SlideShare une entreprise Scribd logo

2015 - Concilier exploitabilité & Sécurité : challenge relevé !

Télécharger en tant que PPTX, PDF
NBS System
NBS System

Cette présentation expose les techniques, outils et procédures mis en œuvre pour sécuriser l’hébergement des sites web de nos clients, tout en respectant les contraintes métiers liées à leurs activités. Nous montrerons, par des exemples concrets et des retours d’expérience, comment nos experts ont mis en place une bonne stratégie de défense des sites web de nos clients face aux attaques ciblées ou opportunistes: anticipation, analyse et réponse.

Technologie
1  sur  16
Assises de la Sécurité 2015 Exploitabilité & Sécurité : Challenge relevé LEADER en INFOGERANCE ECOMMERCE EXPERT en TRES HAUTE SECURITE Grow your business safely WWW.NBS-SYSTEM.COM
Historique • 15 ans d'expérience dans l'hébergement – 3000+ sites web hébergés – Cloud privé 100% français • 15 ans d'expérience dans la sécurité • Jonction des deux mondes en 2011 – “beta-test” d’envergure • CerberHost annoncé en 2012 – Solution auditée, légalement ou pas – Certification PCI/DSS annuelle 2Thibault Koechlin & Emile Heitor
Un réel challenge ? 3Thibault Koechlin & Emile Heitor Wordpress, 11 ans, 199 CVE, ~33 RCE SSH, 16 ans, 38 CVE, ~2 RCE
4 Ou Constats
Constats 5Thibault Koechlin & Emile Heitor De l’attaque initiale à la compromision* Source : étude VERIZON “Data Breach Investigation Report” de 2012 De la compromision à la découverte* * dans les grandes organisation
Constats 6Thibault Koechlin & Emile Heitor
Impliquer l’interne : en amont Profiter des compétences internes disponibles • Identification des enjeux – Création d’une matrice de risques « métiers » et « techniques» • Aider dans la sélection des prestataires – Réponse préventive au TOP10 OWASP 7Thibault Koechlin & Emile Heitor
Impliquer l’interne : pendant la construction 8Thibault Koechlin & Emile Heitor Aider dans la mise en place des best practices • Mesures génériques – Back-Office : authentification par certificat, filtrage des back-office par IP, pré- authentification HTTP, forcer le HTTPS … • Décolérer de l’applicatif – Filtrages flux entrants/sortants, Forcer des piles applicatives récentes • Mesures spécifiques – Suhosin, modules spécifiques de sécurité, contrôle de robustesse des mots de passe
Impliquer l’interne : avant la phase de recette En amont de la phase de recette • Inventaire des composants logiciels (veille) • Utilisation d’outils pour revue de sécurité – Burp, Arachni, Zap • Processus de consolidation – Arachni (natif), ThreadFix (3rd party) • Revue de plateforme – Mise à Jour / Configuration des composants systèmes 9Thibault Koechlin & Emile Heitor
Clients et fournisseurs : encadrer, normaliser, procédurer • Accompagnement du projet dès l’avant-vente – Méthodes d’accès – Validation des flux – Audit de code • Procédures standards, compatibles PCI/DSS – Suivi des évolutions • Chiffrement, autorisations de flux contrôlées, 2FA 10Thibault Koechlin & Emile Heitor
Un impératif, l'automatisation • L'artisanat : l'impossible compatibilité • Architecture sous contrôle = cohérence des méthodes et outils • Industrialisation, automatisation, orchestration = contrôler la masse 11Thibault Koechlin & Emile Heitor
Jugeetpartie: obligationd'uneéquipedédiéeàlavigilance 12Thibault Koechlin & Emile Heitor • Le RSSI est indépendant : l'infrastructure lui doit des comptes • Interaction omniprésente entre opérations et sécurité : validations mutuelles – ie. Scan nessus mensuel + ouverture de ticket pour tracer les correctifs • Pas de choix de direction technique sans consultation et validation SOC/SecOPS
Processus et formations • Toutes les équipes sont sensibilisées • Formations régulières promulguées par l‘équipe sécurité • Escalades encadrées par des procédures claires – Service client, Infrastructure, SecOPS 13Thibault Koechlin & Emile Heitor
Procédure de déploiement 14Thibault Koechlin & Emile Heitor
Procédure de Revue de Sécurité 15Thibault Koechlin & Emile Heitor
Contact NBS System Adresse : 8 rue Bernard Buffet, Immeuble Le Cardinet – 5ème étage 75017 Paris Mail : contact@nbs-system.com Téléphone : +33.1.58.56.60.80 Support technique : +33.1.58.56.60.88 Fax : +33.1.58.56.60.81 16 Atelier donné aux Assises de la Sécurité le 02/10/16 par Emile Heitor et Thibault Koechlin Thibault Koechlin & Emile Heitor

