SlideShare une entreprise Scribd logo

Gestion d'incidents pour développeurs

H
Harvey Francois

Présentation sur la gestion d'incidents présentée à confoo 2010.

TechnologieBusiness
1  sur  32
Télécharger pour lire hors ligne
Gestion d’incidents… pour développeurs Par François Harvey, CISM/CISSP Professionnel en sécurité de l’information Gestion medsécure
INTRODUCTION OBJECTIF DE LA CONFÉRENCE • Vous initier à la gestion d’incidents • Définir le rôle et le fonctionnement de la journalisation dans le processus 2
INTRODUCTION :: FRANCOIS HARVEY À PROPOS • Professionnel en sécurité chez Gestion medsécure – Domaine de la santé – Audit de sécurité applicative – Architectures de sécurité de logiciels – Gestion d’incidents 3
INTRODUCTION :: FRANCOIS HARVEY À PROPOS (suite) • J’ai contourné la sécurité de plus de logiciels que vous allez en programmer toute votre vie… • Ce n’est que mathématique… développer un logiciel peut nécessiter plusieurs années… • Et quelques minutes pour qu’il se fasse attaquer… 4
INTRODUCTION POURQUOI CETTE CONFÉRENCE • Il devient de plus en plus difficile pour les professionnels en sécurité de suivre les développements de logiciels • Les développeurs vont de plus en plus vers l’intégration où les aspects journalisation et incidents ne sont pas traités 5
INTRODUCTION <TRANCHE DE VIE > Commentaire d’un programmeur lors de la présentation d’un rapport d’audit.. – « Oui…. Mais vous avez triché pour entrer dans l’application, ça ne respecte pas les « use cases » de l’accès utilisateur » 6
GESTION D’INCIDENTS DÉFINITION D’INCIDENTS « Tout événement qui ne fait pas partie du fonctionnement standard d’un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce service » (ITIL) « Événement lié à la sécurité informatique, qui implique une violation de la politique de sécurité du système d’information » (RFC 2828) 7
GESTION D’INCIDENTS POURQUOI LA GESTION D’INCIDENTS? • Vos logiciels seront attaqués – Audit de sécurité volontaire (Interne ou Externe) – Découverte par une tierce partie • Publication responsable • Full-disclosure (publique) – Attaque contre votre logiciel – Client qui utilise votre logiciel et qui a été • Audité (Interne ou Externe) • Attaqué 8
GESTION D’INCIDENTS POURQUOI LA GESTION D’INCIDENTS? (suite) • Minimiser – L’impact : Disponibilité/Intégrité/Confidentialité – La gravité • Sur – Les données – Les ressources – L’organisation 9
GESTION D’INCIDENTS POURQUOI LA GESTION D’INCIDENTS? (suite) • En développement, un incident est très souvent relié à une vulnérabilité technique ou logique • Un incident peut être perçu comme une exploitation pratique ou théorique d’une vulnérabilité 10
PUBLICATION DE VULNÉRABILITÉ PUBLICATION RESPONSABLE VS FULL-DISCLOSURE • Publication responsable – Le fournisseur est avisé de façon privée et le chercheur ne publie rien avant le correctif • Full-Disclosure – La vulnérabilité (et la preuve de concept associée) est publiée sur Internet sans que le fournisseur soit avisé 11
GESTION D’INCIDENTS PROCESSUS DE GESTION D’INCIDENTS • Préparation • Identification • Classification • Analyse • Réaction • Post-mortem 12
GESTION D’INCIDENTS :: PRÉPARATION AVOIR UN PLAN – Gestion de crise – Avoir une équipe désignée (~CERT) – Support exécutif – Processus d’analyse – Mesure de mitigation – Remise en service – Escalade (hiérarchique ou fonctionnelle) 13
GESTION D’INCIDENTS :: PRÉPARATION AVOIR UN POINT DE CONTACT UNIQUE – Page explicative des procédures de contact – Courriel (securite@) – Tenir une liste des vulnérabilités passées et des correctifs requis – SI VOUS CONTACTER EST TROP COMPLIQUÉ ALORS LA VULNÉRABILITÉ OU INCIDENT NE VOUS SERONT PAS COMMUNIQUÉS! 14
GESTION D’INCIDENTS :: PRÉPARATION GESTION DE CODES SOURCE – Les changements doivent être répertoriés – Tenir une liste des versions de codes source tiers (librairie) et appliquer une veille sur leurs mises à jour – Intégrer la sécurité dans les processus de packaging – Développer des processus clairs de publication de correctifs 15
GESTION D’INCIDENTS :: PRÉPARATION INTÉGRER UNE JOURNALISATION COHÉRENTE – Votre infrastructure de journalisation doit considérer votre application comme étant hostile*! – Ajout mais pas de suppression/modification – Consultation en lecture seule – Toujours bien penser à encoder correctement les caractères (rien de pire qu’un XSS dans un visualiseur de log) * Vraiment très hostile! 16
GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION « UN ÉVÉNEMENT DOIT » – Être intègre – Être horodaté… incluant le fuseau horaire! – Permettre d’identifier la source • Adresse IP • Nom d’utilisateur – Permettre d’identifier l’action (ou l’attaque) – Permettre de relier l’attaque à la source 17
GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION « CECI EST UN ÉVÉNEMENT » Date Source Action Attaquant 18
GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION « LA COUCHE INFÉRIEURE JOURNALISE… » – Les applications ont de plus en plus de couches : Gestion de charge  Présentation Application  Base de données  Infrastructure – Le serveur Web •N’enregistre pas les cookies ni les paramètres POST – La détection d’intrusion réseau •Ne journalise que ce qu’elle détecte •Ne détecte pas les attaques sous SSL ou les vulnérabilités logiques 19
GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION <tranche de vie> QUOI NE PAS FAIRE Listes des tables d’une application – Security_Groups – Security_Logs – Security_Users L’application en question était exploitable via le SQL injection… 20
GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION FORMAT DE JOURNAUX • Pour les traces réseaux – Privilégier le format PCAP • Pour les traces de sécurité – Fichiers plats balisés (compatibles syslog) – Format IDMEF (Prelude – IDS) • Pour toutes les autres fonctions – Fichiers plats balisés (compatibles syslog) 21
GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION AVANTAGE DES FICHIERS PLATS – Utilisation d’outils de manipulation de texte (grep, awk, cut, sort, emacs (ou même vi)) – Signature ou hash (GPG ou MD5/SHA) – Compressible (gzip) – Facilité d’import/export (nc, syslog) – Intégration des droits du FS (Append Only, RO/RW, etc.) – Rotation facile en fonction des grosseurs/dates 22
GESTION D’INCIDENTS :: PRÉPARATION AUDITER SOUVENT ET TESTER VOS PROCÉDURES – Auditer à l’interne – Auditer à l’externe – Pour les vulnérabilités identifiées : Appliquer les processus requis (Publier un avis public et le correctif associé) 23
GESTION D’INCIDENTS :: IDENTIFICATION IDENTIFICATION DE LA SOURCE – D’où provient l’incident – Utilisateur interne, externe ou anonyme – Catégorie de vulnérabilité – Niveau de la vulnérabilité 24
GESTION D’INCIDENTS :: CLASSIFICATION DÉTERMINER LA CIBLE ET LA PORTÉE • Déterminer la portée de l’attaque et ses impacts sur votre entreprise et sur les données – Confidentialité – Intégrité – Disponibilité 25
GESTION D’INCIDENTS :: CLASSIFICATION CALCUL DU RISQUE Risque = f(Impact, Vulnérabilité et Menace) – Impact : Gravité de la vulnérabilité – Vulnérabilité : Niveau de faiblesse du système et facilité d’exploitation – Menace : Possibilité pour les attaquants d’exploiter la vulnérabilité • Il existe des méthodes de calcul du risque plus avancées, par exemple « CVSS *» *http://www.first.org/cvss/cvss-guide.html 26
GESTION D’INCIDENTS :: ANALYSE ANALYSER La vulnérabilité a été identifiée et son impact est connu… –Corriger la vulnérabilité –Trouver des mesures de mitigation possibles –Auditer et corriger les vulnérabilité similaires –Documenter les traces journalisées par l’exploitation 27
GESTION D’INCIDENTS :: RÉACTION RÉACTION • Escalader et avertir : – L’utilisateur – Le groupe d’utilisateurs – Le CERT • Publication du correctif • Incrémenter la version du produit • Assister vos utilisateurs en cas d’attaques 28
GESTION D’INCIDENTS :: AUTOPSIE AUTOPSIE (POST-MORTEM) • La méthode « 5 Pourquoi » • Déterminer les lacunes ayant conduit à cet incident et corriger la source. – Intégrer cet incident ou vulnérabilité dans les futurs « use cases » des développeurs pour y inclure des validations ou des tests 29
CONCLUSION CONCLUSION • Si vous ne devez que vous rappeler de trois choses : – Implanter une journalisation solide – Être transparent et communiquer – Définir et rehausser vos processus de gestion d’incidents 30
CONCLUSION GARDEZ LE CONTACT! • Email: – Contact at francoisharvey dot ca – Francois.harvey at medsecure dot ca • Twitter: @FrancoisHarvey • Web : – http://francoisharvey.ca – http://medsecure.ca 31
A PROPOS DE L’ENTREPRISE « Gestion medsécure se spécialise dans la sécurité, le développement et l’architecture des systèmes d’informations relié aux domaines cliniques et hospitaliés. » http://medsecure.ca

