SlideShare une entreprise Scribd logo

#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, Atos / Hello-Design

Paris Open Source Summit
Paris Open Source Summit

#Security - Track - La sécurité numérique renforcée par l'open source Si vous voulez assurer la sécurité dans vos applications web, vous devez prévoir dès la conception de votre projet les protections nécessaires pour atténuer les cybermenaces avant qu'elles n'atteignent la mise en production. Cette session essaiera d'identifier ce que l'on peut attendre d'une application web sécurité qui a pour but de garantir une certaine qualité pour vos données et de vous protéger contre les malveillances, les erreurs et la malchance, sans oublier les vols, fraudes, destructions et perturbations.

Technologie
1  sur  28
Télécharger pour lire hors ligne
Atos open source - afup – lemug.fr – mysql – mariadb – drupal – mozilla - firefox – sumo – webextensions – VR – AR – XR - Cause commune 93.1 FM - TechSpeaker - Lizard - eyrolles – editions eni – programmez – linux pratique – webriver – elephpant - CommonVoice – Cybersécurité - Sécurité @hellosct1 @hellosct1@mamot.fr Christophe Villeneuve La sécurité applicative par le design Open Source Summit – 11 décembre 2019
Atos Open Source - @hellosct1 - Aujourd’hui ● La théorie ● La réalité ● Bonnes pratiques
La théorie La réalité Bonnes pratiques
Atos Open Source - @hellosct1 - L’approche ● Inspirée de la norme ISO/IEC 27034:2011 – Recommandée dans tous les développements d’applications – Parfois exigée dans les projets ● qui touchent à la sécurité de fonctionnement des appareils → Impact : Ricochet à la sécurité des personnes
Atos Open Source - @hellosct1 - Se poser les bonnes questions ? ● Comment développer de nouvelles applications ● Ajouter des nouvelles fonctionnalités à des applications en production → Sans introduire de nouvelles vulnérabilités → Compromettre une infrastructure en mode Run
Atos Open Source - @hellosct1 - Sécurité applicative par le désign ? ● = Security by design ● Modéliser les risques + les menaces ● Idée d’intégrer les mécanismes de protection – Au plus tôt – De manière plus efficiente au produit
Atos Open Source - @hellosct1 -
Atos Open Source - @hellosct1 - Réunir les bons acteurs ● Responsables ● Développeurs ● Commerciaux ● ...
La théorie La réalité Bonne pratique
Atos Open Source - @hellosct1 - Les principes ● Aucune norme ou concept – par des standards ● Référentiels et bonnes pratiques – Viega & McGraw – Owasp – Nist – NCSC – Cliff Berg’ – ANSSI
Atos Open Source - @hellosct1 - 4 axes ● Stratégie d’entreprise ● Pilotage des processus métier – Approche fonctionnelle et orientée métier ● Urbanisation du SI – Fonctionnel orienté applications & données ● Architecture technique – avec le socle technique de l’infrastructure
Atos Open Source - @hellosct1 - En résumé Prévention Détection Réaction
La théorie La réalité Bonnes pratiques
Atos Open Source - @hellosct1 - 1 - Minimiser la surface d’attaque ● Nouvelle fonctionnalité dans Application ● Risque augmente – Impact sur la totalité du projet ● Objectif d’un développement sécurisé – Réduire le risque global en diminuant la surface d’attaque - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers
Atos Open Source - @hellosct1 - 2 – Etablir les valeurs par défaut sécurisées ● Lors du déploiement d’une application – Sécurité par défaut pour les utilisateurs → obtenir une confiance : « Prête à l’emploi » ● Un utilisateur doit disposer d’un compte avec certains privilèges et prédéfinis ● Valeurs par défaut strictes sur les différentes actions →que l’utilisateur peut faire →méthode d’enregistrement des données - Mise à jour d’un mot de passe régulièrement - Double Authentification - Mise à jour d’un mot de passe régulièrement - Double Authentification
Atos Open Source - @hellosct1 - 3 – Principe du moindre privilège ● Application Web → Minimum de privilège (ex : accès au contenu) ● Définition des droits de l’utilisateur ● Permissions des ressources (CPU, mémoire, réseau...) ● Permissions du système de fichiers - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?) - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?)
Atos Open Source - @hellosct1 - 4 – Défense en profondeur ● Aborder les risques de différentes manières – Contrôles de sécurité multiples ● Meilleure option pour sécuriser une application – Réduire la surface d’attaque ● Contrôle d’accès d’un utilisateur – Validation par différents niveaux – Contrôles de vérification centralisés – Obligation d’être connecté et identifié – Outils de journalisation (log) - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions
Atos Open Source - @hellosct1 - 5 – Echec en toute sécurité ● 2 types d’échec : – Action venant de l’utilisateur – Echec d’une transaction ● Problème de traitement d’une transaction – Un bouton → clic → réponse ? ● Accès à l’interface utilisateur ● Les messages de réponse → clair et précis ● Les informations sensibles → dans les logs ou BDD → pas en clair - Champ code postal- Champ code postal
Atos Open Source - @hellosct1 - 6 – Services tiers ● Nouvelles fonctionnalités – On évite de recoder (pour le développeur) ● Utilisation de Services tiers (API externe, Service…) ● Risque d’élargir la surface d’attaque – Suivre leurs actualités – Vérifier la validité des données envoyées ● Eviter de donner tous les privilèges - Ajout VS suppression d’une API - Fonctions obsolètes - Ajout VS suppression d’une API - Fonctions obsolètes
Atos Open Source - @hellosct1 - 7 – Séparation des fonctions ● Séparation d’une tâche – Important dans une application ● Eviter des agissements frauduleux - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand
Atos Open Source - @hellosct1 - 8 – Eviter la sécurité par l’obscurité ● Méthode de sécurité faible →L’accès n’est pas visible par l’interface ● Accès plus rapide à un écran de configuration ● Eviter les accès différents – Porte dérobée - modification du port d’une URL- modification du port d’une URL
Atos Open Source - @hellosct1 - 9 – Garder la sécurité simple et claire ● Eviter les architectures trop sophistiquées ● Si c’est trop complèxe → Les risques de failles supplémentaires ● Méthode pas toujours comprise ● Eviter les fonctions inutiles, fonctions en double - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ? - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ?
Atos Open Source - @hellosct1 - 10 – Les corrections ● Quand le problème de sécurité est identifié ● Actions : – Elaborer un test – Comprendre la cause du problème – Conséquence de cette faille ● Réactivé à corriger une faille / une vulnérabilité - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte
Atos Open Source - @hellosct1 - Au final ● Impacte tous les métiers ● La sécurité d’une application ajoute une couche supplémentaire de sécurité à l’ensemble du SI ● Impacte les performances globales – Une application – Une infrastructure ● La sécurité tardive → impact sera important
Atos Open Source - @hellosct1 - Mais Confidentialité Intégrité Disponibilité N'autoriser l'accès qu'aux données pour lesquelles l'utilisateur est autorisé S'assurer que les données ne sont altérées (utilisateurs non autorisés) Les systèmes et les données, disponible pour les utilisateurs autorisés
Atos Open Source - @hellosct1 - La plus dangereuse ● Contre les développeurs…. Les collaborateurs
Atos Open Source - @hellosct1 - Un peu plus... meetup lizard https://www.meetup.com/fr-FR/lizard_secu/ Article : security by design
Atos Open Source - @hellosct1 - Christophe Villeneuve @hellosct1 @hellosct1@mamot.fr Merci Sources : - Liv Erickson - Hellosct1

