SlideShare une entreprise Scribd logo

Première rencontre d'owasp québec

Patrick Leclerc
Patrick Leclerc
Technologie
1  sur  25
Télécharger pour lire hors ligne
Bienvenue à la première rencontre d’OWASP Québec! Mission du chapitre OWASP Québec
Représentants d’OWASP Québec Anne-Marie Faber annemarie.faber@owasp.org • Évènements, commandites et communications Yannick Berneron yannick.berneron@owasp.org • Vice-leader Patrick Leclerc patrick.leclerc@owasp.org • Leader
Qui suis-je? Patrick Leclerc • Architecte logiciel & sécurité applicative • Consultant en sécurité chez Egyde Services Conseils • Chroniqueur occasionnel pour le Magazine Secus.ca • Passionné de technologies Company Logo
D’abord, c’est quoi la sécurité applicative et pourquoi s’en préoccuper?
Une préoccupation grandissante Les applications insécures menacent la sécurité, la confiance et la croissance économique
Les grands enjeux de sécurité Ce que l’on veut éviter… • Pertes financières • Atteinte à la réputation et/ou vie privée • Non-conformité aux normes et aux lois • Indisponibilité des services • Vol d’informations: – Personnelles – Financières (ex: carte de crédit, états financiers) – Stratégiques – Secrets industriels
La brèche Le site Web, l’application et les données sont exposés Les ports de aux vulnérabilités communication applicatives sont ouverts CLIENT PRÉSENTATION TRAITEMENT DONNÉES (fureteur) WEB APPLICATIF Internet Internet Chiffrement SSL/TLS Pare-feu Serveur Web Pare-feu Application Pare-feu Base de et framework données Protège Protège Protège le Protège Protège le Protège Protège les le transport le réseau site Web le réseau traitement le réseau données Copyright EGYDE Services Conseils
Les vecteurs d’attaques Source: Official (ISC)2 Guide to the CSSLP
Types d’exploits STRIDE • Spoofing Identity (changement d’identité) • Tampering with Data (trucage des données) • Repudiation (contestation de transaction) • Information Disclosure (bris de confidentialité) • Denial of Service (déni de service) • Elevation of Privilege (élévation de privilèges)
Top 10 OWASP Le top 10 (2010) des risques de sécurité applicative les plus critiques selon OWASP
Quelques moyens de défenses
Mais… 2 réalités contradictoires La sécurité applicative est aussi importante que la sécurité technologique. Pourtant, les efforts (et les budgets) ne sont pas répartis équitablement. Risques Budget % des attaques % du montant 10% Applications 75% Web 90% Réseau 25% Serveurs "75% of All Attacks on Information Security are Directed to the Web Application Layer” (Source : Gartner)
Here comes OWASP to the rescue! La mission de l’OWASP
Qu’est-ce que l’OWASP? • L’OWASP (www.owasp.org) est une organisation mondiale à but non-lucratif ayant pour mission de rendre la sécurité applicative visible afin de permettre au gens et organisations de prendre des décisions informées sur les vrais risques de sécurité des applications • Tous le matériel OWASP est disponible gratuitement sous licence open software • OWASP demeure neutre et indépendante des fournisseurs de produits et de services
Notoriété de l’OWASP dans l’industrie L’OWASP est référée et/ou supportée par plusieurs organisations normatives de renom à travers le monde: – ISO, IEEE, SANS, PCI Security Standards Council, US Department of Homeland Security, NIST, Mitre et plusieurs autres… Mais aussi par les grands joueurs: – Microsoft, IBM, HP, Oracle, etc. Et plusieurs grandes organisations académiques