Recommandé

Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme DigitalNBS System
 
Presentation Logikart 2010
Presentation Logikart 2010Presentation Logikart 2010
Presentation Logikart 2010Benjamin Mathieu
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 

Recommandé

Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme DigitalNBS System
 
Presentation Logikart 2010
Presentation Logikart 2010Presentation Logikart 2010
Presentation Logikart 2010Benjamin Mathieu
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)PwC France
 
Magento security 2015 best practices
Magento security 2015 best practicesMagento security 2015 best practices
Magento security 2015 best practicesNBS System
 
2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécurité2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécuritéNBS System
 
Livre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiementLivre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiementNBS System
 
Benchmark des solutions e-commerce
Benchmark des solutions e-commerceBenchmark des solutions e-commerce
Benchmark des solutions e-commerceNBS System
 
Magento performances 2015 best practices
Magento performances 2015 best practicesMagento performances 2015 best practices
Magento performances 2015 best practicesNBS System
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Technet France
 
Benchmark of e-commerce solutions
Benchmark of e-commerce solutionsBenchmark of e-commerce solutions
Benchmark of e-commerce solutionsNBS System
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a serviceASIP Santé
 
Nbs System - Benchmark des solutions e-commerce
Nbs System - Benchmark des solutions e-commerceNbs System - Benchmark des solutions e-commerce
Nbs System - Benchmark des solutions e-commercepolenumerique33
 
BioITpm Executive Presentation V500.pptx
BioITpm Executive Presentation V500.pptxBioITpm Executive Presentation V500.pptx
BioITpm Executive Presentation V500.pptxLouis-Martin Landry
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
DCI Beta Systems
DCI Beta SystemsDCI Beta Systems
DCI Beta SystemsBetaSystemsFR
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle)
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle) IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle)
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle) Yohann GARCIA
 
Devops - vision et pratiques
Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiquesJoseph Glorieux
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesOCTO Technology Suisse
 
Cobit
Cobit Cobit
Cobit Houda Elmoutaoukil
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Nuvollo
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo
 
Mise en place Elastix sur appliance Beronet
Mise en place Elastix sur appliance BeronetMise en place Elastix sur appliance Beronet
Mise en place Elastix sur appliance BeronetNeotiq
 
Webinar: Passez progressivement de releases manuelles
Webinar: Passez progressivement de releases manuellesWebinar: Passez progressivement de releases manuelles
Webinar: Passez progressivement de releases manuellesXebiaLabs
 

Contenu connexe

En vedette

Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)PwC France
 
Magento security 2015 best practices
Magento security 2015 best practicesMagento security 2015 best practices
Magento security 2015 best practicesNBS System
 
2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécurité2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécuritéNBS System
 
Livre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiementLivre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiementNBS System
 
Benchmark des solutions e-commerce
Benchmark des solutions e-commerceBenchmark des solutions e-commerce
Benchmark des solutions e-commerceNBS System
 
Magento performances 2015 best practices
Magento performances 2015 best practicesMagento performances 2015 best practices
Magento performances 2015 best practicesNBS System
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Technet France
 
Benchmark of e-commerce solutions
Benchmark of e-commerce solutionsBenchmark of e-commerce solutions
Benchmark of e-commerce solutionsNBS System
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a serviceASIP Santé
 
