3. Qui suis-je?
Patrick Leclerc
• Architecte logiciel & sécurité applicative
• Consultant en sécurité chez Egyde Services Conseils
• Chroniqueur occasionnel pour le Magazine Secus.ca
• Passionné de technologies
Company
Logo
6. Les grands enjeux de sécurité
Ce que l’on veut éviter…
• Pertes financières
• Atteinte à la réputation et/ou vie privée
• Non-conformité aux normes et aux lois
• Indisponibilité des services
• Vol d’informations:
– Personnelles
– Financières (ex: carte de crédit, états financiers)
– Stratégiques
– Secrets industriels
7. La brèche
Le site Web, l’application et
les données sont exposés
Les ports de aux vulnérabilités
communication applicatives
sont ouverts
CLIENT PRÉSENTATION TRAITEMENT DONNÉES
(fureteur) WEB APPLICATIF
Internet
Internet
Chiffrement SSL/TLS Pare-feu Serveur Web Pare-feu Application Pare-feu Base de
et framework données
Protège Protège Protège le Protège Protège le Protège Protège les
le transport le réseau site Web le réseau traitement le réseau données
Copyright EGYDE Services Conseils
9. Types d’exploits
STRIDE
• Spoofing Identity (changement d’identité)
• Tampering with Data (trucage des données)
• Repudiation (contestation de transaction)
• Information Disclosure (bris de confidentialité)
• Denial of Service (déni de service)
• Elevation of Privilege (élévation de privilèges)
10. Top 10 OWASP
Le top 10 (2010) des risques de sécurité
applicative les plus critiques selon OWASP
12. Mais… 2 réalités contradictoires
La sécurité applicative est aussi importante que la sécurité technologique.
Pourtant, les efforts (et les budgets) ne sont pas répartis équitablement.
Risques Budget
% des attaques % du montant
10%
Applications
75%
Web
90%
Réseau
25% Serveurs
"75% of All Attacks on Information Security are Directed to the Web Application Layer”
(Source : Gartner)
14. Qu’est-ce que l’OWASP?
• L’OWASP (www.owasp.org) est une organisation
mondiale à but non-lucratif ayant pour mission de
rendre la sécurité applicative visible afin de
permettre au gens et organisations de prendre des
décisions informées sur les vrais risques de sécurité
des applications
• Tous le matériel OWASP est disponible gratuitement
sous licence open software
• OWASP demeure neutre et indépendante des
fournisseurs de produits et de services
15. Notoriété de l’OWASP dans l’industrie
L’OWASP est référée et/ou supportée par plusieurs
organisations normatives de renom à travers le
monde:
– ISO, IEEE, SANS, PCI Security Standards Council, US
Department of Homeland Security, NIST, Mitre et plusieurs
autres…
Mais aussi par les grands joueurs:
– Microsoft, IBM, HP, Oracle, etc.
Et plusieurs grandes organisations académiques
16. Chapitres OWASP
Partout à travers le monde, des groupes locaux:
• Se rassemblent pour s’informer, expérimenter et échanger
sur les vulnérabilités, les menaces, les risques, les mesures
préventives et de mitigations des applications.
• S’organisent et collaborent à l’élaboration et à la diffusion de
contenus et outils utiles à la prise en charge de la sécurité
dans les applications Web.
• + de 30 000 participants répartis dans environ 200 chapitres à
travers le monde!
• Tous le monde peut y participer, pas seulement les membres
17. Catégories de contenus
Des contenus pour:
• Apprendre et concevoir des applications plus
sécuritaires
• Détecter les vulnérabilités
• Protéger et corriger vos applications
18. Quelques contenus de l’OWASP
• Top 10 des risques de sécurité applicative
• Plusieurs guides et méthodologies
– Development Guide, Testing Guide,
– Software Assurance Maturity Model (SAMM),
– Application Security Verification Standard (ASVS)
– « Cheat Sheets » sur plusieurs sujets et technologies
• Outils / Frameworks
– WebScarab, Zed Attack Proxy, WebGoat, ESAPI, BWA
– ModSecurity application firewall, Samurai Web Testing Framework
• PodCasts, videos, webinars, présentations, livres et +
20. Pourquoi participer à OWASP Québec?
• Échanger et partager sur nos expériences en « AppSec »
• Apprendre ou bonifier nos connaissances
• Participer aux projets et à l’élaboration de contenus OWASP
• Se tenir informés sur les tendances en sécurité
• Se doter d’outils pour être plus efficaces
• Réseautage avec d’autres professionnels en sécurité
• Pour la fierté d’être engagé pour une bonne cause dans votre
carrière professionnelle
• S’engager contre le développement
d’applications à risque!
21. Suggestions d’activités
Présentations et échanges
• Top 10 des risques de sécurité applicative
• Comment prévenir et mitiger certaines vulnérabilités
• Démo de Zed Attack Proxy / Web Scarab / Burp Suite ou autres?
• Démo de Samurai Web Testing Framework, OWASP Broken Web Application
• Intégrer la sécurité dans le SDLC
• Partage d’une expérience, d’un livre, d’un sujet d’actualité
• WAF?
• Modèles d’authentifications et d’autorisations, sécurité des mobiles
• +
Projets
• ESAPI .NET 2.0
• Patterns d’architecture sécuritaire
• ISO 27034 Application Security Control (ASC)
• Cheat sheets sur des technologies récentes
22. Participation et devenir membres
Pourquoi contribuer et/ou devenir membre?
• OWASP est une organisation à but non-lucratif et
offre gratuitement des contenus fort utiles qui vous
permettent d’acquérir, développer, tester et utiliser
des logiciels plus sécuritaire. Permettez à l’OWASP
de poursuivre sa croissance, à produire de nouveaux
contenus et améliorer les contenus existants.
• Aider l’OWASP c’est vous aider!
23. Bénéfices des membres
Bénéfices des membres OWASP: $50/an
• Rabais sur les conférences
• Une adresse de courriel: toi@owasp.org
• Droit de vote dans les élections
• Reconnaissance sur le site de l’OWASP
• 40% du montant peut être versé au chapitre
• Pour nous commanditer, suivre le lien ‘donate’ sur
https://www.owasp.org/index.php/Quebec_City
24. Bénéfices corporatifs
Bénéfices des corporations membres: $5000/an
• Visibilité auprès d’environ 200 chapitres
• Visibilité dans les conférences et les évènements
• Rabais sur les commandites de conférences et
évènements
• Visibilité de votre organisation sur le site et les
communiqués OWASP
• 100% déductible de taxes
• Pour plus d’informations:
https://www.owasp.org/index.php/Corporate_Member
25. MERCI!
Merci à
• Egyde Services Conseils pour la location de la
salle.
• Magazine Sécus pour la publicité pour le
chapitre OWASP Québec