Chapitres OWASP Partout à travers le monde, des groupes locaux: • Se rassemblent pour s’informer, expérimenter et échanger sur les vulnérabilités, les menaces, les risques, les mesures préventives et de mitigations des applications. • S’organisent et collaborent à l’élaboration et à la diffusion de contenus et outils utiles à la prise en charge de la sécurité dans les applications Web. • + de 30 000 participants répartis dans environ 200 chapitres à travers le monde! • Tous le monde peut y participer, pas seulement les membres
Catégories de contenus Des contenus pour: • Apprendre et concevoir des applications plus sécuritaires • Détecter les vulnérabilités • Protéger et corriger vos applications
Quelques contenus de l’OWASP • Top 10 des risques de sécurité applicative • Plusieurs guides et méthodologies – Development Guide, Testing Guide, – Software Assurance Maturity Model (SAMM), – Application Security Verification Standard (ASVS) – « Cheat Sheets » sur plusieurs sujets et technologies • Outils / Frameworks – WebScarab, Zed Attack Proxy, WebGoat, ESAPI, BWA – ModSecurity application firewall, Samurai Web Testing Framework • PodCasts, videos, webinars, présentations, livres et +
OWASP Quebec City
Pourquoi participer à OWASP Québec? • Échanger et partager sur nos expériences en « AppSec » • Apprendre ou bonifier nos connaissances • Participer aux projets et à l’élaboration de contenus OWASP • Se tenir informés sur les tendances en sécurité • Se doter d’outils pour être plus efficaces • Réseautage avec d’autres professionnels en sécurité • Pour la fierté d’être engagé pour une bonne cause dans votre carrière professionnelle • S’engager contre le développement d’applications à risque!
Suggestions d’activités Présentations et échanges • Top 10 des risques de sécurité applicative • Comment prévenir et mitiger certaines vulnérabilités • Démo de Zed Attack Proxy / Web Scarab / Burp Suite ou autres? • Démo de Samurai Web Testing Framework, OWASP Broken Web Application • Intégrer la sécurité dans le SDLC • Partage d’une expérience, d’un livre, d’un sujet d’actualité • WAF? • Modèles d’authentifications et d’autorisations, sécurité des mobiles • + Projets • ESAPI .NET 2.0 • Patterns d’architecture sécuritaire • ISO 27034 Application Security Control (ASC) • Cheat sheets sur des technologies récentes
Participation et devenir membres Pourquoi contribuer et/ou devenir membre? • OWASP est une organisation à but non-lucratif et offre gratuitement des contenus fort utiles qui vous permettent d’acquérir, développer, tester et utiliser des logiciels plus sécuritaire. Permettez à l’OWASP de poursuivre sa croissance, à produire de nouveaux contenus et améliorer les contenus existants. • Aider l’OWASP c’est vous aider!
Bénéfices des membres Bénéfices des membres OWASP: $50/an • Rabais sur les conférences • Une adresse de courriel: toi@owasp.org • Droit de vote dans les élections • Reconnaissance sur le site de l’OWASP • 40% du montant peut être versé au chapitre • Pour nous commanditer, suivre le lien ‘donate’ sur https://www.owasp.org/index.php/Quebec_City
Bénéfices corporatifs Bénéfices des corporations membres: $5000/an • Visibilité auprès d’environ 200 chapitres • Visibilité dans les conférences et les évènements • Rabais sur les commandites de conférences et évènements • Visibilité de votre organisation sur le site et les communiqués OWASP • 100% déductible de taxes • Pour plus d’informations: https://www.owasp.org/index.php/Corporate_Member
MERCI! Merci à • Egyde Services Conseils pour la location de la salle. • Magazine Sécus pour la publicité pour le chapitre OWASP Québec