Nbs System - Benchmark des solutions e-commerce
Nbs System - Benchmark des solutions e-commerceNbs System - Benchmark des solutions e-commerce
Nbs System - Benchmark des solutions e-commercepolenumerique33
 

En vedette (10)

Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)
 
Magento security 2015 best practices
Magento security 2015 best practicesMagento security 2015 best practices
Magento security 2015 best practices
 
2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécurité2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécurité
 
Livre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiementLivre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiement
 
Benchmark des solutions e-commerce
Benchmark des solutions e-commerceBenchmark des solutions e-commerce
Benchmark des solutions e-commerce
 
Magento performances 2015 best practices
Magento performances 2015 best practicesMagento performances 2015 best practices
Magento performances 2015 best practices
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Benchmark of e-commerce solutions
Benchmark of e-commerce solutionsBenchmark of e-commerce solutions
Benchmark of e-commerce solutions
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service
 
Nbs System - Benchmark des solutions e-commerce
Nbs System - Benchmark des solutions e-commerceNbs System - Benchmark des solutions e-commerce
Nbs System - Benchmark des solutions e-commerce
 

Similaire à 2015 - Concilier exploitabilité & Sécurité : challenge relevé !

BioITpm Executive Presentation V500.pptx
BioITpm Executive Presentation V500.pptxBioITpm Executive Presentation V500.pptx
BioITpm Executive Presentation V500.pptxLouis-Martin Landry
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle)
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle) IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle)
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle) Yohann GARCIA
 
Devops - vision et pratiques
Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiquesJoseph Glorieux
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesOCTO Technology Suisse
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Nuvollo
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo
 
Mise en place Elastix sur appliance Beronet
Mise en place Elastix sur appliance BeronetMise en place Elastix sur appliance Beronet
Mise en place Elastix sur appliance BeronetNeotiq
 
Webinar: Passez progressivement de releases manuelles
Webinar: Passez progressivement de releases manuellesWebinar: Passez progressivement de releases manuelles
Webinar: Passez progressivement de releases manuellesXebiaLabs
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielleSylvain Leroy
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ? La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ? OCTO Technology
 
Soirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicSoirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicJean-Marc ANDRE
 
Tm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentaux
Tm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentauxTm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentaux
Tm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentauxCERTyou Formation
 
Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...
Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...
Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...Excelerate Systems
 

Similaire à 2015 - Concilier exploitabilité & Sécurité : challenge relevé ! (20)

BioITpm Executive Presentation V500.pptx
BioITpm Executive Presentation V500.pptxBioITpm Executive Presentation V500.pptx
BioITpm Executive Presentation V500.pptx
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
DCI Beta Systems
DCI Beta SystemsDCI Beta Systems
DCI Beta Systems
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle)
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle) IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle)
IoT & JD Edwards (Oracle jde summit paris 10-12-2015 session fonctionnelle)
 
Devops - vision et pratiques
Devops - vision et pratiquesDevops - vision et pratiques
Devops - vision et pratiques
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
 
Cobit
Cobit Cobit
Cobit
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
 
Mise en place Elastix sur appliance Beronet
Mise en place Elastix sur appliance BeronetMise en place Elastix sur appliance Beronet
Mise en place Elastix sur appliance Beronet
 
Webinar: Passez progressivement de releases manuelles
Webinar: Passez progressivement de releases manuellesWebinar: Passez progressivement de releases manuelles
Webinar: Passez progressivement de releases manuelles
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielle
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ? La Duck Conf - DevOps et Dataviz, un amour impossible ?
La Duck Conf - DevOps et Dataviz, un amour impossible ?
 
Soirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicSoirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTic
 
Tm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentaux
Tm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentauxTm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentaux
Tm023 g formation-ibm-tivoli-monitoring-6-3-les-fondamentaux
 
Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...
Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...
Enterprise Data Hub - La Clé de la Transformation de la Gestion de Données d'...
 

2015 - Concilier exploitabilité & Sécurité : challenge relevé !

