Première rencontre d'owasp québec

692 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
692
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Première rencontre d'owasp québec

  1. 1. Bienvenue à la premièrerencontre d’OWASP Québec! Mission du chapitre OWASP Québec
  2. 2. Représentants d’OWASP QuébecAnne-Marie Faber annemarie.faber@owasp.org• Évènements, commandites et communicationsYannick Berneron yannick.berneron@owasp.org• Vice-leaderPatrick Leclerc patrick.leclerc@owasp.org• Leader
  3. 3. Qui suis-je?Patrick Leclerc• Architecte logiciel & sécurité applicative• Consultant en sécurité chez Egyde Services Conseils• Chroniqueur occasionnel pour le Magazine Secus.ca• Passionné de technologies Company Logo
  4. 4. D’abord, c’est quoi la sécurité applicative et pourquoi s’en préoccuper?
  5. 5. Une préoccupation grandissanteLes applications insécures menacent la sécurité, la confiance et la croissance économique
  6. 6. Les grands enjeux de sécuritéCe que l’on veut éviter…• Pertes financières• Atteinte à la réputation et/ou vie privée• Non-conformité aux normes et aux lois• Indisponibilité des services• Vol d’informations: – Personnelles – Financières (ex: carte de crédit, états financiers) – Stratégiques – Secrets industriels
  7. 7. La brèche Le site Web, l’application et les données sont exposés Les ports de aux vulnérabilités communication applicatives sont ouverts CLIENT PRÉSENTATION TRAITEMENT DONNÉES(fureteur) WEB APPLICATIF Internet Internet Chiffrement SSL/TLS Pare-feu Serveur Web Pare-feu Application Pare-feu Base de et framework données Protège Protège Protège le Protège Protège le Protège Protège les le transport le réseau site Web le réseau traitement le réseau données Copyright EGYDE Services Conseils
  8. 8. Les vecteurs d’attaquesSource: Official (ISC)2 Guide to the CSSLP
  9. 9. Types d’exploitsSTRIDE• Spoofing Identity (changement d’identité)• Tampering with Data (trucage des données)• Repudiation (contestation de transaction)• Information Disclosure (bris de confidentialité)• Denial of Service (déni de service)• Elevation of Privilege (élévation de privilèges)
  10. 10. Top 10 OWASPLe top 10 (2010) des risques de sécurité applicative les plus critiques selon OWASP
  11. 11. Quelques moyens de défenses
  12. 12. Mais… 2 réalités contradictoiresLa sécurité applicative est aussi importante que la sécurité technologique. Pourtant, les efforts (et les budgets) ne sont pas répartis équitablement. Risques Budget % des attaques % du montant 10% Applications 75% Web 90% Réseau 25% Serveurs"75% of All Attacks on Information Security are Directed to the Web Application Layer” (Source : Gartner)
  13. 13. Here comes OWASP to the rescue! La mission de l’OWASP
  14. 14. Qu’est-ce que l’OWASP?• L’OWASP (www.owasp.org) est une organisation mondiale à but non-lucratif ayant pour mission de rendre la sécurité applicative visible afin de permettre au gens et organisations de prendre des décisions informées sur les vrais risques de sécurité des applications• Tous le matériel OWASP est disponible gratuitement sous licence open software• OWASP demeure neutre et indépendante des fournisseurs de produits et de services
  15. 15. Notoriété de l’OWASP dans l’industrieL’OWASP est référée et/ou supportée par plusieurs organisations normatives de renom à travers le monde: – ISO, IEEE, SANS, PCI Security Standards Council, US Department of Homeland Security, NIST, Mitre et plusieurs autres…Mais aussi par les grands joueurs: – Microsoft, IBM, HP, Oracle, etc.Et plusieurs grandes organisations académiques
  16. 16. Chapitres OWASPPartout à travers le monde, des groupes locaux:• Se rassemblent pour s’informer, expérimenter et échanger sur les vulnérabilités, les menaces, les risques, les mesures préventives et de mitigations des applications.• S’organisent et collaborent à l’élaboration et à la diffusion de contenus et outils utiles à la prise en charge de la sécurité dans les applications Web.• + de 30 000 participants répartis dans environ 200 chapitres à travers le monde!• Tous le monde peut y participer, pas seulement les membres
  17. 17. Catégories de contenusDes contenus pour:• Apprendre et concevoir des applications plus sécuritaires• Détecter les vulnérabilités• Protéger et corriger vos applications
  18. 18. Quelques contenus de l’OWASP• Top 10 des risques de sécurité applicative• Plusieurs guides et méthodologies – Development Guide, Testing Guide, – Software Assurance Maturity Model (SAMM), – Application Security Verification Standard (ASVS) – « Cheat Sheets » sur plusieurs sujets et technologies• Outils / Frameworks – WebScarab, Zed Attack Proxy, WebGoat, ESAPI, BWA – ModSecurity application firewall, Samurai Web Testing Framework• PodCasts, videos, webinars, présentations, livres et +
  19. 19. OWASP Quebec City
  20. 20. Pourquoi participer à OWASP Québec?• Échanger et partager sur nos expériences en « AppSec »• Apprendre ou bonifier nos connaissances• Participer aux projets et à l’élaboration de contenus OWASP• Se tenir informés sur les tendances en sécurité• Se doter d’outils pour être plus efficaces• Réseautage avec d’autres professionnels en sécurité• Pour la fierté d’être engagé pour une bonne cause dans votre carrière professionnelle• S’engager contre le développement d’applications à risque!
  21. 21. Suggestions d’activitésPrésentations et échanges• Top 10 des risques de sécurité applicative• Comment prévenir et mitiger certaines vulnérabilités• Démo de Zed Attack Proxy / Web Scarab / Burp Suite ou autres?• Démo de Samurai Web Testing Framework, OWASP Broken Web Application• Intégrer la sécurité dans le SDLC• Partage d’une expérience, d’un livre, d’un sujet d’actualité• WAF?• Modèles d’authentifications et d’autorisations, sécurité des mobiles• +Projets• ESAPI .NET 2.0• Patterns d’architecture sécuritaire• ISO 27034 Application Security Control (ASC)• Cheat sheets sur des technologies récentes
  22. 22. Participation et devenir membresPourquoi contribuer et/ou devenir membre?• OWASP est une organisation à but non-lucratif et offre gratuitement des contenus fort utiles qui vous permettent d’acquérir, développer, tester et utiliser des logiciels plus sécuritaire. Permettez à l’OWASP de poursuivre sa croissance, à produire de nouveaux contenus et améliorer les contenus existants.• Aider l’OWASP c’est vous aider!
  23. 23. Bénéfices des membresBénéfices des membres OWASP: $50/an• Rabais sur les conférences• Une adresse de courriel: toi@owasp.org• Droit de vote dans les élections• Reconnaissance sur le site de l’OWASP• 40% du montant peut être versé au chapitre• Pour nous commanditer, suivre le lien ‘donate’ sur https://www.owasp.org/index.php/Quebec_City
  24. 24. Bénéfices corporatifsBénéfices des corporations membres: $5000/an• Visibilité auprès d’environ 200 chapitres• Visibilité dans les conférences et les évènements• Rabais sur les commandites de conférences et évènements• Visibilité de votre organisation sur le site et les communiqués OWASP• 100% déductible de taxes• Pour plus d’informations: https://www.owasp.org/index.php/Corporate_Member
  25. 25. MERCI! Merci à• Egyde Services Conseils pour la location de la salle.• Magazine Sécus pour la publicité pour le chapitre OWASP Québec

×