SlideShare une entreprise Scribd logo
1  sur  39
Secure Development Life Cycle
                   Simple et Concret

                  CONFOO – Montréal
                   Québec - Canada
                    11 Mars 2010

Sébastien Gioria (French Chapter Leader & OWASP Global
Education Committee Member)
sebastien.gioria@owasp.org
                    Copyright © 2009 - The OWASP Foundation
                    Permission is granted to copy, distribute and/or modify this document
                    under the terms of the GNU Free Documentation License.




                    The OWASP 2009 - S.Gioria & OWASP
                            ©
                              Foundation
                    http://www.owasp.org
Qui suis-je ?
                Consultant Sécurité au sein du cabinet d’audit Groupe Y
                   (s.gioria@groupey.fr)
                Président du CLUSIR Poitou-Charentes
                OWASP France Leader       - Evangéliste - OWASP Global Education
                   Comittee Member (sebastien.gioria@owasp.org)

                  +12 ans d’expérience en Sécurité des Systèmes d’Information
                  Différents postes de manager SSI dans la banque, l’assurance
                   et les télécoms
                  Expertise Technique
                       PenTesting, Digital Forensics
@SPoint                S-SDLC
                       Gestion du risque, Architectures fonctionnelles, Audits
                       Consulting et Formation en Réseaux et Sécurité

    Domainesde prédilection :
       Web 4.2 : WebServices, Insécurité du Web.

                                                   © 2009 - S.Gioria & OWASP
Agenda

  ourquoi ?
 P
  es acteurs
 L
  a boite a outils
 L
  imple et concret ?
 S
  etour d’expérience
 R
  uestions ?
 Q




                        © 2009 - S.Gioria & OWASP
Faiblesse des Applications Web
%	
  A$aques	
                                        %	
  Dépenses	
  
                                                                      10 %
                 Applica1on	
  Web	
  

    75 %


                                                                      90 %



    25 %           Eléments	
  Réseaux	
  

                             Etude	
  du	
  GARTNER	
  2003	
                Etude	
  du	
  SANS	
  (septembre	
  2009)	
  
         75%	
  des	
  a4aques	
  ciblent	
  le	
  niveau	
  Applica=f	
     h4p://www.sans.org/top-­‐cyber-­‐security-­‐risks/	
  
          66%	
  des	
  	
  applica=ons	
  web	
  sont	
  vulnérables	
  
                                       	
       	
  




                                                                                                © 2009 - S.Gioria & OWASP
                                                                                                            4
L’exposition a une vulnérabilité




                              © 2009 - S.Gioria & OWASP
Cout de la correction d’une faille




                               © 2009 - S.Gioria & OWASP
Agenda

  ourquoi ?
 P
  es acteurs
 L
  a boite a outils
 L
  imple et concret ?
 S
  etour d’expérience
 R
  uestions ?
 Q




                        © 2009 - S.Gioria & OWASP
Secure Development Lifecyle Microsoft

 Modèle complet mais complexe
 Développé spécialement pour Microsoft par Microsoft
 Adapté a des projets logiciel classiques




                                             © 2009 - S.Gioria & OWASP
Cigital TouchPoints

  éthode de Gary McGraw
 M




                           © 2009 - S.Gioria & OWASP
CLASP




  Comprehensive, Lightweight Application Security
   Process
      bonnes pratiques dans le développement
     7
     sécuritaire
      ouvre tout le cycle de vie logiciel
     C
  Adaptable tout processus
  Dispose d’une checklist d’activités intéressante.
  Assez complexe d’approche pour un non initié !
                                       © 2009 - S.Gioria & OWASP
Les autres….

  ERT (http://www.cert.org/secure-
 C
 coding/)
    e retrouve dans la méthode de Cigital
   S


  es Méthodes privées
 L
    hacune différente
   C




                                     © 2009 - S.Gioria & OWASP
Pourquoi cela ne marche pas ?

  rop Complexe
 T

  pproche trop haut niveau
 A

  pproche trop « sécurité »
 A

  rop de confiance ?
 T



                               © 2009 - S.Gioria & OWASP
Agenda

  ourquoi ?
 P
  es acteurs
 L
  a boite a outils
 L
  imple et concret ?
 S
  etour d’expérience
 R
  uestions ?
 Q




                        © 2009 - S.Gioria & OWASP
Mais encore….