Recommandé

L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...SAID BELKAID
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 

Recommandé

L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...SAID BELKAID
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatiquemohamed hadrich
 
Audit technique de code
Audit technique de codeAudit technique de code
Audit technique de codeMehdi TAZI
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAlterest
 
Itil® gestion des incidents
Itil® gestion des incidentsItil® gestion des incidents
Itil® gestion des incidentsSERGE ROMARIC BASSOMO
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Antoine Vigneron
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Cobit
Cobit Cobit
Cobit Houda Elmoutaoukil
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueIsmail EL Makrouz
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu
 
La gestion des incidents de paiement
La gestion des incidents de paiementLa gestion des incidents de paiement
La gestion des incidents de paiementAziz Benchekroun
 
Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITILAbdessamad Mountadi
 

Contenu connexe

Tendances

Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatiquemohamed hadrich
 
Audit technique de code
Audit technique de codeAudit technique de code
Audit technique de codeMehdi TAZI
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAlterest
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Antoine Vigneron
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu
 

Tendances (20)

Plan de secours inormatique
Plan de secours inormatiquePlan de secours inormatique
Plan de secours inormatique
 
Audit technique de code
Audit technique de codeAudit technique de code
Audit technique de code
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilités
 
Itil® gestion des incidents
Itil® gestion des incidentsItil® gestion des incidents
Itil® gestion des incidents
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
EBIOS
EBIOSEBIOS
EBIOS
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
Mehari
MehariMehari
Mehari
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
Cobit
Cobit Cobit
Cobit
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
SunTseu BreakFirST #2 - Comment un audit SI récurrent vous simplifie la gouve...
 

En vedette

La gestion des incidents de paiement
La gestion des incidents de paiementLa gestion des incidents de paiement
La gestion des incidents de paiementAziz Benchekroun
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Mantra - ponencia foesa 20100922
Mantra - ponencia foesa 20100922Mantra - ponencia foesa 20100922
Mantra - ponencia foesa 20100922mantra-internet
 
Tv21 02-07 linuxembedded
Tv21 02-07 linuxembeddedTv21 02-07 linuxembedded
Tv21 02-07 linuxembeddedPascal Flamand
 
Actividad final semana VIII Programa Administracion Turistica
Actividad final semana VIII Programa Administracion TuristicaActividad final semana VIII Programa Administracion Turistica
Actividad final semana VIII Programa Administracion TuristicaMaria Garcia
 
Les principales lignes de force de l'avis du cnt
Les principales lignes de force de l'avis du cntLes principales lignes de force de l'avis du cnt
Les principales lignes de force de l'avis du cntt-groep NV
 
Jess,Crystal et Nicole
Jess,Crystal et NicoleJess,Crystal et Nicole
Jess,Crystal et Nicolekhatija
 
NOS PRODUITS IMMOBILIERS A DETROIT
NOS PRODUITS IMMOBILIERS A DETROITNOS PRODUITS IMMOBILIERS A DETROIT
NOS PRODUITS IMMOBILIERS A DETROITSUNFIM
 
Los Paradigmas Tecno-economicos
Los Paradigmas Tecno-economicosLos Paradigmas Tecno-economicos
Los Paradigmas Tecno-economicosFraNklin Santo's
 
Activismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigital
Activismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigitalActivismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigital
Activismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigitalMary Hengy Torres
 
Formation : Devenez gestionnaire de communauté Web
Formation : Devenez gestionnaire de communauté WebFormation : Devenez gestionnaire de communauté Web
Formation : Devenez gestionnaire de communauté WebNiviti, communauté Web
 