Recommandé

La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Christophe Villeneuve
 
Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Paris Android User Group
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupalChristophe Villeneuve
 

Recommandé

La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Christophe Villeneuve
 
Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Paris Android User Group
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupalChristophe Villeneuve
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloudRobert Viseur
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement MicrosoftChristophe HERAL
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devopsChristophe Villeneuve
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...DotRiver
 
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonitasoft
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainChristophe Villeneuve
 
Développement en méthode agile
Développement en méthode agileDéveloppement en méthode agile
Développement en méthode agilelaurent bristiel
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022SpikeeLabs
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoJean Francois DONIKIAN
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail LibreLINAGORA
 
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?ekino
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
Les méthodes agiles dans TFS
Les méthodes agiles dans TFSLes méthodes agiles dans TFS
Les méthodes agiles dans TFSDenis Voituron
 
La sécurité dans les extensions Webs
La sécurité dans les extensions WebsLa sécurité dans les extensions Webs
La sécurité dans les extensions WebsChristophe Villeneuve
 
Objectif fluid<fab />
Objectif fluid<fab />Objectif fluid<fab />
Objectif fluid<fab />∞ François CHERPION ∞
 
At2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicAt2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicEmmanuel Hugonnet
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360Groupe SIRIUS
 
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...Paris Open Source Summit
 
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...Paris Open Source Summit
 

Contenu connexe

Similaire à #OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, Atos / Hello-Design

De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloudRobert Viseur
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement MicrosoftChristophe HERAL
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...DotRiver
 
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonitasoft
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainChristophe Villeneuve
 
Développement en méthode agile
Développement en méthode agileDéveloppement en méthode agile
Développement en méthode agilelaurent bristiel
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022SpikeeLabs
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoJean Francois DONIKIAN
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail LibreLINAGORA
 