                © 2009 - S.Gioria & OWASP
Mais la meilleure solution




                    © 2009 - S.Gioria & OWASP
Agenda

  ourquoi ?
 P
  es acteurs
 L
  a boite a outils
 L
  imple et concret ?
 S
  etour d’expérience
 R
  uestions ?
 Q




                        © 2009 - S.Gioria & OWASP
Par ou commencer ?

  éfinir ce que l’on a à sa disposition :
 D
    emps/Budget/Effort a fournir
   T
                                     Nb de
    enaces
   M                                 lignes
                                    de Code
                                                       Effort



    ommes
   H                                          Budget


    usceptibilités
   S
    ackchiches
   B
    izza, Coca, sushi, bière
   P
    .
   …
                                     Charge/Cout Induit


                                    © 2009 - S.Gioria & OWASP
Savoir se prendre des coups

  e n’ai pas le budget
 J

  u parles, t’es trop jeune ici toi, on est
 T
 « secure »

  u parles, t’y connais rien en programmation
 T
 Confoo#

  écurité ? C’est pas mon boulot, moi je code les
 S
 specs qu’on me donne
                                    © 2009 - S.Gioria & OWASP
Eduquer, éduquer, éduquer, …..
Si vous pensez que l’éducation coute cher, essayez
          l’ignorance ! © Abraham Lincoln
  u’a-t-on a gagner personnellement :
   Q
    rgent ?
   A
    emps ?
   T
    econnaissance professionnelle ?
   R
  u’a-t-on a perdre ?
 Q
    rgent ?
   A
    emps ?
   T
  e cerveau humain est la plus belle machine,
 L
 mais aussi la plus vulnérable !
                                       © 2009 - S.Gioria & OWASP
Responsabiliser, responsabiliser,
responsabiliser, …..
  haque acteur doit se sentir « impliqué » dans
 C
 la sécurité.
    emander au métier des besoins sécurité
   D
    ettre en place des clauses de sécurité dans les
   M
   contrats prestataires
    éfinir des exigences à suivre
   D
     => Utiliser l’ASVS OWASP
  l faut trouver les bons mots/les bons vices…
 I



                                      © 2009 - S.Gioria & OWASP
Orchestrer, orchestrer, orchestrer, ….

  e posez en tant que chef d’orchestre
 S

  e pas tenter des explications complexes sur la
 N
 présentation de la sécurité projet

  érer des activités simples et ne pas les rendre
 G
 « dépendantes »




                                  © 2009 - S.Gioria & OWASP
Planifier et documenter les approches

 Détailler l’architecture de sécurité en terme de
  composants, connexions et contrôles de sécurité


             Penser malveillant !

 Modéliser les menaces, les attaques, les
  vulnérabilités, les impacts techniques et business


=> Un risque existe lorsqu’une menace utilisant
 une attaque sur une vulnérabilité génère un
 impact business.
                                  © 2009 - S.Gioria & OWASP
Le cycle

             Planification des tests sécurité

Exp Besoin                  Exigences
              Planning                   Conception
 Business                   Business




               Codage         Test       Deploiement    Production




                         Exécution des tests sécurité

Plus une vulnérabilité est identifiée tôt dans
  le cycle de vie, plus le coût de correction
  sera faible.                  © 2009 - S.Gioria & OWASP
Définir un fiche sécurité métier

  border les problèmes qui parlent aux métiers :
 A
    mage de marque
   I
    isponibilité du site
   D
   …
   


  ettre en place un questionnaire de 10 points
 M

  crire des questions fermées !
 E
   Voulez vous un cadenas en bas du navigateur (O/N)
   Voulez vous que le site soit accessible pour une population
    limitée (O/N)
                                             © 2009 - S.Gioria & OWASP
Des politiques – OWASP ASVS

 Quelles sont les fonctionnalités à mettre en oeuvre dans les
  contrôles de sécurité nécessaires à mon application