PréSentation De LycéE Ben Arabí
PréSentation De LycéE Ben ArabíPréSentation De LycéE Ben Arabí
PréSentation De LycéE Ben ArabíTercerosb
 
Friend identity cards
Friend identity cardsFriend identity cards
Friend identity cardss50161
 

En vedette (20)

La gestion des incidents de paiement
La gestion des incidents de paiementLa gestion des incidents de paiement
La gestion des incidents de paiement
 
Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITIL
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Mantra - ponencia foesa 20100922
Mantra - ponencia foesa 20100922Mantra - ponencia foesa 20100922
Mantra - ponencia foesa 20100922
 
Tv21 02-07 linuxembedded
Tv21 02-07 linuxembeddedTv21 02-07 linuxembedded
Tv21 02-07 linuxembedded
 
Actividad final semana VIII Programa Administracion Turistica
Actividad final semana VIII Programa Administracion TuristicaActividad final semana VIII Programa Administracion Turistica
Actividad final semana VIII Programa Administracion Turistica
 
Les principales lignes de force de l'avis du cnt
Les principales lignes de force de l'avis du cntLes principales lignes de force de l'avis du cnt
Les principales lignes de force de l'avis du cnt
 
J’ai une passion pour le cinema
J’ai une passion pour le cinemaJ’ai une passion pour le cinema
J’ai une passion pour le cinema
 
Chapitre 2.001
Chapitre 2.001Chapitre 2.001
Chapitre 2.001
 
Enhommageauxmamansdela france
Enhommageauxmamansdela franceEnhommageauxmamansdela france
Enhommageauxmamansdela france
 
Jess,Crystal et Nicole
Jess,Crystal et NicoleJess,Crystal et Nicole
Jess,Crystal et Nicole
 
NOS PRODUITS IMMOBILIERS A DETROIT
NOS PRODUITS IMMOBILIERS A DETROITNOS PRODUITS IMMOBILIERS A DETROIT
NOS PRODUITS IMMOBILIERS A DETROIT
 
Los Paradigmas Tecno-economicos
Los Paradigmas Tecno-economicosLos Paradigmas Tecno-economicos
Los Paradigmas Tecno-economicos
 
Mon Amour24
Mon Amour24Mon Amour24
Mon Amour24
 
Activismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigital
Activismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigitalActivismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigital
Activismo Digital: "Del me gusta al me comprometo" #Activistas #BrigadaDigital
 
Formation : Devenez gestionnaire de communauté Web
Formation : Devenez gestionnaire de communauté WebFormation : Devenez gestionnaire de communauté Web
Formation : Devenez gestionnaire de communauté Web
 
PréSentation De LycéE Ben Arabí
PréSentation De LycéE Ben ArabíPréSentation De LycéE Ben Arabí
PréSentation De LycéE Ben Arabí
 
Friend identity cards
Friend identity cardsFriend identity cards
Friend identity cards
 
Blog
BlogBlog
Blog
 
Busqueda info
Busqueda infoBusqueda info
Busqueda info
 

Similaire à Gestion d'incidents pour développeurs

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfcours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfUbaldKouokam
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSerge Richard
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 

Similaire à Gestion d'incidents pour développeurs (20)

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfcours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 

