Sécurité des Développements Webs et Mobiles

974 vues

Publié le

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
974
Sur SlideShare
0
Issues des intégrations
0
Intégrations
11
Actions
Partages
0
Téléchargements
48
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité des Développements Webs et Mobiles

  1. 1. Risques et menaces IT La sécurité, pourquoi et à quel prix Membre OWASP
  2. 2. Conseil • GOUVERNANCE • Analyse de risque • Pssi • Pca / Pra • SMSI • IAM • Lutte contre la fraude • R & D • Guides de développement • Développement • GESTION DE CRISE • Fuite d’information • Crise Réputationnelle • Fraude Audit • SSI • Applications Client • Infra & Réseaux • Vulnérabilités • Code Source • FRAUDE • Fraude en ligne • Fraude interne • CONFORMITE • Iso 27x • Pci Dss • Cnil Veille • ETUDE • Etat de l’art • Benchmark • HACKING IT • BAD E-REPUTATION Formation • SENSIBILISATION • Collaborateur • Direction • GOUVERNANCE • Rssi • Cnil / Cil • Bad buzz • Ingénierie Sociale • TECHNIQUE • Développements Sécurisés (OWASP) • Tests d’intrusion • Forensic Pôle de compétences PHONESEC – Tout secteur d’activité Domaines d’activité Membre OWASP
  3. 3. Quand tout s’emballe !! Membre OWASP
  4. 4. Le prix de la sécurité Membre OWASP Impacts liés à la sécurité Impact fonctionnel Limitation de l’expérience utilisateur Impact financier sur le model éco
  5. 5. Facteurs d’exposition Membre OWASP SécuritéNature des données Volume des données Actualité (contexte) Dissuasion faible Notoriété Malchance, fatalité, destin…
  6. 6. Le prix de l’insécurité 2,86 Millions d’euros Cost Of Data Breach – Symantec / Ponemon Institute Estimation des coûts pour une entreprise à chaque incident de vol de données en France Membre OWASP
  7. 7. Aimez vous les paris ? Economies de sécurité Aucune attaque J’ai de la chance Economies de sécurité Attaque majeure $$$$$$$ €€€€€€€ Membre OWASP
  8. 8. Le prix du risque Membre OWASP Conception Développement production Sécurité à la conception Recette sécurité Gestion de crise IMAPCTENCASD’ATTAQUE PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE
  9. 9. Comment améliorer la sécurité des développements de services mobiles Membre OWASP
  10. 10. Focus 2013 Membre OWASP
  11. 11. Weak Server Side Controls Membre OWASP • Différence de sémantique: parle plus de vulnérabilité que de risque • Précisions • M5 et M9 sont traités ensemble • M7 et M8 de même
  12. 12. Weak Server Side Controls Membre OWASP • Sécurité du backend: le web service • Présentation des services mobiles • Suis-je vulnérable ? • Test d’intrusion, audit de code, surface d’attaque … • Comment m’en prémunir ? • Secure Coding ! (Cf. présentation Tarik)
  13. 13. Insecure Storage Membre OWASP • Stockage sur les terminaux non sécurisé • Rappel sur les applications mobiles • Suis-je vulnérable ? • SharedPreference, SQLite, … • Comment m’en prémunir ? • Dépend de la plateforme des solutions existent
  14. 14. Insufficient Transport Layer Protection Membre OWASP • Communication en clair • HTTPS/SSL: les apports • Suis-je vulnérable ? • Mon application communique-t-elle des données sensibles ? • Comment m’en prémunir ? • Analyse de risque sur les données; • Valider que le réseau est sûr, les contrôles bien effectués, ….
  15. 15. Unintended Data Leakage Membre OWASP • Rétention de données • Les caches et autres mécanisme cachés; • Suis-je vulnérable ? • Web, Copier/Coller, … • Comment m’en prémunir ? • Vider les caches, …
  16. 16. Poor Authorization and Authentication – Improper Session Handling Membre OWASP • Authentification et Autorisation • La problématique de l’authentification et de l’autorisation; • Suis-je vulnérable ? • Dois je authentifier /autoriser des utilisateurs ou des terminaux sur mon application ? • Comment m’en prémunir ? • Contrôler coté serveur; • Choisir les bons mécanismes.
  17. 17. Broken Cryptography Membre OWASP • Défaut de chiffrement • Qu’est ce que le chiffrement ? • Suis-je vulnérable ? • L’application chiffre ou hache des données; • Comment m’en prémunir ? • S’appuyer sur des méthodes de chiffrement connues et reconnues.
  18. 18. Client Side Injection – Security Decisions Via Untrusted Inputs Membre OWASP • Injection dans l’application • Les différents canaux d’accès à une application: web, URLs, Intent, … • Suis-je vulnérable ? • Webview; • URL Scheme; • Intent. • Comment m’en prémunir ? • Dépend de la plateforme; • Contrôler les données en entrée sur l’application.
  19. 19. Lack of Binary Protections Membre OWASP • Manque de protection de l’application • Chiffrement, obfuscation, … • Suis-je vulnérable ? • Par défaut, aucune protection n’est offerte; • Comment m’en prémunir ? • Chiffrer; • Obfusquer; • Protéger.
  20. 20. Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM
  21. 21. Comment améliorer la sécurité des développements Web Membre OWASP
  22. 22. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  23. 23. Introduction Membre OWASP Desktop Transport Network Web Applications Antivirus Protection Encryption (SSL) Firewalls / IDS / IPS Firewall Web Servers Databases Backend Server Application Servers Panorama de la SSI
  24. 24. Facteurs d’exposition Membre OWASP Fonctionnalité volontaire Fonctionnalité involontaire Fonctionnalité actuelle
  25. 25. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  26. 26. OWASP Top 10 Membre OWASP
  27. 27. Sécurité Développement Web Membre OWASP
  28. 28. Injection Membre OWASP
  29. 29. Violation de Gestion d’Authentification et de Session Membre OWASP
  30. 30. Cross-Site Scripting (XSS) Membre OWASP
  31. 31. Références directes non sécurisées à un objet Membre OWASP
  32. 32. Mauvaise Configuration Sécurité Membre OWASP
  33. 33. Exposition de données sensibles Membre OWASP
  34. 34. Manque de contrôle d’accès au niveau fonctionnel Membre OWASP
  35. 35. Falsification de requête intersite (CSRF) Membre OWASP
  36. 36. Utilisation de composants avec des vulnérabilités connues Membre OWASP
  37. 37. Redirections et Renvois non Validés Membre OWASP
  38. 38. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  39. 39. Paradigme Membre OWASP Sensibilisations / Formations Guidelines Revue de code Tests d’intrusions Sécurité dans les contrats Sécurité dans les projets
  40. 40. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  41. 41. Vision de l’OWASP - Avant, Pendant et Après Membre OWASP
  42. 42. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  43. 43. Obstacles diagnostiqués Membre OWASP • Déni de la réalité • La sécurité n’est pas considérée comme une fonctionnalité • Approche réactive • Communication inexistante • Résistance au changement • Plusieurs types de logiciels • Développements de plus en plus externalisés • ERP …
  44. 44. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  45. 45. Conclusion – Pour les développeurs Membre OWASP
  46. 46. Conclusion – Pour les entreprises Membre OWASP
  47. 47. Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM

×