  • 1. Assises de la Sécurité 2015 Exploitabilité & Sécurité : Challenge relevé LEADER en INFOGERANCE ECOMMERCE EXPERT en TRES HAUTE SECURITE Grow your business safely WWW.NBS-SYSTEM.COM
  • 2. Historique • 15 ans d'expérience dans l'hébergement – 3000+ sites web hébergés – Cloud privé 100% français • 15 ans d'expérience dans la sécurité • Jonction des deux mondes en 2011 – “beta-test” d’envergure • CerberHost annoncé en 2012 – Solution auditée, légalement ou pas – Certification PCI/DSS annuelle 2Thibault Koechlin & Emile Heitor
  • 3. Un réel challenge ? 3Thibault Koechlin & Emile Heitor Wordpress, 11 ans, 199 CVE, ~33 RCE SSH, 16 ans, 38 CVE, ~2 RCE
  • 5. Constats 5Thibault Koechlin & Emile Heitor De l’attaque initiale à la compromision* Source : étude VERIZON “Data Breach Investigation Report” de 2012 De la compromision à la découverte* * dans les grandes organisation
  • 7. Impliquer l’interne : en amont Profiter des compétences internes disponibles • Identification des enjeux – Création d’une matrice de risques « métiers » et « techniques» • Aider dans la sélection des prestataires – Réponse préventive au TOP10 OWASP 7Thibault Koechlin & Emile Heitor
  • 8. Impliquer l’interne : pendant la construction 8Thibault Koechlin & Emile Heitor Aider dans la mise en place des best practices • Mesures génériques – Back-Office : authentification par certificat, filtrage des back-office par IP, pré- authentification HTTP, forcer le HTTPS … • Décolérer de l’applicatif – Filtrages flux entrants/sortants, Forcer des piles applicatives récentes • Mesures spécifiques – Suhosin, modules spécifiques de sécurité, contrôle de robustesse des mots de passe
  • 9. Impliquer l’interne : avant la phase de recette En amont de la phase de recette • Inventaire des composants logiciels (veille) • Utilisation d’outils pour revue de sécurité – Burp, Arachni, Zap • Processus de consolidation – Arachni (natif), ThreadFix (3rd party) • Revue de plateforme – Mise à Jour / Configuration des composants systèmes 9Thibault Koechlin & Emile Heitor
  • 10. Clients et fournisseurs : encadrer, normaliser, procédurer • Accompagnement du projet dès l’avant-vente – Méthodes d’accès – Validation des flux – Audit de code • Procédures standards, compatibles PCI/DSS – Suivi des évolutions • Chiffrement, autorisations de flux contrôlées, 2FA 10Thibault Koechlin & Emile Heitor
  • 11. Un impératif, l'automatisation • L'artisanat : l'impossible compatibilité • Architecture sous contrôle = cohérence des méthodes et outils • Industrialisation, automatisation, orchestration = contrôler la masse 11Thibault Koechlin & Emile Heitor
  • 12. Jugeetpartie: obligationd'uneéquipedédiéeàlavigilance 12Thibault Koechlin & Emile Heitor • Le RSSI est indépendant : l'infrastructure lui doit des comptes • Interaction omniprésente entre opérations et sécurité : validations mutuelles – ie. Scan nessus mensuel + ouverture de ticket pour tracer les correctifs • Pas de choix de direction technique sans consultation et validation SOC/SecOPS
  • 13. Processus et formations • Toutes les équipes sont sensibilisées • Formations régulières promulguées par l‘équipe sécurité • Escalades encadrées par des procédures claires – Service client, Infrastructure, SecOPS 13Thibault Koechlin & Emile Heitor
  • 14. Procédure de déploiement 14Thibault Koechlin & Emile Heitor
  • 15. Procédure de Revue de Sécurité 15Thibault Koechlin & Emile Heitor
  • 16. Contact NBS System Adresse : 8 rue Bernard Buffet, Immeuble Le Cardinet – 5ème étage 75017 Paris Mail : contact@nbs-system.com Téléphone : +33.1.58.56.60.80 Support technique : +33.1.58.56.60.88 Fax : +33.1.58.56.60.81 16 Atelier donné aux Assises de la Sécurité le 02/10/16 par Emile Heitor et Thibault Koechlin Thibault Koechlin & Emile Heitor