Gestion d'incidents pour développeurs

  • 1. Gestion d’incidents… pour développeurs Par François Harvey, CISM/CISSP Professionnel en sécurité de l’information Gestion medsécure
  • 2. INTRODUCTION OBJECTIF DE LA CONFÉRENCE • Vous initier à la gestion d’incidents • Définir le rôle et le fonctionnement de la journalisation dans le processus 2
  • 3. INTRODUCTION :: FRANCOIS HARVEY À PROPOS • Professionnel en sécurité chez Gestion medsécure – Domaine de la santé – Audit de sécurité applicative – Architectures de sécurité de logiciels – Gestion d’incidents 3
  • 4. INTRODUCTION :: FRANCOIS HARVEY À PROPOS (suite) • J’ai contourné la sécurité de plus de logiciels que vous allez en programmer toute votre vie… • Ce n’est que mathématique… développer un logiciel peut nécessiter plusieurs années… • Et quelques minutes pour qu’il se fasse attaquer… 4
  • 5. INTRODUCTION POURQUOI CETTE CONFÉRENCE • Il devient de plus en plus difficile pour les professionnels en sécurité de suivre les développements de logiciels • Les développeurs vont de plus en plus vers l’intégration où les aspects journalisation et incidents ne sont pas traités 5
  • 6. INTRODUCTION <TRANCHE DE VIE > Commentaire d’un programmeur lors de la présentation d’un rapport d’audit.. – « Oui…. Mais vous avez triché pour entrer dans l’application, ça ne respecte pas les « use cases » de l’accès utilisateur » 6
  • 7. GESTION D’INCIDENTS DÉFINITION D’INCIDENTS « Tout événement qui ne fait pas partie du fonctionnement standard d’un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce service » (ITIL) « Événement lié à la sécurité informatique, qui implique une violation de la politique de sécurité du système d’information » (RFC 2828) 7
  • 8. GESTION D’INCIDENTS POURQUOI LA GESTION D’INCIDENTS? • Vos logiciels seront attaqués – Audit de sécurité volontaire (Interne ou Externe) – Découverte par une tierce partie • Publication responsable • Full-disclosure (publique) – Attaque contre votre logiciel – Client qui utilise votre logiciel et qui a été • Audité (Interne ou Externe) • Attaqué 8
  • 9. GESTION D’INCIDENTS POURQUOI LA GESTION D’INCIDENTS? (suite) • Minimiser – L’impact : Disponibilité/Intégrité/Confidentialité – La gravité • Sur – Les données – Les ressources – L’organisation 9
  • 10. GESTION D’INCIDENTS POURQUOI LA GESTION D’INCIDENTS? (suite) • En développement, un incident est très souvent relié à une vulnérabilité technique ou logique • Un incident peut être perçu comme une exploitation pratique ou théorique d’une vulnérabilité 10
  • 11. PUBLICATION DE VULNÉRABILITÉ PUBLICATION RESPONSABLE VS FULL-DISCLOSURE • Publication responsable – Le fournisseur est avisé de façon privée et le chercheur ne publie rien avant le correctif • Full-Disclosure – La vulnérabilité (et la preuve de concept associée) est publiée sur Internet sans que le fournisseur soit avisé 11
  • 12. GESTION D’INCIDENTS PROCESSUS DE GESTION D’INCIDENTS • Préparation • Identification • Classification • Analyse • Réaction • Post-mortem 12
  • 13. GESTION D’INCIDENTS :: PRÉPARATION AVOIR UN PLAN – Gestion de crise – Avoir une équipe désignée (~CERT) – Support exécutif – Processus d’analyse – Mesure de mitigation – Remise en service – Escalade (hiérarchique ou fonctionnelle) 13
  • 14. GESTION D’INCIDENTS :: PRÉPARATION AVOIR UN POINT DE CONTACT UNIQUE – Page explicative des procédures de contact – Courriel (securite@) – Tenir une liste des vulnérabilités passées et des correctifs requis – SI VOUS CONTACTER EST TROP COMPLIQUÉ ALORS LA VULNÉRABILITÉ OU INCIDENT NE VOUS SERONT PAS COMMUNIQUÉS! 14
  • 15. GESTION D’INCIDENTS :: PRÉPARATION GESTION DE CODES SOURCE – Les changements doivent être répertoriés – Tenir une liste des versions de codes source tiers (librairie) et appliquer une veille sur leurs mises à jour – Intégrer la sécurité dans les processus de packaging – Développer des processus clairs de publication de correctifs 15
  • 16. GESTION D’INCIDENTS :: PRÉPARATION INTÉGRER UNE JOURNALISATION COHÉRENTE – Votre infrastructure de journalisation doit considérer votre application comme étant hostile*! – Ajout mais pas de suppression/modification – Consultation en lecture seule – Toujours bien penser à encoder correctement les caractères (rien de pire qu’un XSS dans un visualiseur de log) * Vraiment très hostile! 16