Recommandé

Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-frenchvangogue
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 

Recommandé

Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-frenchvangogue
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02Sébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgiSébastien GIORIA
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesCyber Security Alliance
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
web application security
web application securityweb application security
web application securityMarcel TCHOULEGHEU
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Presentacion final Web Social
Presentacion final Web SocialPresentacion final Web Social
Presentacion final Web SocialAndrés Rosas
 
Décalogo
DécalogoDécalogo
Décalogolola
 

Contenu connexe

Tendances

Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesCyber Security Alliance
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 

Tendances (20)

Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobiles
 
web application security
web application securityweb application security
web application security
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 

En vedette

Presentacion final Web Social
Presentacion final Web SocialPresentacion final Web Social
Presentacion final Web SocialAndrés Rosas
 
Décalogo
DécalogoDécalogo
Décalogolola
 
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Romain Linsolas
 
Démarche d'implantation du SCP
Démarche d'implantation du SCPDémarche d'implantation du SCP
Démarche d'implantation du SCPSteve Bissonnette
 
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheCharte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheFadhila BRAHIMI
 
Sustentacion proyecto 3 Grupo 20
Sustentacion proyecto 3 Grupo 20Sustentacion proyecto 3 Grupo 20
Sustentacion proyecto 3 Grupo 20000Mariana000
 
Uso de las tics como herramienta informática educativa
Uso de las tics como herramienta informática educativaUso de las tics como herramienta informática educativa
Uso de las tics como herramienta informática educativaGUILLERMO DIAZ DELUQUE
 
APE - Le portail européen des archives: le patrimoine archivistique europée...
APE - Le portail européen des archives: le patrimoine archivistique europée...APE - Le portail européen des archives: le patrimoine archivistique europée...
APE - Le portail européen des archives: le patrimoine archivistique europée...Forum des archivistes de l'arc lémanique
 
Presentación 3
Presentación 3Presentación 3
Presentación 308170188
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Hackfest Communication
 
Iso1799 expo
Iso1799 expoIso1799 expo
Iso1799 expopotrita
 
Camino-a-Itaca- (CaprilesRadonsky)
Camino-a-Itaca- (CaprilesRadonsky)Camino-a-Itaca- (CaprilesRadonsky)
Camino-a-Itaca- (CaprilesRadonsky)majoteros
 
Programme femmes et_pouvoir
Programme femmes et_pouvoirProgramme femmes et_pouvoir
Programme femmes et_pouvoirFadhila BRAHIMI
 

En vedette (20)

Presentacion final Web Social
Presentacion final Web SocialPresentacion final Web Social
Presentacion final Web Social
 
Décalogo
DécalogoDécalogo
Décalogo
 
Leer en casa
Leer en casaLeer en casa
Leer en casa
 
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
 
Démarche d'implantation du SCP
Démarche d'implantation du SCPDémarche d'implantation du SCP
Démarche d'implantation du SCP
 
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
 
Revista agosto
Revista agostoRevista agosto
Revista agosto
 
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheCharte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
 
Sustentacion proyecto 3 Grupo 20
Sustentacion proyecto 3 Grupo 20Sustentacion proyecto 3 Grupo 20
Sustentacion proyecto 3 Grupo 20
 
Uso de las tics como herramienta informática educativa
Uso de las tics como herramienta informática educativaUso de las tics como herramienta informática educativa
Uso de las tics como herramienta informática educativa
 
Caro
CaroCaro
Caro
 
APE - Le portail européen des archives: le patrimoine archivistique europée...
APE - Le portail européen des archives: le patrimoine archivistique europée...APE - Le portail européen des archives: le patrimoine archivistique europée...
APE - Le portail européen des archives: le patrimoine archivistique europée...
 
Presentación 3
Presentación 3Presentación 3
Presentación 3
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...
 
Iso1799 expo
Iso1799 expoIso1799 expo
Iso1799 expo
 
Camino-a-Itaca- (CaprilesRadonsky)
Camino-a-Itaca- (CaprilesRadonsky)Camino-a-Itaca- (CaprilesRadonsky)
Camino-a-Itaca- (CaprilesRadonsky)
 
LA WEB 2.0
LA WEB 2.0LA WEB 2.0
LA WEB 2.0
 
Programme femmes et_pouvoir
Programme femmes et_pouvoirProgramme femmes et_pouvoir
Programme femmes et_pouvoir
 
Sylvestre Ouédraogo - Yam Pukri association
Sylvestre Ouédraogo - Yam Pukri associationSylvestre Ouédraogo - Yam Pukri association
Sylvestre Ouédraogo - Yam Pukri association
 
