SlideShare une entreprise Scribd logo
Développement sécurisé avec Microsoft.Net et HP Fortify
HP Fortify
Software Security Center
et Microsoft VS .Net
Haleh Nematollahy
Security Solutions Architect

HP Enterprise Security Products Fortify
Sécurité
LES APPLICATIONS CIBLES CYBERATTAQUE
Networks

Hardware

Applications
Intellectual
Security Measures
Property

•
•
•
•
•
•
•
•
•
•

#mstechdays

Sécurité

Switch/Router security
Firewalls
Customer
NIPS/NIDS Data
VPN
Net-Forensics
Business
Anti-Virus/Anti-Spam
Processes
DLP
Host FW
Host IPS/IDS Trade
Vuln. Assessment tools
Secrets
LE PROBLEME

84%
*Gartner, 2013

#mstechdays

Sécurité

des brèches sont
au niveau de
l’application
SECURITÉ LE DEFI
Sécurisation des
applications
héritées

In-house
Development

Certification
Nouvelles
Releases

Validation
Comformité
Achat de logiciels
Securisées
Outsourced

Open source
Commercial

#mstechdays

Sécurité
L'APPROCHE ACTUELLE> RÉACTIVE,
CHÈRE

2

Quelqu'un construit
logiciel avec des failles

In-house

Outsourced

Commercial

IT déploie le mauvais
logiciel

1

3

Open source

$

$$

4

convaincre et payer un
développeur pour corriger

#mstechdays

Sécurité

Nous nous faisons pirater
ou nous payons quelqu'un
pour nous dire que notre
code est mauvais
FIXING THINGS LATE IS
30x more costly to secure in production
FRUSTRATING
Cost

30X

15X
10X
5X
2X
Requirements

•

Coding

Integration/ component
testing

System
testing

Production

Une fois qu’une application est en production, le cout de remédiassions est 30x plus
élevé .
Source: NIST

#mstechdays

Sécurité
APPROCHE INTÉRIMAIRE> PLUS SÛR
ET RENTABLE

In-house

Outsourced

Commercial

Mettre en œuvre des points de
sécurité pour déterminer si le
logiciel est résistant avant de
déployer en production

Open source

4
Surveiller et protéger les
logiciels fonctionnant en
production

#mstechdays

2

1

Logiciels existants ou
nouvellement créés

3

Travailler avec les
Développeurs afin de
localiser et de corriger les
vulnérabilités

Sécurité

Good code
HP FORTIFY SOFTWARE SECURITY
Trouver et corriger les problèmes de sécurité dans le
CENTER Fortify les applications contre les attaques
développement,
• Économiser la sécurité, les audits et les
pen tests
IN-HOUSE

COMMERCIAL

#mstechdays

OUTSOURCED

OPEN SOURCE

• Réduit les risques de logiciel avec un
minimum d'effort et de coût

• Protèger les applications contre les
attaques en supprimant les failles de
sécurité lors du développement
Sécurité
Fortify Solutions
Static Analysis

Dynamic Analysis

Runtime Analysis
Actual Attacks

Source Code
Mgt System

Static Analysis Via
Build Integration

Dynamic Testing In
QA Or Production

Real-Time Protection
Of Running Application

Vulnerability Management
Normalization

Remediation
IDE Plug-ins
for MS Visual Studio

Application Lifecycle

(Scoring, Guidance)
Correlate Target
Vulnerabilities With
Common Guidance
and Scoring

Vulnerability
Database
Correlation

Defects,
Metrics And
KPIs Used To
Measure Risk

(Static, Dynamic, Runtime)
Developers
(onshore or offshore)

Threat Intelligence
Rules Management

Development, Project
and Management
Stakeholders

Hackers
SOFTWARE SCANNING PROCESS
Check in Code
Scheduled Check-out, Code Repository
Build and Scan
Build / Scan on TFS

MS VS Developers
.fpr file

Static Code Analysis
(SCA)