        Spécifications/Politique de sécurité des développements

 Quelle est la couverture et le niveau de rigueur à mettre en
  oeuvre lors de la vérification de sécurité d'une application.
 Comment comparer les différentes vérifications de sécurité
  effectuées
        Aide à la revue de code

 Quel niveau de confiance puis-je avoir dans une application
         Chapitre sécurité des contrats de
         développement ou des appels d’offres !
                                               © 2009 - S.Gioria & OWASP
                                                                           2
                                                                           5
Principes de développement

     KISS : Keep it Short and Simple
  étapes clés :
 8
    alidation des entrées
   V
    alidation des sorties
   V
    estion des erreurs
   G
    uthentification ET Autorisation
   A
    estion des Sessions
   G
    écurisation des communications
   S
    écurisation du stockage
   S
    ccès Sécurisé aux ressources
   A
                                       © 2009 - S.Gioria & OWASP
KISS : Keep it Short and Simple

  uivre constamment les règles précédentes
 S
  e pas « tenter » de mettre en place des
 N
 parades aux attaques
  évelopper sécurisé ne veut pas dire prévenir la
 D
 nouvelle vulnérabilité du jour
  onstruire sa sécurité dans le code au fur et a
 C
 mesure et ne pas s’en remettre aux éléments
 d’infrastructures ni au dernier moment.



                                 © 2009 - S.Gioria & OWASP
Mettre en place les Tests Qualité

 De pas parler de tests sécurité !


 Définir des fiches tests simples, basées sur le Top10/
  TopX :
    Tests d’attaques clients/image de marque (XSS)
    Tests d’intégrité (SQL Injection, …)
    Tests de conformité (SQL/LDAP/XML Injection)
    Tests de configuration (SSL, interfaces d’administration)


 Ajouter des revues de code basées sur des checklists
    SANS/Top25
    OWASP ASVS
    ….                                        © 2009 - S.Gioria & OWASP
Tests - Proposer des indicateurs compréhensibles




                                 © 2009 - S.Gioria & OWASP
Agenda

  ourquoi ?
 P
  es acteurs
 L
  a boite a outils
 L
  imple et concret ?
 S
  etour d’expérience
 R
  uestions ?
 Q




                        © 2009 - S.Gioria & OWASP
Le décor
  ociété Française d’environ 400 personnes
 S

  orte dépendance à l’informatique
 F
    étier principal
   m
  eaucoup de compétences internes
 B
    eu d’externalisation
   P
  réation d’un poste de RSSI
 C
    bjectif de réduire le nombre de corrections sécurité
   O
    méliorer la crédibilité vis a vis des clients
   A
  ests de sécurité réguliers après mise en
 T
 production de modules/applications
                                      © 2009 - S.Gioria & OWASP
Les étapes

  tat des lieux
 E
    electure des différents audits passés pour établir le
   R
   contexte et le niveau de maturité en sécurité :
       En mode ‘pifométrique’ adapté de l’OpenSAMM (http://
        www.OpenSamm.ORG)
  pproche de gestion des projets
 A
    isualisez les endroits ou il est possible d’entrer de la
   V
   sécurité


  éploiement
 D
    ducation
   E
    jout progressif d’activités
   A                                       © 2009 - S.Gioria & OWASP
Le cycle et l’ajout des points
                                                Spécifications
             Fiche Besoin Métier          fonctionnelles de sécurit



Exp Besoin                  Exigences
               Planning                  Conception
 Business                   Business




               Codage         Test       Deploiement        Production




                          Tests qualité métiers

                                            © 2009 - S.Gioria & OWASP
Les choix

  rojet nouveau et stratégique
 P
    élais très courts
   D
    xigences de sécurité élevée
   E


  éfinir des exigences fonctionnelles et politiques
 D
 de sécurité associées
    tilisation des documents internes de code pour les
   U
   développeurs




