LA NORME ISO 27034 
Sebastien Gioria 
Club 27001 – Paris 
25 Septembre 2014 
Document confidentiel www.advens.fr - Advens®...
Agenda 
§ Problématiques initiales et besoins exprimés 
pour la création de la norme 
§ Les différents tomes 
§ La norm...
http://www.google.fr/#q=sebastien gioria 
‣ Innovation and Technology @Advens && 
Application Security Expert 
‣ OWASP Fra...
Qui sommes-nous ? 
Nous aidons les organisations, publiques ou privées, à manager la sécurité de 
l'information pour en am...
Problématiques initiales et besoins exprimés pour 
la création de la norme 
Document confidentiel www.advens.fr - Advens® ...
80% des budgets sécurité sont consacrés à l’infrastructure 
alors que les applications concentrent 90% des vulnérabilités*...
Différentes causes pour les mêmes résultats 
Les utilisateurs cherchent agilité et autonomie 
➜ Se tournent vers le Cloud ...
Problématiques des utilisateurs finaux 
§ Les vulnérabilités applicatives ont un impact plus fort qu'il y a 10 ans. 
§ L...
Besoins exprimés pour la création 
§ L'utilisateur final a besoin d'outils pour définir les 
exigences des le début du pr...
Les différents tomes de la série 27034 
Document confidentiel www.advens.fr - Advens® 2014 10
ISO27034, une norme en 7 tomes 
§ 27034-1 : Concepts et survol global – 
› Etat : 60.60 
§ 27034-2 : Cadre normatif de l...
Liens avec les autres normes ISO - § 0.5 
Document confidentiel www.advens.fr - Advens® 2014 12
La norme dans le détail 
Document confidentiel www.advens.fr - Advens® 2014 13
Objectifs de la norme ISO 27034 
§ Proposer un modèle permettant de faciliter l'intégration de la 
sécurité dans le cycle...
Principes 
§ La sécurité est une exigence métier 
§ La sécurité d'une application dépend de son contexte 
d'utilisation ...
Portée de la sécurité d'une application - § 6.3 
Document confidentiel www.advens.fr - Advens® 2014 16
Principes - processus - § 7 
Processus de 
gestion des risques 
appliqué à chaque 
applicatif 
Cadre normatif de 
l'organi...
Cadre normatif de l'organisation – §8 
Documente les standards et 
pratiques de l'organisation : 
• processus de gesiont d...
Modèle de cycle de vie pour la sécurité applicative 
- § 8.1.2.7 
Buts : 
• aider l'organisation à valider le cycle de vie...
Controle de Sécurité Applicative (ASC) § 8.1.2.6.5 
§ Mesure de réduction du risque 
§ Crée, approuvé et maintenu par l'...
Librairie des controles de sécurité applicative § 
8.1.2.6.2 
§ Peut être vue comme une grille 
Document confidentiel www...
Application Level of Trust § 8.1.2.6.4 
§ Indice de tolérance au risque 
§ Concrétisé par un ensemble de contrôle (cf un...
Processus de gestion de la sécurité § 7.3 
Détermination des élément impactant l 
sécurité de l'application : 
• specs 
• ...
Processus de vérification de la sécurité § 8.5 
Document confidentiel www.advens.fr - Advens® 2014 24
Apports directes de la norme 
§ Un cadre standard de gestion des risques applicatifs 
§ Un futur référentiel permettant ...
Inconvénients / Effort de déploiements 
§ Définir les rôles et responsabilités : 
› peut être assez complexe suivant le S...
Apports indirects (Avantages) de la norme 
§ Apporte une augmentation du niveau de sécurité des applications 
§ Uniformi...
Les questions qui fachent ! ou pas ! 
§ Existe-t-il des certifications ISO 27034 ? 
› Réponse : Oui via le PECB ! (LSTI s...
Prochaines dates 
§ Application Security Forum Western Switzerland – Yverdon les Bains 
– 4 au 6 Novembre 2014 - http://w...
? 
Questions / Réponses 
Document confidentiel www.advens.fr - Advens® 2014 30
Merci pour votre participation 
Application 
Security 
Academy 
Saisons 1, 2 et 3 
Groupe LinkedIn Webinars – 9 épisodes 
...
VOTRE CONTACT 
Sébastien Gioria | Innovation & Technologies 
4 square Edouard VII – 75009 Paris 
T + 33 (0)1 84 16 30 25Ÿ...
Prochain SlideShare
Chargement dans…5
×

2014 09-25-club-27001 iso 27034-presentation-v2.2

1 324 vues

Publié le

PRésentation de la norme ISO 27034 au Club 27001 PAris

Publié dans : Internet
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 324
Sur SlideShare
0
Issues des intégrations
0
Intégrations
433
Actions
Partages
0
Téléchargements
37
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2014 09-25-club-27001 iso 27034-presentation-v2.2