Repeat as
Necessary

Upload
Scan
Results

Developer
Fixes Bug /
Security
Finding

Bug Tracking
using MS TFS

Submit
Findings to
Bug Tracker

Fortify SSC

#mstechdays

Scan Fix

Auditor
Reviews Results
Sécurité

Auditor /Security
#mstechdays

Sécurité

Design/UX/UI
HP FORTIFY SOFTWARE SECURITY
CENTER ET MS VS .NET
•

Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net

•

Réviser résultats dans VS 2013

•

Fix SQLi, XSS dans VS 2013

•

Scan/analyser avec Fortify SCA dans MS VS 2013

•

Upload/télécharger les résultats sur Fortify Software Security Center

•

Démonstration de Software Security Center

•

Générer des Reports

#mstechdays

Sécurité

Design/UX/UI
FIND, FIX AND FORTIFY
HP Fortify Software Security Center

1

Find & Fix Trouver et corriger les problèmes de sécurité dans MS.
Net développement

2

Fortify Fortifier les applications contre les attaques

3

Save Économiser le développement

4

Reduce Réduire le risque des applications

#mstechdays

Sécurité
Thank you
Digital is
business

Merci
Thank you

Contenu connexe

En vedette

Building a high quality+ products with SCA
Building a high quality+ products with SCABuilding a high quality+ products with SCA
Building a high quality+ products with SCA
Suman Sourav
 
P O K1 Presentation1( D E)
P O K1 Presentation1( D E)P O K1 Presentation1( D E)
P O K1 Presentation1( D E)
Kabbalah Centre
 
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenPersönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Roberto Mazzoni
 
Auf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltAuf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der Versicherungswelt
Unic
 
Plaquette certification
Plaquette certificationPlaquette certification
Plaquette certification
Talentoday
 
Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.
MRVRI
 
Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12
Kianne Paganini
 
Das iPad in der klinischen Anwendung
Das iPad in der klinischen AnwendungDas iPad in der klinischen Anwendung
Das iPad in der klinischen Anwendung
aycandigital
 
ApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 FinalApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 Final
LPS Brasil - Consultoria de Imóveis S.A.
 
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Dr. Thierry Oscar Edoh
 
SEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after PenguinSEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after Penguin
Saša Ebach
 
Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.
Moritz Haarmann
 
Ground equipment
Ground equipmentGround equipment
Ground equipment
carlosleonis
 
Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.
Paulo Leitao
 
Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11
Kianne Paganini
 
Unitymedia SoM Kompetenz
Unitymedia SoM KompetenzUnitymedia SoM Kompetenz
Unitymedia SoM Kompetenz
Interactive Marketing Group GmbH
 
A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)
Gafisa RI !
 
Gründen - im mobilen Umfeld
Gründen - im mobilen UmfeldGründen - im mobilen Umfeld
Gründen - im mobilen Umfeld
Moritz Haarmann
 
Apresentação Resultados 3T08
Apresentação Resultados 3T08Apresentação Resultados 3T08
Apresentação Resultados 3T08
LPS Brasil - Consultoria de Imóveis S.A.
 

En vedette (20)

Building a high quality+ products with SCA
Building a high quality+ products with SCABuilding a high quality+ products with SCA
Building a high quality+ products with SCA
 
P O K1 Presentation1( D E)
P O K1 Presentation1( D E)P O K1 Presentation1( D E)
P O K1 Presentation1( D E)
 
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenPersönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
 
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENTSCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
 
Auf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltAuf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der Versicherungswelt
 
Plaquette certification
Plaquette certificationPlaquette certification
Plaquette certification
 
Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.
 
Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12
 
Das iPad in der klinischen Anwendung
Das iPad in der klinischen AnwendungDas iPad in der klinischen Anwendung
Das iPad in der klinischen Anwendung
 
ApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 FinalApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 Final
 
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]
 
SEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after PenguinSEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after Penguin
 
Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.
 
Ground equipment
Ground equipmentGround equipment
Ground equipment
 
Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.
 
Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11
 
Unitymedia SoM Kompetenz
Unitymedia SoM KompetenzUnitymedia SoM Kompetenz
Unitymedia SoM Kompetenz
 
A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)
 
Gründen - im mobilen Umfeld
Gründen - im mobilen UmfeldGründen - im mobilen Umfeld
Gründen - im mobilen Umfeld
 
Apresentação Resultados 3T08
Apresentação Resultados 3T08Apresentação Resultados 3T08
Apresentação Resultados 3T08
 

Similaire à Développement sécurisé avec Microsoft.Net et HP Fortify

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM France Lab
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
NRC
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
ITrust - Cybersecurity as a Service
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Thierry Matusiak
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
LeClubQualiteLogicielle
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
Patrick Guimonet
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
blackmambaettijean
 