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?ekino
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
Les méthodes agiles dans TFS
Les méthodes agiles dans TFSLes méthodes agiles dans TFS
Les méthodes agiles dans TFSDenis Voituron
 
La sécurité dans les extensions Webs
La sécurité dans les extensions WebsLa sécurité dans les extensions Webs
La sécurité dans les extensions WebsChristophe Villeneuve
 
At2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicAt2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicEmmanuel Hugonnet
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360Groupe SIRIUS
 

Similaire à #OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, Atos / Hello-Design (20)

De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloud
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
 
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demain
 
Développement en méthode agile
Développement en méthode agileDéveloppement en méthode agile
Développement en méthode agile
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfresco
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail Libre
 
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
Les méthodes agiles dans TFS
Les méthodes agiles dans TFSLes méthodes agiles dans TFS
Les méthodes agiles dans TFS
 
La sécurité dans les extensions Webs
La sécurité dans les extensions WebsLa sécurité dans les extensions Webs
La sécurité dans les extensions Webs
 
Objectif fluid<fab />
Objectif fluid<fab />Objectif fluid<fab />
Objectif fluid<fab />
 
At2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicAt2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville Public
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360MS Project Virtuel: EPM Cloud 360
MS Project Virtuel: EPM Cloud 360
 

Plus de Paris Open Source Summit

#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...Paris Open Source Summit
 
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...Paris Open Source Summit
 
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...Paris Open Source Summit
 
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, ArduinoParis Open Source Summit
 
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...Paris Open Source Summit
 
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...Paris Open Source Summit
 
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, ZabbixParis Open Source Summit
 
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, InriaParis Open Source Summit
 
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...Paris Open Source Summit
 
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...Paris Open Source Summit
 
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...Paris Open Source Summit
 
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...Paris Open Source Summit
 
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...Paris Open Source Summit
 
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...Paris Open Source Summit
 
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...Paris Open Source Summit
 
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...Paris Open Source Summit
 
#OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données #OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données Paris Open Source Summit
 
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...Paris Open Source Summit
 
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...Paris Open Source Summit
 
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...Paris Open Source Summit
 

Plus de Paris Open Source Summit (20)

#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
 
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
 
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
 
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
 
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
 
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
 
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
 
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
 
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
 
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
 
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
 
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
 
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
 
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
 
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
 
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
 
#OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données #OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données
 
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
 
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
 
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
 

#OSSPARIS19 - La sécurité applicative par le design - CHRISTOPHE VILLENEUVE, Atos / Hello-Design