  1. 1. LA NORME ISO 27034 Sebastien Gioria Club 27001 – Paris 25 Septembre 2014 Document confidentiel www.advens.fr - Advens® 2014
  2. 2. Agenda § Problématiques initiales et besoins exprimés pour la création de la norme § Les différents tomes § La norme ISO 27034-1:2011 § Questions/Réponses ? Document confidentiel www.advens.fr - Advens® 2014 2
  3. 3. http://www.google.fr/#q=sebastien gioria ‣ Innovation and Technology @Advens && Application Security Expert ‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader ‣ Proud father of youngs kids trying to hack my digital life. Twitter :@SPoint Document confidentiel www.advens.fr - Advens® 2014 3
  4. 4. Qui sommes-nous ? Nous aidons les organisations, publiques ou privées, à manager la sécurité de l'information pour en améliorer la performance. Nos différences • La valorisation de la fonction sécurité • Une approche métier s’appuyant sur des compétences sectorielles • Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » • Une approche pragmatique et des tableaux de bord actionnables • Une vision globale et indépendante des technologies Éléments clés • Créée en 2000 • CA 10 millions euros • 80 collaborateurs basés à Paris, Lille, Lyon, Grenoble, Niort • Plus de 300 clients actifs en France et à l’international • Prestataire d’audit de la sécurité des SI (PASSI) en cours par l’ANSSI Document confidentiel www.advens.fr - Advens® 2014 4
  5. 5. Problématiques initiales et besoins exprimés pour la création de la norme Document confidentiel www.advens.fr - Advens® 2014 5
  6. 6. 80% des budgets sécurité sont consacrés à l’infrastructure alors que les applications concentrent 90% des vulnérabilités* 99% des applications Web sont vulnérables** En moyenne, une application contient 13 failles** 3,61$ par ligne de code, c’est le coût de la non qualité/sécurité dans un développement*** *Source : Ponemon Institute 2013 **Sources Cenzic 2013 Document confidentiel www.advens.fr - Advens® 2014 6 ***Source : Castsoftware 2012
  7. 7. Différentes causes pour les mêmes résultats Les utilisateurs cherchent agilité et autonomie ➜ Se tournent vers le Cloud sans évaluer la sécurité ➜ Bypassent la DSI, le RSSI ➜ Cherchent à optimiser les coûts et des délais rapides Les développeurs manquent de moyens ➜ Manquent de sensibilisation et de formation ➜ Utilisent des méthodologies dans lesquelles la sécurité n’est pas intégrée ➜ Répondent à des cahiers des charges qui n’intègrent pas d’exigences Les éditeurs ne maîtrisent pas la sécurité dans leurs produits ➜ Pression du marché / Time to market ➜ Absence de clauses sécurité dans les achats et dans les appels d’offres Document confidentiel www.advens.fr - Advens® 2014 7
  8. 8. Problématiques des utilisateurs finaux § Les vulnérabilités applicatives ont un impact plus fort qu'il y a 10 ans. § L'environnement technologique est complexe § Il est difficile de garder toujours le même niveau de sécurité, en particulier lors de la maintenance de l'application § Il faut rester conforme aux différents contextes règlementaires et législatifs § Il y a peu ou pas de contrôle sur les applications acquises › vulnérabilités ? › configuration / installation ? › opérations ? § Pas ou peu d'exigences de sécurité lors des A.O ou sur les contrats › dépendance du fournisseur › pas de droit de regard client parfois (clauses d'audit interdites) › ... Document confidentiel www.advens.fr - Advens® 2014 8
  9. 9. Besoins exprimés pour la création § L'utilisateur final a besoin d'outils pour définir les exigences des le début du projet § L'editeur a besoin d'outils pour se conformer aux exigences § L'auditeur a besoin d'outils pour évaluer la sécurité des applications › Processus › Méthode › Critères de controle Document confidentiel www.advens.fr - Advens® 2014 9
  10. 10. Les différents tomes de la série 27034 Document confidentiel www.advens.fr - Advens® 2014 10
  11. 11. ISO27034, une norme en 7 tomes § 27034-1 : Concepts et survol global – › Etat : 60.60 § 27034-2 : Cadre normatif de l'organisation - Que faut-il utiliser ? › Etat : 40.20 § 27034-3 : Processus de gestion de la sécurité d'une application - Comment intégrer dans le processus la sécurité ? › Etat : 10.99 § 27034-4 : Validation de la sécurité d'une application (organisation, application, humaine) › Etat 10.99 § 27034-5 : Protocoles et structures de données des contrôles de sécurité applicative › Etat : 30.20 § 27034-6 : Pratique de sécurité pour des cas spécifiques d'applications (exemples, case study) › Etat 30.20 § 27034-7 : Application security control attribute predictability (concept américain J) › Etat 10.99 Document confidentiel www.advens.fr - Advens® 2014 11
  12. 12. Liens avec les autres normes ISO - § 0.5 Document confidentiel www.advens.fr - Advens® 2014 12