Symantec Code Signing (FR)
Symantec Code Signing (FR)Symantec Code Signing (FR)
Symantec Code Signing (FR)
Symantec Website Security
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
Advens
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
Rational_France
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.
Jérôme Boulon
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielle
Sylvain Leroy
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
Michel HUBERT
 
Qualite1
Qualite1Qualite1
Qualite1
Rachid Lajouad
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
ITrust - Cybersecurity as a Service
 

Similaire à Développement sécurisé avec Microsoft.Net et HP Fortify (20)

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
 
Symantec Code Signing (FR)
Symantec Code Signing (FR)Symantec Code Signing (FR)
Symantec Code Signing (FR)
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielle
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
 
Qualite1
Qualite1Qualite1
Qualite1
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 

Plus de Microsoft

Uwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieu
Microsoft
 
La Blockchain pas à PaaS
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaS
Microsoft
 
Tester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobile
Microsoft
 
Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo
Microsoft
 
Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.
Microsoft
 
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Microsoft
 
Créer un bot de A à Z
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à Z
Microsoft
 
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft
 
Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016
Microsoft
 
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Microsoft
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Microsoft
 
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Microsoft
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
Microsoft
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Microsoft
 
Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.
Microsoft
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Microsoft
 
Introduction à ASP.NET Core
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET Core
Microsoft
 
Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?
Microsoft
 
Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...
Microsoft
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
Microsoft
 

Plus de Microsoft (20)

Uwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieu
 
La Blockchain pas à PaaS
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaS
 
Tester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobile
 
Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo
 
Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.
 
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
 
Créer un bot de A à Z
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à Z
 
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?
 
Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016
 
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
 
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
 
Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
 
Introduction à ASP.NET Core
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET Core
 
Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?
 
Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
 

Développement sécurisé avec Microsoft.Net et HP Fortify

  • 2. HP Fortify Software Security Center et Microsoft VS .Net Haleh Nematollahy Security Solutions Architect HP Enterprise Security Products Fortify Sécurité
  • 3. LES APPLICATIONS CIBLES CYBERATTAQUE Networks Hardware Applications Intellectual Security Measures Property • • • • • • • • • • #mstechdays Sécurité Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Business Anti-Virus/Anti-Spam Processes DLP Host FW Host IPS/IDS Trade Vuln. Assessment tools Secrets
  • 4. LE PROBLEME 84% *Gartner, 2013 #mstechdays Sécurité des brèches sont au niveau de l’application
  • 5. SECURITÉ LE DEFI Sécurisation des applications héritées In-house Development Certification Nouvelles Releases Validation Comformité Achat de logiciels Securisées Outsourced Open source Commercial #mstechdays Sécurité
  • 6. L'APPROCHE ACTUELLE> RÉACTIVE, CHÈRE 2 Quelqu'un construit logiciel avec des failles In-house Outsourced Commercial IT déploie le mauvais logiciel 1 3 Open source $ $$ 4 convaincre et payer un développeur pour corriger #mstechdays Sécurité Nous nous faisons pirater ou nous payons quelqu'un pour nous dire que notre code est mauvais
  • 7. FIXING THINGS LATE IS 30x more costly to secure in production FRUSTRATING Cost 30X 15X 10X 5X 2X Requirements • Coding Integration/ component testing System testing Production Une fois qu’une application est en production, le cout de remédiassions est 30x plus élevé . Source: NIST #mstechdays Sécurité
  • 8. APPROCHE INTÉRIMAIRE> PLUS SÛR ET RENTABLE In-house Outsourced Commercial Mettre en œuvre des points de sécurité pour déterminer si le logiciel est résistant avant de déployer en production Open source 4 Surveiller et protéger les logiciels fonctionnant en production #mstechdays 2 1 Logiciels existants ou nouvellement créés 3 Travailler avec les Développeurs afin de localiser et de corriger les vulnérabilités Sécurité Good code
  • 9. HP FORTIFY SOFTWARE SECURITY Trouver et corriger les problèmes de sécurité dans le CENTER Fortify les applications contre les attaques développement, • Économiser la sécurité, les audits et les pen tests IN-HOUSE COMMERCIAL #mstechdays OUTSOURCED OPEN SOURCE • Réduit les risques de logiciel avec un minimum d'effort et de coût • Protèger les applications contre les attaques en supprimant les failles de sécurité lors du développement Sécurité
  • 10. Fortify Solutions Static Analysis Dynamic Analysis Runtime Analysis Actual Attacks Source Code Mgt System Static Analysis Via Build Integration Dynamic Testing In QA Or Production Real-Time Protection Of Running Application Vulnerability Management Normalization Remediation IDE Plug-ins for MS Visual Studio Application Lifecycle (Scoring, Guidance) Correlate Target Vulnerabilities With Common Guidance and Scoring Vulnerability Database Correlation Defects, Metrics And KPIs Used To Measure Risk (Static, Dynamic, Runtime) Developers (onshore or offshore) Threat Intelligence Rules Management Development, Project and Management Stakeholders Hackers
  • 11. SOFTWARE SCANNING PROCESS Check in Code Scheduled Check-out, Code Repository Build and Scan Build / Scan on TFS MS VS Developers .fpr file Static Code Analysis (SCA) Repeat as Necessary Upload Scan Results Developer Fixes Bug / Security Finding Bug Tracking using MS TFS Submit Findings to Bug Tracker Fortify SSC #mstechdays Scan Fix Auditor Reviews Results Sécurité Auditor /Security
  • 13. HP FORTIFY SOFTWARE SECURITY CENTER ET MS VS .NET • Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net • Réviser résultats dans VS 2013 • Fix SQLi, XSS dans VS 2013 • Scan/analyser avec Fortify SCA dans MS VS 2013 • Upload/télécharger les résultats sur Fortify Software Security Center • Démonstration de Software Security Center • Générer des Reports #mstechdays Sécurité Design/UX/UI
  • 14. FIND, FIX AND FORTIFY HP Fortify Software Security Center 1 Find & Fix Trouver et corriger les problèmes de sécurité dans MS. Net développement 2 Fortify Fortifier les applications contre les attaques 3 Save Économiser le développement 4 Reduce Réduire le risque des applications #mstechdays Sécurité