                                     © 2009 - S.Gioria & OWASP
Les murs franchis

  ’ajout de la sécurité dès l’initiation du cycle
 L
 projet

  a focalisation des tests intrusifs sur des tests
 L
 complexes et utiles

  a mise en place d’un framework d’entreprise
 L
 sécurisé

  a sensibilisation de tous les acteurs sur la
 L
 sécurité                          © 2009 - S.Gioria & OWASP
Les fausses routes
  arler de tests sécurité en fin de cycle…
 P
=> Rejet de la part des équipes de tests

  ouloir présenter au top management
 V
 rapidement le processus pour validation…
=> Incapacité à négocier un budget

  mposer des outils/frameworks aux
 I
 développeurs
=> Incapacité à les intégrer correctement
                                  © 2009 - S.Gioria & OWASP
Le bilan final du projet

  ugmentation du cout unitaire du projet
 A
 de plus de 30 % !
    ais centré sur le processus + framework
   M
    OI attendu rapidement
   R


  eilleur intégration des équipes et des
 M
 compétences.
    oins de ségrégation architectes/
   M
   développeurs/MOA



                                        © 2009 - S.Gioria & OWASP
Et aujourd’hui (9 mois plus tard…) ?

 Toujours des tests de sécurité en production, mais
  réduits de 50%.

 Une prise de conscience progressive des personnes en
  amont(commerciaux).


 Une bonne implication du management

 Des tests sécurité externes de meilleure qualité


 Une légère augmentation dans le cycle projet (5%)
                                       © 2009 - S.Gioria & OWASP
Agenda

  ourquoi ?
 P
  es acteurs
 L
  a boite a outils
 L
  imple et concret ?
 S
  etour d’expérience
 R
  uestions ?
 Q




                        © 2009 - S.Gioria & OWASP

Contenu connexe

Tendances

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-frenchvangogue
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 

Tendances (11)

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 

En vedette

Webpagetest en 5 minutes - Sud Web 2011
Webpagetest en 5 minutes - Sud Web 2011Webpagetest en 5 minutes - Sud Web 2011
Webpagetest en 5 minutes - Sud Web 2011Eric D.
 
Filosofia medieval wilderar
Filosofia medieval wilderarFilosofia medieval wilderar
Filosofia medieval wilderarwilderar
 
Tp final producción de textos 2012
Tp final producción de textos 2012Tp final producción de textos 2012
Tp final producción de textos 2012Verónica A. Dean
 
De l'usage des codes QR dans une commune
De l'usage des codes QR dans une communeDe l'usage des codes QR dans une commune
De l'usage des codes QR dans une communePhilippe Allard
 
Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02
Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02
Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02Samuel Martinez Ballesteros
 
eCommerce : La fidélisation au service du Rayonnement Web
eCommerce : La fidélisation au service du Rayonnement WebeCommerce : La fidélisation au service du Rayonnement Web
eCommerce : La fidélisation au service du Rayonnement WebAdrien O'Leary
 
presenatciòn restrepo
presenatciòn restrepopresenatciòn restrepo
presenatciòn restrepoAireth Amaya
 
Complemento etno educacion2
Complemento etno educacion2Complemento etno educacion2
Complemento etno educacion2Ciuad de Asis
 
Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...
Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...
Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...Travauxlib
 
Tratado de extradicion ven y usa mesicic3 ven anexo36
Tratado de extradicion ven y usa  mesicic3 ven anexo36Tratado de extradicion ven y usa  mesicic3 ven anexo36
Tratado de extradicion ven y usa mesicic3 ven anexo36Solo Clic Vzla
 
Benzodiacepinas .pps
Benzodiacepinas .ppsBenzodiacepinas .pps
Benzodiacepinas .ppsjoanalopez
 
Accueil personnes handicapées_epn_autrans2012
Accueil personnes handicapées_epn_autrans2012Accueil personnes handicapées_epn_autrans2012
Accueil personnes handicapées_epn_autrans2012Stéphanie LUCIEN-BRUN
 
Tarea 8 uso video_carmen indira velez
Tarea 8 uso video_carmen indira velezTarea 8 uso video_carmen indira velez
Tarea 8 uso video_carmen indira velezcarivfi
 

En vedette (20)

Réseaux sociaux pour les entreprises
Réseaux sociaux  pour les entreprisesRéseaux sociaux  pour les entreprises
Réseaux sociaux pour les entreprises
 
Webpagetest en 5 minutes - Sud Web 2011
Webpagetest en 5 minutes - Sud Web 2011Webpagetest en 5 minutes - Sud Web 2011
Webpagetest en 5 minutes - Sud Web 2011
 