  • 17. GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION « UN ÉVÉNEMENT DOIT » – Être intègre – Être horodaté… incluant le fuseau horaire! – Permettre d’identifier la source • Adresse IP • Nom d’utilisateur – Permettre d’identifier l’action (ou l’attaque) – Permettre de relier l’attaque à la source 17
  • 18. GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION « CECI EST UN ÉVÉNEMENT » Date Source Action Attaquant 18
  • 19. GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION « LA COUCHE INFÉRIEURE JOURNALISE… » – Les applications ont de plus en plus de couches : Gestion de charge  Présentation Application  Base de données  Infrastructure – Le serveur Web •N’enregistre pas les cookies ni les paramètres POST – La détection d’intrusion réseau •Ne journalise que ce qu’elle détecte •Ne détecte pas les attaques sous SSL ou les vulnérabilités logiques 19
  • 20. GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION <tranche de vie> QUOI NE PAS FAIRE Listes des tables d’une application – Security_Groups – Security_Logs – Security_Users L’application en question était exploitable via le SQL injection… 20
  • 21. GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION FORMAT DE JOURNAUX • Pour les traces réseaux – Privilégier le format PCAP • Pour les traces de sécurité – Fichiers plats balisés (compatibles syslog) – Format IDMEF (Prelude – IDS) • Pour toutes les autres fonctions – Fichiers plats balisés (compatibles syslog) 21
  • 22. GESTION D’INCIDENTS :: PRÉPARATION :: JOURNALISATION AVANTAGE DES FICHIERS PLATS – Utilisation d’outils de manipulation de texte (grep, awk, cut, sort, emacs (ou même vi)) – Signature ou hash (GPG ou MD5/SHA) – Compressible (gzip) – Facilité d’import/export (nc, syslog) – Intégration des droits du FS (Append Only, RO/RW, etc.) – Rotation facile en fonction des grosseurs/dates 22
  • 23. GESTION D’INCIDENTS :: PRÉPARATION AUDITER SOUVENT ET TESTER VOS PROCÉDURES – Auditer à l’interne – Auditer à l’externe – Pour les vulnérabilités identifiées : Appliquer les processus requis (Publier un avis public et le correctif associé) 23
  • 24. GESTION D’INCIDENTS :: IDENTIFICATION IDENTIFICATION DE LA SOURCE – D’où provient l’incident – Utilisateur interne, externe ou anonyme – Catégorie de vulnérabilité – Niveau de la vulnérabilité 24
  • 25. GESTION D’INCIDENTS :: CLASSIFICATION DÉTERMINER LA CIBLE ET LA PORTÉE • Déterminer la portée de l’attaque et ses impacts sur votre entreprise et sur les données – Confidentialité – Intégrité – Disponibilité 25
  • 26. GESTION D’INCIDENTS :: CLASSIFICATION CALCUL DU RISQUE Risque = f(Impact, Vulnérabilité et Menace) – Impact : Gravité de la vulnérabilité – Vulnérabilité : Niveau de faiblesse du système et facilité d’exploitation – Menace : Possibilité pour les attaquants d’exploiter la vulnérabilité • Il existe des méthodes de calcul du risque plus avancées, par exemple « CVSS *» *http://www.first.org/cvss/cvss-guide.html 26
  • 27. GESTION D’INCIDENTS :: ANALYSE ANALYSER La vulnérabilité a été identifiée et son impact est connu… –Corriger la vulnérabilité –Trouver des mesures de mitigation possibles –Auditer et corriger les vulnérabilité similaires –Documenter les traces journalisées par l’exploitation 27
  • 28. GESTION D’INCIDENTS :: RÉACTION RÉACTION • Escalader et avertir : – L’utilisateur – Le groupe d’utilisateurs – Le CERT • Publication du correctif • Incrémenter la version du produit • Assister vos utilisateurs en cas d’attaques 28
  • 29. GESTION D’INCIDENTS :: AUTOPSIE AUTOPSIE (POST-MORTEM) • La méthode « 5 Pourquoi » • Déterminer les lacunes ayant conduit à cet incident et corriger la source. – Intégrer cet incident ou vulnérabilité dans les futurs « use cases » des développeurs pour y inclure des validations ou des tests 29
  • 30. CONCLUSION CONCLUSION • Si vous ne devez que vous rappeler de trois choses : – Implanter une journalisation solide – Être transparent et communiquer – Définir et rehausser vos processus de gestion d’incidents 30
  • 31. CONCLUSION GARDEZ LE CONTACT! • Email: – Contact at francoisharvey dot ca – Francois.harvey at medsecure dot ca • Twitter: @FrancoisHarvey • Web : – http://francoisharvey.ca – http://medsecure.ca 31
  • 32. A PROPOS DE L’ENTREPRISE « Gestion medsécure se spécialise dans la sécurité, le développement et l’architecture des systèmes d’informations relié aux domaines cliniques et hospitaliés. » http://medsecure.ca