1. Document confidentiel - Advens® 2013www.advens.fr
EPISODE 4
Sécurité des Applications :
Sécurité des applications dans le Cloud
Application
Security
Academy
Saison 1
2. Document confidentiel - Advens® 2013www.advens.fr 2
Introduction
Sébastien GIORIA
Consultant senior en Sécurité des SI
Chapter Leader de l'OWASP pour la France
sebastien.gioria@advens.fr
@AppSecAcademy
#AppSecAcademy
Posez vos questions dans
la fenêtre de chat
Slides envoyés par email
Vidéo Replay
3. Document confidentiel - Advens® 2013www.advens.fr 3
Qui sommes-nous ?
Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la
sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en
améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des
compétences sectorielles
• Une offre unique pour délivrer la sécurité
de bout en bout, « as-a-service »
• Une approche pragmatique et des
tableaux de bord actionnables
• Une vision globale et indépendante des
technologies
Éléments clés
• Créée en 2000
• CA 8 millions euros
• 80 collaborateurs basés à Paris, Lille,
Lyon
• Plus de 300 clients actifs en France et à
l’international
• Organisme certificateur agréé par
l’ARJEL (*)
* Autorité de Régulation des Jeux En Ligne – www.arjel.fr
4. Document confidentiel - Advens® 2013www.advens.fr 4
Application Security Academy – la Saison 1
Episode 1 : Une introduction à la Sécurité des Applications
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 2 : Sécurité des applications mobiles
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 3 : Protection des services en ligne
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 5 : Panorama des technologies de sécurisation
Application
Security
Academy
Saison 1
5. Document confidentiel - Advens® 2013www.advens.fr 5
Cloud ?
Gartner évalue le marché du cloud public à environ 131 milliards de dollars
(monde) pour 2013, 207 milliards en 2016
5 caractéristiques essentielles définissent le Cloud
Différents modèles d’infrastructure de cloud :
› Public ; grand public
› Privé ; dédié à une entreprise
› Partagé ; mutualisé sur une communauté
› Hybride; mixe d’un des précédents
Réservoir de ressources
Accès Réseaux
rapide
Facturation à
l’usage
Elasticité
(redimensionnement
facile)
Accès au service
par l’utilisateur à la
demande
6. Document confidentiel - Advens® 2013www.advens.fr 6
IaaS : Infrastructure As a Service
PaaS : Platform As A Service
SaaS : Software As A Service
Différents modèles d’architecture de Cloud
Matériel
DataCenter
Abstraction
APIs
MiddleWare
Applications
Données
Présentation
APIs
Meta-
Données
Contenu
PAAS
IAAS
SAAS
Connectivité
7. Document confidentiel - Advens® 2013www.advens.fr 7
Qui contrôle quoi ?
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
Interne
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Hébergeur
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
IaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
PaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
SaaS public
L’entreprise a le contrôle
Partage du contrôle avec le fournisseur
Le fournisseur de cloud a le contrôle
Réseau
9. Document confidentiel - Advens® 2013www.advens.fr 9
Gérér les risques sur les données
• Mettre en place un processus d’audit des prestataires
• Procédures de changement matériel
• Tests d’intrusions
• Audit globaux
• Mettre en place du chiffrement des données sensibles
• VPN de connexion
• Sauvegardes chiffrées
• Attention à la perte de la maitrise des données
• Contractualiser l’usage
• Procédures d’accès des administrateurs
• Utilisation des données après fin du contrat
Sécurité du
transfert de
données
Partage des
ressources
Usage des
données non
autorisées
Auditabilité et
risques sur les
données
Exposition des
environnements
de pré-production
10. Document confidentiel - Advens® 2013www.advens.fr 10
Gérer l’accès aux données
Vérifier la possibilité de délégation des identités
Mettre en place des processus de revue des identités
Vérifier les identités externes à l’organisation
Vérifier l’infrastructure :
› Redondance des équipements
Gestion des
identités
Continuité
d’activité
Sécurité de
l’infrastructure
11. Document confidentiel - Advens® 2013www.advens.fr 11
Conformité et risques légaux
Vérifier les lieux de détention des données
› La CNIL n’autorise pas les données en dehors de
France/Europe/Safe Harbor
Définir les mécanismes d’analyses des incidents applicatifs
› Qui a accès à quoi
› Qu’est-ce qui est tracé ?