Estrategias De Salida
Estrategias De SalidaEstrategias De Salida
Estrategias De Salida
 
Filosofia medieval wilderar
Filosofia medieval wilderarFilosofia medieval wilderar
Filosofia medieval wilderar
 
Tp final producción de textos 2012
Tp final producción de textos 2012Tp final producción de textos 2012
Tp final producción de textos 2012
 
De l'usage des codes QR dans une commune
De l'usage des codes QR dans une communeDe l'usage des codes QR dans une commune
De l'usage des codes QR dans une commune
 
Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02
Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02
Lavozdelamarcabmwsamuelmartinezsergiogonzalezded09 090618044926-phpapp02
 
Torta Barozzi
Torta BarozziTorta Barozzi
Torta Barozzi
 
eCommerce : La fidélisation au service du Rayonnement Web
eCommerce : La fidélisation au service du Rayonnement WebeCommerce : La fidélisation au service du Rayonnement Web
eCommerce : La fidélisation au service du Rayonnement Web
 
Tutoriales
TutorialesTutoriales
Tutoriales
 
presenatciòn restrepo
presenatciòn restrepopresenatciòn restrepo
presenatciòn restrepo
 
Lunette
LunetteLunette
Lunette
 
Complemento etno educacion2
Complemento etno educacion2Complemento etno educacion2
Complemento etno educacion2
 
Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...
Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...
Travaux de rénovation thermique les plus efficaces : Remplacer les fenetres T...
 
Tratado de extradicion ven y usa mesicic3 ven anexo36
Tratado de extradicion ven y usa  mesicic3 ven anexo36Tratado de extradicion ven y usa  mesicic3 ven anexo36
Tratado de extradicion ven y usa mesicic3 ven anexo36
 
Les Hôtels en France
Les Hôtels en FranceLes Hôtels en France
Les Hôtels en France
 
Benzodiacepinas .pps
Benzodiacepinas .ppsBenzodiacepinas .pps
Benzodiacepinas .pps
 
Rapport dragage
Rapport dragageRapport dragage
Rapport dragage
 
Accueil personnes handicapées_epn_autrans2012
Accueil personnes handicapées_epn_autrans2012Accueil personnes handicapées_epn_autrans2012
Accueil personnes handicapées_epn_autrans2012
 
Tarea 8 uso video_carmen indira velez
Tarea 8 uso video_carmen indira velezTarea 8 uso video_carmen indira velez
Tarea 8 uso video_carmen indira velez
 

Similaire à 2010 03-11-sdlc-v02

Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaCyber Security Alliance
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour  2024Mes bonnes résolutions cybersécurité pour  2024
Mes bonnes résolutions cybersécurité pour 2024Lisa Lombardi
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Innover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureInnover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureGuillaume Laforge
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Nuvollo
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/
Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/
Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/Matyas Gabor
 
Présentation 1 f trouille
Présentation 1   f trouillePrésentation 1   f trouille
Présentation 1 f trouilleCloudAcademy
 
Qualité de code, sonar, la dette
Qualité de code, sonar, la detteQualité de code, sonar, la dette
Qualité de code, sonar, la detteNovencia Groupe
 
Présentation générale eZ Publish
Présentation générale eZ PublishPrésentation générale eZ Publish
Présentation générale eZ PublishGauthier Garnier
 
Livret de stages AUBAY -2019-2020
Livret de stages AUBAY -2019-2020Livret de stages AUBAY -2019-2020
Livret de stages AUBAY -2019-2020MarylineMAINGAM
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010LINAGORA
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 

Similaire à 2010 03-11-sdlc-v02 (20)

2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour  2024Mes bonnes résolutions cybersécurité pour  2024
Mes bonnes résolutions cybersécurité pour 2024
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Innover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans ruptureInnover sans contrainte, intégrer sans rupture
Innover sans contrainte, intégrer sans rupture
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Ontomantics Introduction
Ontomantics IntroductionOntomantics Introduction
Ontomantics Introduction
 
Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/
Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/
Faire Mieux Avec Peu - Webcom 2009 Anastasia Simitsis, w.illi.am/
 