  13. 13. La norme dans le détail Document confidentiel www.advens.fr - Advens® 2014 13
  14. 14. Objectifs de la norme ISO 27034 § Proposer un modèle permettant de faciliter l'intégration de la sécurité dans le cycle de vie de développement d'une application › qu'elle soit développée en interne › qu'elle soit en partie "achetée" › qu'elle soit en mode SAAS § Proposer un modèle pouvant s'adapter aux processus et méthodologie de l'organisation § Mais en aucun cas › de proposer des contrôles ou règles de développement => voir OWASP ;) Document confidentiel www.advens.fr - Advens® 2014 14
  15. 15. Principes § La sécurité est une exigence métier § La sécurité d'une application dépend de son contexte d'utilisation § La sécurité d'une application doit pouvoir être démontrée § Il est nécessaire de pouvoir connaitre le bon niveau d'investissement financier pour sécuriser l'application § La portée de la sécurité d'une application est › tout ce qui au sein de l'organisation peut mettre en péril l'information critique › tout ce qu'il faut contrôler pour protéger l'information › inclut les personnes, processus, et l'infrastructure technologique Document confidentiel www.advens.fr - Advens® 2014 15
  16. 16. Portée de la sécurité d'une application - § 6.3 Document confidentiel www.advens.fr - Advens® 2014 16
  17. 17. Principes - processus - § 7 Processus de gestion des risques appliqué à chaque applicatif Cadre normatif de l'organisation Document confidentiel www.advens.fr - Advens® 2014 17
  18. 18. Cadre normatif de l'organisation – §8 Documente les standards et pratiques de l'organisation : • processus de gesiont de projet,... • politiques de sécurité • regles de developpemet, • ... Documente les produits, services et technologies utilisées par l'organisation, et permet de déterminer les menaces auquelles fait face l'application Documente le contexte réglementaire et legislatif ou sont utilisées les applications Dépot des spécifications et besoins fonctionnels ainsi que les solutions utilisées pour y répondre. On y trouve aussi le code, les librairies, ... Roles, responsabilittés et quelifications pour le projet. S'assure que tous les acteurs pour les processus sont définis et assure la séparation des privilèges Contient tous les contrôles de sécurité applicative approuvés C'est aussi un recueil des bonnes pratiques Contient tous les processus de sécurité impliqués par la sécurité des applications de l'organisation Modèle de cycle de vie standard pour la sécurité d'une application (cf slide suivant) Document confidentiel www.advens.fr - Advens® 2014 18
  19. 19. Modèle de cycle de vie pour la sécurité applicative - § 8.1.2.7 Buts : • aider l'organisation à valider le cycle de vie de chacune des applications • aider l'organisation à s'assurer que les problèmes de sécurité sont correctement adressés • aider l'organisation à minimiser le cout et l'impact de l'ISO27034 dans les projets • fournir un modèle standard pour le partage des ASCs a travers les projets Document confidentiel www.advens.fr - Advens® 2014 19
  20. 20. Controle de Sécurité Applicative (ASC) § 8.1.2.6.5 § Mesure de réduction du risque § Crée, approuvé et maintenu par l'organisation § Utilisé par les équipes de projet, d'opération, d'assurance qualité et d'audit § Peut être utilisé comme critère d'acception lors du développement § Vérifiable / Auditable § Décrit formellement dans un format standard (XML) Document confidentiel www.advens.fr - Advens® 2014 20
  21. 21. Librairie des controles de sécurité applicative § 8.1.2.6.2 § Peut être vue comme une grille Document confidentiel www.advens.fr - Advens® 2014 21
  22. 22. Application Level of Trust § 8.1.2.6.4 § Indice de tolérance au risque § Concrétisé par un ensemble de contrôle (cf une colonne de la grille de la librairie des contrôles) § Plusieurs niveaux sont définis : › Targeted Level of Trust : niveau de confiance cible définit par le propriétaire de l'application suite à l'analyse des risques › Actual Level of Trust : niveau de confiance réel, suite a un audit par ex Document confidentiel www.advens.fr - Advens® 2014 22
  23. 23. Processus de gestion de la sécurité § 7.3 Détermination des élément impactant l sécurité de l'application : • specs • acteurs • information • contexte business/relegislatif et Identification, analyse et evaluation du technologique risque Deduction des exigences de sécurité Extraction de l'ONF, des contrôles pertinents pour réduire les risques en fonction du 1 et du 2 Détermination du niveau de sécurité/ confiance par le propriétaire de l'application Il en sort un cadre appelé ANF. Il contient toute l'information relative à la sécurité de l'application Vérification du résultat de toutes les activités de vérification et tous les contrôles Le résultat qui en sort est le niveau de confiance réel Tous les controles de l'ANF sont utilisés pendant le cycle de vie de l'application Réalisation des activités de sécurité de tous les contrôles Réalisation de toutes les activités de vérification des contrôles Document confidentiel www.advens.fr - Advens® 2014 23