Sfsic14 040614-gagnebien
Sfsic14 040614-gagnebienSfsic14 040614-gagnebien
Sfsic14 040614-gagnebien
 

Similaire à Première rencontre d'owasp québec

Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8Sébastien GIORIA
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfColloqueRISQ
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by ExaprobeExaprobe
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 

Similaire à Première rencontre d'owasp québec (20)

Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Silverpeas V5 2011
Silverpeas V5 2011Silverpeas V5 2011
Silverpeas V5 2011
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 

Première rencontre d'owasp québec

  • 1. Bienvenue à la première rencontre d’OWASP Québec! Mission du chapitre OWASP Québec
  • 2. Représentants d’OWASP Québec Anne-Marie Faber annemarie.faber@owasp.org • Évènements, commandites et communications Yannick Berneron yannick.berneron@owasp.org • Vice-leader Patrick Leclerc patrick.leclerc@owasp.org • Leader
  • 3. Qui suis-je? Patrick Leclerc • Architecte logiciel & sécurité applicative • Consultant en sécurité chez Egyde Services Conseils • Chroniqueur occasionnel pour le Magazine Secus.ca • Passionné de technologies Company Logo
  • 4. D’abord, c’est quoi la sécurité applicative et pourquoi s’en préoccuper?
  • 5. Une préoccupation grandissante Les applications insécures menacent la sécurité, la confiance et la croissance économique
  • 6. Les grands enjeux de sécurité Ce que l’on veut éviter… • Pertes financières • Atteinte à la réputation et/ou vie privée • Non-conformité aux normes et aux lois • Indisponibilité des services • Vol d’informations: – Personnelles – Financières (ex: carte de crédit, états financiers) – Stratégiques – Secrets industriels
  • 7. La brèche Le site Web, l’application et les données sont exposés Les ports de aux vulnérabilités communication applicatives sont ouverts CLIENT PRÉSENTATION TRAITEMENT DONNÉES (fureteur) WEB APPLICATIF Internet Internet Chiffrement SSL/TLS Pare-feu Serveur Web Pare-feu Application Pare-feu Base de et framework données Protège Protège Protège le Protège Protège le Protège Protège les le transport le réseau site Web le réseau traitement le réseau données Copyright EGYDE Services Conseils
  • 8. Les vecteurs d’attaques Source: Official (ISC)2 Guide to the CSSLP
  • 9. Types d’exploits STRIDE • Spoofing Identity (changement d’identité) • Tampering with Data (trucage des données) • Repudiation (contestation de transaction) • Information Disclosure (bris de confidentialité) • Denial of Service (déni de service) • Elevation of Privilege (élévation de privilèges)
  • 10. Top 10 OWASP Le top 10 (2010) des risques de sécurité applicative les plus critiques selon OWASP
  • 11. Quelques moyens de défenses
  • 12. Mais… 2 réalités contradictoires La sécurité applicative est aussi importante que la sécurité technologique. Pourtant, les efforts (et les budgets) ne sont pas répartis équitablement. Risques Budget % des attaques % du montant 10% Applications 75% Web 90% Réseau 25% Serveurs "75% of All Attacks on Information Security are Directed to the Web Application Layer” (Source : Gartner)
  • 13. Here comes OWASP to the rescue! La mission de l’OWASP
  • 14. Qu’est-ce que l’OWASP? • L’OWASP (www.owasp.org) est une organisation mondiale à but non-lucratif ayant pour mission de rendre la sécurité applicative visible afin de permettre au gens et organisations de prendre des décisions informées sur les vrais risques de sécurité des applications • Tous le matériel OWASP est disponible gratuitement sous licence open software • OWASP demeure neutre et indépendante des fournisseurs de produits et de services