Présentation 1 f trouille
Présentation 1   f trouillePrésentation 1   f trouille
Présentation 1 f trouille
 
Qualité de code, sonar, la dette
Qualité de code, sonar, la detteQualité de code, sonar, la dette
Qualité de code, sonar, la dette
 
Présentation générale eZ Publish
Présentation générale eZ PublishPrésentation générale eZ Publish
Présentation générale eZ Publish
 
SQLI - Club des DSI - Mobilité
SQLI - Club des DSI - MobilitéSQLI - Club des DSI - Mobilité
SQLI - Club des DSI - Mobilité
 
Livret de stages AUBAY -2019-2020
Livret de stages AUBAY -2019-2020Livret de stages AUBAY -2019-2020
Livret de stages AUBAY -2019-2020
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 

Plus de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10   2010 Rc1   French Version V02Owasp Top 10   2010 Rc1   French Version V02
Owasp Top 10 2010 Rc1 French Version V02Sébastien GIORIA
 

Plus de Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Owasp Top 10 2010 Rc1 French Version V02
Owasp Top 10   2010 Rc1   French Version V02Owasp Top 10   2010 Rc1   French Version V02
Owasp Top 10 2010 Rc1 French Version V02
 

2010 03-11-sdlc-v02

  • 1. Secure Development Life Cycle Simple et Concret CONFOO – Montréal Québec - Canada 11 Mars 2010 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP 2009 - S.Gioria & OWASP © Foundation http://www.owasp.org
  • 2. Qui suis-je ? Consultant Sécurité au sein du cabinet d’audit Groupe Y (s.gioria@groupey.fr) Président du CLUSIR Poitou-Charentes OWASP France Leader - Evangéliste - OWASP Global Education Comittee Member (sebastien.gioria@owasp.org)   +12 ans d’expérience en Sécurité des Systèmes d’Information   Différents postes de manager SSI dans la banque, l’assurance et les télécoms   Expertise Technique   PenTesting, Digital Forensics @SPoint   S-SDLC   Gestion du risque, Architectures fonctionnelles, Audits   Consulting et Formation en Réseaux et Sécurité   Domainesde prédilection :   Web 4.2 : WebServices, Insécurité du Web. © 2009 - S.Gioria & OWASP
  • 3. Agenda   ourquoi ? P   es acteurs L   a boite a outils L   imple et concret ? S   etour d’expérience R   uestions ? Q © 2009 - S.Gioria & OWASP
  • 4. Faiblesse des Applications Web %  A$aques   %  Dépenses   10 % Applica1on  Web   75 % 90 % 25 % Eléments  Réseaux   Etude  du  GARTNER  2003   Etude  du  SANS  (septembre  2009)   75%  des  a4aques  ciblent  le  niveau  Applica=f   h4p://www.sans.org/top-­‐cyber-­‐security-­‐risks/   66%  des    applica=ons  web  sont  vulnérables       © 2009 - S.Gioria & OWASP 4
  • 5. L’exposition a une vulnérabilité © 2009 - S.Gioria & OWASP
  • 6. Cout de la correction d’une faille © 2009 - S.Gioria & OWASP
  • 7. Agenda   ourquoi ? P   es acteurs L   a boite a outils L   imple et concret ? S   etour d’expérience R   uestions ? Q © 2009 - S.Gioria & OWASP
  • 8. Secure Development Lifecyle Microsoft  Modèle complet mais complexe  Développé spécialement pour Microsoft par Microsoft  Adapté a des projets logiciel classiques © 2009 - S.Gioria & OWASP
  • 9. Cigital TouchPoints   éthode de Gary McGraw M © 2009 - S.Gioria & OWASP
  • 10. CLASP  Comprehensive, Lightweight Application Security Process   bonnes pratiques dans le développement 7 sécuritaire   ouvre tout le cycle de vie logiciel C  Adaptable tout processus  Dispose d’une checklist d’activités intéressante.  Assez complexe d’approche pour un non initié ! © 2009 - S.Gioria & OWASP
  • 11. Les autres….   ERT (http://www.cert.org/secure- C coding/)   e retrouve dans la méthode de Cigital S   es Méthodes privées L   hacune différente C © 2009 - S.Gioria & OWASP
  • 12. Pourquoi cela ne marche pas ?   rop Complexe T   pproche trop haut niveau A   pproche trop « sécurité » A   rop de confiance ? T © 2009 - S.Gioria & OWASP