› Comment effectuer de l’analyse post-incident ?
Qui/Comment sont gérées les infrastructures ?
› Sous-Traitants ? Qui y a accès ?
Risques Légaux
Analyse des
incidents
12. Document confidentiel - Advens® 2013www.advens.fr 12
Sécuriser l’IAAS - Une stratégie simple en 5 points
1. Une sélection rigoureuse du prestataire
› Dispose de certifications (ISO 27, PCI-DSS, …)
› Transparence sur les éléments fournis
› Connectivité auditable
2. Une capacité applicative a toute épreuve
› Scan de vulnérabilité possible
› Intégration globale avec les plateformes logicielles
› Mise a jour régulière et offre évolutive de logiciels
3. Une gestion de l’authentification correcte
› Authentification multi-facteur
› Intégration possible avec la politique et l’annuaire interne
4. Une gestion des opérations propre
› Intégration des logs dans la stratégie globale de l’entreprise
› Un monitoring complet et accessible
5. Un chiffrement des données
› Chiffrement des disques
› Chiffrement des SGBD
› Chiffrement réseau
› Chiffrement des sauvegardes
13. Document confidentiel - Advens® 2013www.advens.fr 13
Sécuriser le PAAS
En plus des éléments de l’IAAS il convient de porter
attention à :
› Changer les éléments par défauts de configuration
› Sécuriser l’accès à la plateforme (SSH/IPSec/TLS)
› Sécuriser l’accès aux SGBD
› Mettre en place des filtres(firewalls) des différents
services
› Mettre en place des mécanismes d’analyse de logs et de
d’IPS
› Mettre en place les bons patchs, régulièrement
› Tester et auditer les applications.
14. Document confidentiel - Advens® 2013www.advens.fr 14
Sécuriser le SAAS
En plus de la vision IAAS, il convient de pouvoir
correctement :
› Auditer le prestataire au niveau de la sécurité applicative
− Scans de vulnérabilités/Tests d’intrusions
› Disposer de la possibilité de sécuriser les interfaces
d’administration (chiffrement, multi-facteur
d’authentification)
› Chiffrer les données sensibles sans le prestataire.
› S’assurer d’avoir un environnement de test pour vérifier
avant mise a jour
› Disposer d’une possibilité de « refuser » les montées de
version non validées
› Disposer de solutions d’extractions des données sous forme
standard (XML, CSV)
15. Document confidentiel - Advens® 2013www.advens.fr 15
Et le développement sur le PAAS ?
Développer dans le cloud == développer sur un système web/WebServices
Quelques précautions sont nécessaires :
› Utiliser les « WAF cloud »
› Développer de manière sécurisé en portant attention :
− Aux données sensibles
− Aux interfaces d’administration
− Aux bases d’authentification
› Attention aux APIs propriétaires
La confiance, n’exclut par le contrôle !
16. Document confidentiel - Advens® 2013www.advens.fr 16
Sécurité des
Applications dans le
Cloud
Gouvernance Conception Vérification Déploiement
Par quoi commencer ?
• Vérifier la
localisation des
données
• Mettre en place un
contrat de
réversibilité
• Chiffrer les
données
• Chiffrer la
transmission des
données
• Tester la sécurité
du prestataire
• Analyser la
connectivité du
prestataire
• Mettre en place un
bouclier virtuel sur
sur les applications
17. Document confidentiel - Advens® 2013www.advens.fr 17
Questions / Réponses
Posez vos questions dans
la fenêtre de chat
18. Document confidentiel - Advens® 2013www.advens.fr 18
Merci et à bientôt !
Episode 5 :
Panorama des technologies de sécurisation
Mardi 10 décembre à 11h.
Application
Security
Academy
Saison 1