  • 15. Notoriété de l’OWASP dans l’industrie L’OWASP est référée et/ou supportée par plusieurs organisations normatives de renom à travers le monde: – ISO, IEEE, SANS, PCI Security Standards Council, US Department of Homeland Security, NIST, Mitre et plusieurs autres… Mais aussi par les grands joueurs: – Microsoft, IBM, HP, Oracle, etc. Et plusieurs grandes organisations académiques
  • 16. Chapitres OWASP Partout à travers le monde, des groupes locaux: • Se rassemblent pour s’informer, expérimenter et échanger sur les vulnérabilités, les menaces, les risques, les mesures préventives et de mitigations des applications. • S’organisent et collaborent à l’élaboration et à la diffusion de contenus et outils utiles à la prise en charge de la sécurité dans les applications Web. • + de 30 000 participants répartis dans environ 200 chapitres à travers le monde! • Tous le monde peut y participer, pas seulement les membres
  • 17. Catégories de contenus Des contenus pour: • Apprendre et concevoir des applications plus sécuritaires • Détecter les vulnérabilités • Protéger et corriger vos applications
  • 18. Quelques contenus de l’OWASP • Top 10 des risques de sécurité applicative • Plusieurs guides et méthodologies – Development Guide, Testing Guide, – Software Assurance Maturity Model (SAMM), – Application Security Verification Standard (ASVS) – « Cheat Sheets » sur plusieurs sujets et technologies • Outils / Frameworks – WebScarab, Zed Attack Proxy, WebGoat, ESAPI, BWA – ModSecurity application firewall, Samurai Web Testing Framework • PodCasts, videos, webinars, présentations, livres et +
  • 20. Pourquoi participer à OWASP Québec? • Échanger et partager sur nos expériences en « AppSec » • Apprendre ou bonifier nos connaissances • Participer aux projets et à l’élaboration de contenus OWASP • Se tenir informés sur les tendances en sécurité • Se doter d’outils pour être plus efficaces • Réseautage avec d’autres professionnels en sécurité • Pour la fierté d’être engagé pour une bonne cause dans votre carrière professionnelle • S’engager contre le développement d’applications à risque!
  • 21. Suggestions d’activités Présentations et échanges • Top 10 des risques de sécurité applicative • Comment prévenir et mitiger certaines vulnérabilités • Démo de Zed Attack Proxy / Web Scarab / Burp Suite ou autres? • Démo de Samurai Web Testing Framework, OWASP Broken Web Application • Intégrer la sécurité dans le SDLC • Partage d’une expérience, d’un livre, d’un sujet d’actualité • WAF? • Modèles d’authentifications et d’autorisations, sécurité des mobiles • + Projets • ESAPI .NET 2.0 • Patterns d’architecture sécuritaire • ISO 27034 Application Security Control (ASC) • Cheat sheets sur des technologies récentes
  • 22. Participation et devenir membres Pourquoi contribuer et/ou devenir membre? • OWASP est une organisation à but non-lucratif et offre gratuitement des contenus fort utiles qui vous permettent d’acquérir, développer, tester et utiliser des logiciels plus sécuritaire. Permettez à l’OWASP de poursuivre sa croissance, à produire de nouveaux contenus et améliorer les contenus existants. • Aider l’OWASP c’est vous aider!
  • 23. Bénéfices des membres Bénéfices des membres OWASP: $50/an • Rabais sur les conférences • Une adresse de courriel: toi@owasp.org • Droit de vote dans les élections • Reconnaissance sur le site de l’OWASP • 40% du montant peut être versé au chapitre • Pour nous commanditer, suivre le lien ‘donate’ sur https://www.owasp.org/index.php/Quebec_City
  • 24. Bénéfices corporatifs Bénéfices des corporations membres: $5000/an • Visibilité auprès d’environ 200 chapitres • Visibilité dans les conférences et les évènements • Rabais sur les commandites de conférences et évènements • Visibilité de votre organisation sur le site et les communiqués OWASP • 100% déductible de taxes • Pour plus d’informations: https://www.owasp.org/index.php/Corporate_Member
  • 25. MERCI! Merci à • Egyde Services Conseils pour la location de la salle. • Magazine Sécus pour la publicité pour le chapitre OWASP Québec