  24. 24. Processus de vérification de la sécurité § 8.5 Document confidentiel www.advens.fr - Advens® 2014 24
  25. 25. Apports directes de la norme § Un cadre standard de gestion des risques applicatifs § Un futur référentiel permettant de « vérifier » / « valider » le niveau de sécurité d’une application § Des processus permettant la certification des entreprises/applications ET PUIS C’EST TOUT !!! Document confidentiel www.advens.fr - Advens® 2014 25
  26. 26. Inconvénients / Effort de déploiements § Définir les rôles et responsabilités : › peut être assez complexe suivant le S.I › complexe dans le cas de S.I infogérés (Cloud....) existants § Documenter les processus et les composants › Les mettre a jour pour coller a la norme § Créer les cadres normatifs de l’organisation § Mettre en oeuvre le processus : 1. dans l’organisation 2. dans les projets ! Gérer le changement ! Document confidentiel www.advens.fr - Advens® 2014 26
  27. 27. Apports indirects (Avantages) de la norme § Apporte une augmentation du niveau de sécurité des applications § Uniformisation et normalisation de la sécurité des applications : › OWASP ASVS › OWASP OpenSAMM › BSIMM (Cigital) › SDL (Microsoft) › ..... § Meilleur controle des fournisseurs d’applications (internes, externes) § Réutilisation des composants, processus et contrôles existants Roles Responsabiltié Bénéfice de la norme Managers Gérer le cout de l’implémentation et du maintient de la sécurité applicative Permet de prouver que l’application a atteint le niveau de sécurité voulu et qu’elle le maintient Developers Comprendre ou la sécurité doit être appliqué dans chacune des phase du cycle de vie de l’application Permet d’identifier et implémenter les controles de sécurité nécessaires Auditors Vérifier les contrôles pour prouver le niveau de sécurité de l’application Permet de standardiser le processus de certification en sécurité applicative End users N/A Permet de s’assurer que l’application peut être utilisée en toute sécurité. Document confidentiel www.advens.fr - Advens® 2014 27
  28. 28. Les questions qui fachent ! ou pas ! § Existe-t-il des certifications ISO 27034 ? › Réponse : Oui via le PECB ! (LSTI si vous m’entendez, venez me voir J) − ISO 27034 Lead Auditor − ISO 27034 Lead Implementer − ISO 27034 Fundations § Existe-t-il des entreprises ayant implémentées la norme ? › Réponse : Oui ! − Au moins Microsoft (facile vu que la SDL colle dans l’annexe A....) ; cf blog microsoft.com « Microsoft has used a risk based approach to guide software security investments through a program of continuous improvement and processes since the Security Development Lifecycle (SDL) became a company-wide mandatory policy in 2004. In 2012, Microsoft used ISO/IEC 27034-1, an international application security standard as a baseline to evaluate mandatory engineering policies, standards, and procedures along with their supporting people, processes, and tools. All current mandatory application security related policies, standards, and procedures along with their supporting people, processes, and tools meet or exceed the guidance in ISO/IEC 27034-1 as published in 2011. » − Un équipementier serait en cours en France.... − Différentes sociétés canadiennes (facile, le créateur de la norme est canadien ;)) Document confidentiel www.advens.fr - Advens® 2014 28
  29. 29. Prochaines dates § Application Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 - http://www.appsec-forum.ch/ › Secure Coding for Java – 1 Day training › SonarQube pour la sécurité applicative § CLUSIR InfoNord – 16 Décembre 2014 › Le paradigme de la sécurité des objets connectés; Présentation de l’OWASP Top10 IoT § Confoo 2015 – Montreal – 16 au 20 Février 2015 § OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015 Document confidentiel www.advens.fr - Advens® 2014 29
  30. 30. ? Questions / Réponses Document confidentiel www.advens.fr - Advens® 2014 30
  31. 31. Merci pour votre participation Application Security Academy Saisons 1, 2 et 3 Groupe LinkedIn Webinars – 9 épisodes Découvrez nos ressources sur la sécurité des applications www.advens.fr/blog Document confidentiel www.advens.fr - Advens® 2014 31
  32. 32. VOTRE CONTACT Sébastien Gioria | Innovation & Technologies 4 square Edouard VII – 75009 Paris T + 33 (0)1 84 16 30 25Ÿ F +33 (0)3 20 70 54 28 Ÿ M +33 (0)6 70 59 11 44 sebastien.gioria@advens.fr Ÿ www.advens.fr Document confidentiel www.advens.fr - Advens® 2014

×