  • 1. Atos open source - afup – lemug.fr – mysql – mariadb – drupal – mozilla - firefox – sumo – webextensions – VR – AR – XR - Cause commune 93.1 FM - TechSpeaker - Lizard - eyrolles – editions eni – programmez – linux pratique – webriver – elephpant - CommonVoice – Cybersécurité - Sécurité @hellosct1 @hellosct1@mamot.fr Christophe Villeneuve La sécurité applicative par le design Open Source Summit – 11 décembre 2019
  • 2. Atos Open Source - @hellosct1 - Aujourd’hui ● La théorie ● La réalité ● Bonnes pratiques
  • 4. Atos Open Source - @hellosct1 - L’approche ● Inspirée de la norme ISO/IEC 27034:2011 – Recommandée dans tous les développements d’applications – Parfois exigée dans les projets ● qui touchent à la sécurité de fonctionnement des appareils → Impact : Ricochet à la sécurité des personnes
  • 5. Atos Open Source - @hellosct1 - Se poser les bonnes questions ? ● Comment développer de nouvelles applications ● Ajouter des nouvelles fonctionnalités à des applications en production → Sans introduire de nouvelles vulnérabilités → Compromettre une infrastructure en mode Run
  • 6. Atos Open Source - @hellosct1 - Sécurité applicative par le désign ? ● = Security by design ● Modéliser les risques + les menaces ● Idée d’intégrer les mécanismes de protection – Au plus tôt – De manière plus efficiente au produit
  • 7. Atos Open Source - @hellosct1 -
  • 8. Atos Open Source - @hellosct1 - Réunir les bons acteurs ● Responsables ● Développeurs ● Commerciaux ● ...
  • 10. Atos Open Source - @hellosct1 - Les principes ● Aucune norme ou concept – par des standards ● Référentiels et bonnes pratiques – Viega & McGraw – Owasp – Nist – NCSC – Cliff Berg’ – ANSSI
  • 11. Atos Open Source - @hellosct1 - 4 axes ● Stratégie d’entreprise ● Pilotage des processus métier – Approche fonctionnelle et orientée métier ● Urbanisation du SI – Fonctionnel orienté applications & données ● Architecture technique – avec le socle technique de l’infrastructure
  • 12. Atos Open Source - @hellosct1 - En résumé Prévention Détection Réaction
  • 14. Atos Open Source - @hellosct1 - 1 - Minimiser la surface d’attaque ● Nouvelle fonctionnalité dans Application ● Risque augmente – Impact sur la totalité du projet ● Objectif d’un développement sécurisé – Réduire le risque global en diminuant la surface d’attaque - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers
  • 15. Atos Open Source - @hellosct1 - 2 – Etablir les valeurs par défaut sécurisées ● Lors du déploiement d’une application – Sécurité par défaut pour les utilisateurs → obtenir une confiance : « Prête à l’emploi » ● Un utilisateur doit disposer d’un compte avec certains privilèges et prédéfinis ● Valeurs par défaut strictes sur les différentes actions →que l’utilisateur peut faire →méthode d’enregistrement des données - Mise à jour d’un mot de passe régulièrement - Double Authentification - Mise à jour d’un mot de passe régulièrement - Double Authentification
  • 16. Atos Open Source - @hellosct1 - 3 – Principe du moindre privilège ● Application Web → Minimum de privilège (ex : accès au contenu) ● Définition des droits de l’utilisateur ● Permissions des ressources (CPU, mémoire, réseau...) ● Permissions du système de fichiers - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?) - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?)
  • 17. Atos Open Source - @hellosct1 - 4 – Défense en profondeur ● Aborder les risques de différentes manières – Contrôles de sécurité multiples ● Meilleure option pour sécuriser une application – Réduire la surface d’attaque ● Contrôle d’accès d’un utilisateur – Validation par différents niveaux – Contrôles de vérification centralisés – Obligation d’être connecté et identifié – Outils de journalisation (log) - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions
  • 18. Atos Open Source - @hellosct1 - 5 – Echec en toute sécurité ● 2 types d’échec : – Action venant de l’utilisateur – Echec d’une transaction ● Problème de traitement d’une transaction – Un bouton → clic → réponse ? ● Accès à l’interface utilisateur ● Les messages de réponse → clair et précis ● Les informations sensibles → dans les logs ou BDD → pas en clair - Champ code postal- Champ code postal
  • 19. Atos Open Source - @hellosct1 - 6 – Services tiers ● Nouvelles fonctionnalités – On évite de recoder (pour le développeur) ● Utilisation de Services tiers (API externe, Service…) ● Risque d’élargir la surface d’attaque – Suivre leurs actualités – Vérifier la validité des données envoyées ● Eviter de donner tous les privilèges - Ajout VS suppression d’une API - Fonctions obsolètes - Ajout VS suppression d’une API - Fonctions obsolètes
  • 20. Atos Open Source - @hellosct1 - 7 – Séparation des fonctions ● Séparation d’une tâche – Important dans une application ● Eviter des agissements frauduleux - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand
  • 21. Atos Open Source - @hellosct1 - 8 – Eviter la sécurité par l’obscurité ● Méthode de sécurité faible →L’accès n’est pas visible par l’interface ● Accès plus rapide à un écran de configuration ● Eviter les accès différents – Porte dérobée - modification du port d’une URL- modification du port d’une URL
  • 22. Atos Open Source - @hellosct1 - 9 – Garder la sécurité simple et claire ● Eviter les architectures trop sophistiquées ● Si c’est trop complèxe → Les risques de failles supplémentaires ● Méthode pas toujours comprise ● Eviter les fonctions inutiles, fonctions en double - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ? - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ?
  • 23. Atos Open Source - @hellosct1 - 10 – Les corrections ● Quand le problème de sécurité est identifié ● Actions : – Elaborer un test – Comprendre la cause du problème – Conséquence de cette faille ● Réactivé à corriger une faille / une vulnérabilité - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte
  • 24. Atos Open Source - @hellosct1 - Au final ● Impacte tous les métiers ● La sécurité d’une application ajoute une couche supplémentaire de sécurité à l’ensemble du SI ● Impacte les performances globales – Une application – Une infrastructure ● La sécurité tardive → impact sera important
  • 25. Atos Open Source - @hellosct1 - Mais Confidentialité Intégrité Disponibilité N'autoriser l'accès qu'aux données pour lesquelles l'utilisateur est autorisé S'assurer que les données ne sont altérées (utilisateurs non autorisés) Les systèmes et les données, disponible pour les utilisateurs autorisés
  • 26. Atos Open Source - @hellosct1 - La plus dangereuse ● Contre les développeurs…. Les collaborateurs
  • 27. Atos Open Source - @hellosct1 - Un peu plus... meetup lizard https://www.meetup.com/fr-FR/lizard_secu/ Article : security by design
  • 28. Atos Open Source - @hellosct1 - Christophe Villeneuve @hellosct1 @hellosct1@mamot.fr Merci Sources : - Liv Erickson - Hellosct1