  • 13. Agenda   ourquoi ? P   es acteurs L   a boite a outils L   imple et concret ? S   etour d’expérience R   uestions ? Q © 2009 - S.Gioria & OWASP
  • 14. Mais encore…. © 2009 - S.Gioria & OWASP
  • 15. Mais la meilleure solution © 2009 - S.Gioria & OWASP
  • 16. Agenda   ourquoi ? P   es acteurs L   a boite a outils L   imple et concret ? S   etour d’expérience R   uestions ? Q © 2009 - S.Gioria & OWASP
  • 17. Par ou commencer ?   éfinir ce que l’on a à sa disposition : D   emps/Budget/Effort a fournir T Nb de   enaces M lignes de Code Effort   ommes H Budget   usceptibilités S   ackchiches B   izza, Coca, sushi, bière P   . … Charge/Cout Induit © 2009 - S.Gioria & OWASP
  • 18. Savoir se prendre des coups   e n’ai pas le budget J   u parles, t’es trop jeune ici toi, on est T « secure »   u parles, t’y connais rien en programmation T Confoo#   écurité ? C’est pas mon boulot, moi je code les S specs qu’on me donne © 2009 - S.Gioria & OWASP
  • 19. Eduquer, éduquer, éduquer, ….. Si vous pensez que l’éducation coute cher, essayez l’ignorance ! © Abraham Lincoln   u’a-t-on a gagner personnellement : Q   rgent ? A   emps ? T   econnaissance professionnelle ? R   u’a-t-on a perdre ? Q   rgent ? A   emps ? T   e cerveau humain est la plus belle machine, L mais aussi la plus vulnérable ! © 2009 - S.Gioria & OWASP
  • 20. Responsabiliser, responsabiliser, responsabiliser, …..   haque acteur doit se sentir « impliqué » dans C la sécurité.   emander au métier des besoins sécurité D   ettre en place des clauses de sécurité dans les M contrats prestataires   éfinir des exigences à suivre D => Utiliser l’ASVS OWASP   l faut trouver les bons mots/les bons vices… I © 2009 - S.Gioria & OWASP
  • 21. Orchestrer, orchestrer, orchestrer, ….   e posez en tant que chef d’orchestre S   e pas tenter des explications complexes sur la N présentation de la sécurité projet   érer des activités simples et ne pas les rendre G « dépendantes » © 2009 - S.Gioria & OWASP
  • 22. Planifier et documenter les approches  Détailler l’architecture de sécurité en terme de composants, connexions et contrôles de sécurité Penser malveillant !  Modéliser les menaces, les attaques, les vulnérabilités, les impacts techniques et business => Un risque existe lorsqu’une menace utilisant une attaque sur une vulnérabilité génère un impact business. © 2009 - S.Gioria & OWASP
  • 23. Le cycle Planification des tests sécurité Exp Besoin Exigences Planning Conception Business Business Codage Test Deploiement Production Exécution des tests sécurité Plus une vulnérabilité est identifiée tôt dans le cycle de vie, plus le coût de correction sera faible. © 2009 - S.Gioria & OWASP
  • 24. Définir un fiche sécurité métier   border les problèmes qui parlent aux métiers : A   mage de marque I   isponibilité du site D …     ettre en place un questionnaire de 10 points M   crire des questions fermées ! E  Voulez vous un cadenas en bas du navigateur (O/N)  Voulez vous que le site soit accessible pour une population limitée (O/N) © 2009 - S.Gioria & OWASP
  • 25. Des politiques – OWASP ASVS  Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements  Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.  Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code  Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! © 2009 - S.Gioria & OWASP 2 5
  • 26. Principes de développement KISS : Keep it Short and Simple   étapes clés : 8   alidation des entrées V   alidation des sorties V   estion des erreurs G   uthentification ET Autorisation A   estion des Sessions G   écurisation des communications S   écurisation du stockage S   ccès Sécurisé aux ressources A © 2009 - S.Gioria & OWASP