Notes de l'éditeur

  1. Hi, my name is [Name]. I work as a [Title/ Role] at HP, in the Enterprise Security Products business unit. Today, I’ll be talking about application security and why governments and modern enterprises need it. What is application security? Simply put, it is about ensuring that every single line of code is secure and every single software application– whether it is built for the desktop, cloud or mobile device— is safe from cyber attackers and hackers. The goal here is about eliminating exploitablesecurity risk in software at the application code level, making it immune to attack even if intruders get past perimeter defenses.
  2. As an industry we have become much more effective at protection at the network and operating systems level. From NIPS, AV and DLP, these security have served a purpose and continue to do so. However, the bad guys continue to innovate, infiltrate and attack. They are increasingly attacking the new ‘weakest link’….the applications. According to Gartner, 84% new of breaches take advantage of threat that are associated with the applications. A February 2013 Frost & Sullivan study released in Information Week stated that 69% of CISOs listed application security as their biggest threatThe are a number of reasons why applications are the new weakest link 3 key takeaways are:The proliferation of software apps. From legacy SW to mobile apps for your iPhone, security teams now have to try to keep up with fast application delivery. Not all applications are tested before launched.Security teams have not historically been responsible for software securityWhen you combine this with the increased leverage of attack tools like Zeus, or the favorite of Anonymous…..something different is going on and we need to pay attention to these changes if we are going to improve our success rate. The challenge then centers on applications and visibility into the risks…
  3. Fortify gives you advanced technologies to ensure your applications are secure. Fortify inspects applications at the source code level (static testing) and while they are running (dynamic testing). Fortify supports more languages than any other application security vendor with significant strengths in the area of mobile application security. But it’s not just built for custom applications, Fortify and determine if vulnerabilities exist in commercial, custom and open source activities. And even more differentiated, Fortify can be delivered as a software you purchase or as a service. With unmatched flexibility and depth of coverage, Fortify ensures you have a world class application security program in place.
  4. Fortify gives you advanced technologies to ensure your applications are secure. Fortify inspects applications at the source code level (static testing) and while they are running (dynamic testing). Fortify supports more languages than any other application security vendor with significant strengths in the area of mobile application security. But it’s not just built for custom applications, Fortify and determine if vulnerabilities exist in commercial, custom and open source activities. And even more differentiated, Fortify can be delivered as a software you purchase or as a service. With unmatched flexibility and depth of coverage, Fortify ensures you have a world class application security program in place.