Cette présentation expose les techniques, outils et procédures mis en œuvre pour sécuriser l’hébergement des sites web de nos clients, tout en respectant les contraintes métiers liées à leurs activités.
Nous montrerons, par des exemples concrets et des retours d’expérience, comment nos experts ont mis en place une bonne stratégie de défense des sites web de nos clients face aux attaques ciblées ou opportunistes: anticipation, analyse et réponse.
1. Assises de la Sécurité 2015
Exploitabilité & Sécurité :
Challenge relevé
LEADER en INFOGERANCE ECOMMERCE
EXPERT en TRES HAUTE SECURITE
Grow your business safely
WWW.NBS-SYSTEM.COM
2. Historique
• 15 ans d'expérience dans l'hébergement
– 3000+ sites web hébergés
– Cloud privé 100% français
• 15 ans d'expérience dans la sécurité
• Jonction des deux mondes en 2011
– “beta-test” d’envergure
• CerberHost annoncé en 2012
– Solution auditée, légalement ou pas
– Certification PCI/DSS annuelle
2Thibault Koechlin & Emile Heitor
3. Un réel challenge ?
3Thibault Koechlin & Emile Heitor
Wordpress, 11 ans, 199 CVE, ~33 RCE SSH, 16 ans, 38 CVE, ~2 RCE
5. Constats
5Thibault Koechlin & Emile Heitor
De l’attaque initiale
à la compromision*
Source : étude VERIZON “Data Breach Investigation Report” de 2012
De la compromision
à la découverte*
* dans les grandes organisation
7. Impliquer l’interne : en amont
Profiter des compétences internes disponibles
• Identification des enjeux
– Création d’une matrice de risques « métiers » et « techniques»
• Aider dans la sélection des prestataires
– Réponse préventive au TOP10 OWASP
7Thibault Koechlin & Emile Heitor
8. Impliquer l’interne : pendant la construction
8Thibault Koechlin & Emile Heitor
Aider dans la mise en place des best practices
• Mesures génériques
– Back-Office : authentification par certificat, filtrage des back-office par IP, pré-
authentification HTTP, forcer le HTTPS …
• Décolérer de l’applicatif
– Filtrages flux entrants/sortants, Forcer des piles applicatives récentes
• Mesures spécifiques
– Suhosin, modules spécifiques de sécurité, contrôle de robustesse des mots de
passe
9. Impliquer l’interne : avant la phase de recette
En amont de la phase de recette
• Inventaire des composants logiciels (veille)
• Utilisation d’outils pour revue de sécurité
– Burp, Arachni, Zap
• Processus de consolidation
– Arachni (natif), ThreadFix (3rd party)
• Revue de plateforme
– Mise à Jour / Configuration des composants systèmes
9Thibault Koechlin & Emile Heitor
10. Clients et fournisseurs : encadrer, normaliser, procédurer
• Accompagnement du projet dès l’avant-vente
– Méthodes d’accès
– Validation des flux
– Audit de code
• Procédures standards, compatibles PCI/DSS
– Suivi des évolutions
• Chiffrement, autorisations de flux contrôlées, 2FA
10Thibault Koechlin & Emile Heitor
11. Un impératif, l'automatisation
• L'artisanat : l'impossible compatibilité
• Architecture sous contrôle = cohérence des méthodes et outils
• Industrialisation, automatisation, orchestration = contrôler la masse
11Thibault Koechlin & Emile Heitor
12. Jugeetpartie: obligationd'uneéquipedédiéeàlavigilance
12Thibault Koechlin & Emile Heitor
• Le RSSI est indépendant : l'infrastructure lui doit des comptes
• Interaction omniprésente entre opérations et sécurité :
validations mutuelles
– ie. Scan nessus mensuel + ouverture de ticket pour tracer les correctifs
• Pas de choix de direction technique sans consultation et
validation SOC/SecOPS
13. Processus et formations
• Toutes les équipes sont sensibilisées
• Formations régulières promulguées par l‘équipe sécurité
• Escalades encadrées par des procédures claires
– Service client, Infrastructure, SecOPS
13Thibault Koechlin & Emile Heitor
16. Contact
NBS System
Adresse :
8 rue Bernard Buffet,
Immeuble Le Cardinet – 5ème étage
75017 Paris
Mail : contact@nbs-system.com
Téléphone : +33.1.58.56.60.80
Support technique : +33.1.58.56.60.88
Fax : +33.1.58.56.60.81
16
Atelier donné aux Assises de la Sécurité
le 02/10/16
par Emile Heitor et Thibault Koechlin
Thibault Koechlin & Emile Heitor