétaire-adjoint
Membre du Cluster CN&CS
Animateur de la commission PME
EuraTechnologies
165F, avenue de Bretagne
59000 Lille
+33 (0)9 73 66 39 56
hello@incloud.io
@incloudio
+incloudio
Incloudio
Merci
Bertrand Méens | bertrand.meens@incloud.io
Jérémy Dequidt | JeremyD@exer.fr
Petit déjeuner - gestion des vulnérabilités et modèle de maturité - 20160519
Petit déjeuner - gestion des vulnérabilités et modèle de maturité - 20160519
Prochain SlideShare
Chargement dans…5
×

Petit déjeuner - gestion des vulnérabilités et modèle de maturité - 20160519

165 vues

Publié le

Evénement "gestion des vulnérabilités et modèle de maturité" du 19 mai 2016
Présentation de la démarche de vulnerability management (enjeux, cycle de vie...) et présentation d'un modèle de maturité pour l'amélioration continue de la sécurité avec une démonstration de VULNUS, solution SaaS (Security-as-a-Service) de gestion des vulnérabilités

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
165
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
36
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Petit déjeuner - gestion des vulnérabilités et modèle de maturité - 20160519

  1. 1. Gestion des vulnérabilités & Modèle de maturité 19 mai 2016
  2. 2. Conception Développement Test Mise en production Maintenance Sécurisation du code Sécurisation de l’infrastructure Sécurisation de la production Secure-by-Design Sensibilisation des développeurs Revue de code Audit d’intrusion Audit de vulnérabilités Sécurisation des flux applicatifs Secure-by-Design
  3. 3. Vulnérabilité applicative Injection (SQLi, XML…) XSS, CSRF… Vulnérabilité technique Mauvais paramétrage (HTTPS, ports ouverts…) Composant non mis à jour… Vulnérabilité fonctionnelle Droits d’accès mal gérés Upload mal contrôlés… Vulnérable ne veut pas dire exploitable… Mais une vulnérabilité reste une composante du risque !
  4. 4. 325 184 162 Adobe Flash Chrome Firefox Autres 1 175 vulnérabilités analysées Vulnérabilité critique : 71% Vulnérabilité faible : 2%
  5. 5. Installation d’un serveur web en mai 2014 Apache 2.4.9 MySQL 5.6.17 PHP 5.5.12 Versions en mai 2016 Apache 2.4.20 MySQL 5.6.30 / 5.7.12 PHP 5.5.35 / 5.6.21 / 7.0.6 7 27 58 Apache MySQL PHP Nombre de CVE
  6. 6. Le Vulnerability Management Participe à une bonne hygiène informatique Permet la maîtrise de son niveau de sécurité Dissuade en limitant la surface d’attaque Pensons RoR (Return on Risk) et non RoI Contrôler le Patch Management Gérer le cycle de vie de ses vulnérabilités Valoriser la sécurité par des tableaux de bord Lutte contre les malwares Conformité aux normes ISO 27001 PCI-DSS…
  7. 7. Initial Evaluation Conformité Managé Promouvoir un modèle de maturité pour l’amélioration continue Connaître sa maturité actuelle Identifier son objectif Définir sa trajectoire
  8. 8. Initial Evaluation Conformité Managé Pas de démarche explicite Démarche de scans de vulnérabilité pour connaître son niveau de sécurité Correction en réaction aux scans « Je découvre mes assets » Passage de la réactivité à la pro-activité Contrôle du processus de Patch Management « Je maîtrise mes assets » Gestion managé du cycle de vie des vulnérabilités Processus de correction avec tickets + SLA « Je maîtrise mon cycle de vie des vulnérabilités »
  9. 9. OWASP Top 10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project CWE/SANS Top 25 https://cwe.mitre.org/top25/ CVE https://cve.mitre.org/ https://www.cvedetails.com/
  10. 10. Conception Développement Test Mise en production Maintenance Sécurisation du code Sécurisation de l’infrastructure Sécurisation de la production Secure-by-Design Sensibilisation des développeurs Revue de code Audit d’intrusion Audit de vulnérabilités Sécurisation des flux applicatifs Secure-by-Design
  11. 11. Solutions SaaS Conseil en sécurité numérique Offre INCLOUDIO Security by design Qualité du code Audit Gestion d’incidents CITADEL Protection des applications VULNUS Détection des vulnérabilités CORE Revue de code
  12. 12. Membre du CLUSIR Nord de France Secrétaire-adjoint Membre du Cluster CN&CS Animateur de la commission PME
  13. 13. EuraTechnologies 165F, avenue de Bretagne 59000 Lille +33 (0)9 73 66 39 56 hello@incloud.io @incloudio +incloudio Incloudio
  14. 14. Merci Bertrand Méens | bertrand.meens@incloud.io Jérémy Dequidt | JeremyD@exer.fr

×