  • 27. KISS : Keep it Short and Simple   uivre constamment les règles précédentes S   e pas « tenter » de mettre en place des N parades aux attaques   évelopper sécurisé ne veut pas dire prévenir la D nouvelle vulnérabilité du jour   onstruire sa sécurité dans le code au fur et a C mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. © 2009 - S.Gioria & OWASP
  • 28. Mettre en place les Tests Qualité  De pas parler de tests sécurité !  Définir des fiches tests simples, basées sur le Top10/ TopX :  Tests d’attaques clients/image de marque (XSS)  Tests d’intégrité (SQL Injection, …)  Tests de conformité (SQL/LDAP/XML Injection)  Tests de configuration (SSL, interfaces d’administration)  Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  …. © 2009 - S.Gioria & OWASP
  • 29. Tests - Proposer des indicateurs compréhensibles © 2009 - S.Gioria & OWASP
  • 30. Agenda   ourquoi ? P   es acteurs L   a boite a outils L   imple et concret ? S   etour d’expérience R   uestions ? Q © 2009 - S.Gioria & OWASP
  • 31. Le décor   ociété Française d’environ 400 personnes S   orte dépendance à l’informatique F   étier principal m   eaucoup de compétences internes B   eu d’externalisation P   réation d’un poste de RSSI C   bjectif de réduire le nombre de corrections sécurité O   méliorer la crédibilité vis a vis des clients A   ests de sécurité réguliers après mise en T production de modules/applications © 2009 - S.Gioria & OWASP
  • 32. Les étapes   tat des lieux E   electure des différents audits passés pour établir le R contexte et le niveau de maturité en sécurité :   En mode ‘pifométrique’ adapté de l’OpenSAMM (http:// www.OpenSamm.ORG)   pproche de gestion des projets A   isualisez les endroits ou il est possible d’entrer de la V sécurité   éploiement D   ducation E   jout progressif d’activités A © 2009 - S.Gioria & OWASP
  • 33. Le cycle et l’ajout des points Spécifications Fiche Besoin Métier fonctionnelles de sécurit Exp Besoin Exigences Planning Conception Business Business Codage Test Deploiement Production Tests qualité métiers © 2009 - S.Gioria & OWASP
  • 34. Les choix   rojet nouveau et stratégique P   élais très courts D   xigences de sécurité élevée E   éfinir des exigences fonctionnelles et politiques D de sécurité associées   tilisation des documents internes de code pour les U développeurs © 2009 - S.Gioria & OWASP
  • 35. Les murs franchis   ’ajout de la sécurité dès l’initiation du cycle L projet   a focalisation des tests intrusifs sur des tests L complexes et utiles   a mise en place d’un framework d’entreprise L sécurisé   a sensibilisation de tous les acteurs sur la L sécurité © 2009 - S.Gioria & OWASP
  • 36. Les fausses routes   arler de tests sécurité en fin de cycle… P => Rejet de la part des équipes de tests   ouloir présenter au top management V rapidement le processus pour validation… => Incapacité à négocier un budget   mposer des outils/frameworks aux I développeurs => Incapacité à les intégrer correctement © 2009 - S.Gioria & OWASP
  • 37. Le bilan final du projet   ugmentation du cout unitaire du projet A de plus de 30 % !   ais centré sur le processus + framework M   OI attendu rapidement R   eilleur intégration des équipes et des M compétences.   oins de ségrégation architectes/ M développeurs/MOA © 2009 - S.Gioria & OWASP
  • 38. Et aujourd’hui (9 mois plus tard…) ?  Toujours des tests de sécurité en production, mais réduits de 50%.  Une prise de conscience progressive des personnes en amont(commerciaux).  Une bonne implication du management  Des tests sécurité externes de meilleure qualité  Une légère augmentation dans le cycle projet (5%) © 2009 - S.Gioria & OWASP
  • 39. Agenda   ourquoi ? P   es acteurs L   a boite a outils L   imple et concret ? S   etour d’expérience R   uestions ? Q © 2009 - S.Gioria & OWASP