Risques et menaces IT
La sécurité, pourquoi et à quel prix
Membre OWASP
Conseil
• GOUVERNANCE
• Analyse de risque
• Pssi
• Pca / Pra
• SMSI
• IAM
• Lutte contre la fraude
• R & D
• Guides de dév...
Quand tout s’emballe !!
Membre OWASP
Le prix de la sécurité
Membre OWASP
Impacts
liés à la
sécurité
Impact fonctionnel
Limitation de
l’expérience utilisateur
I...
Facteurs d’exposition
Membre OWASP
SécuritéNature des
données
Volume des
données
Actualité
(contexte)
Dissuasion
faible
No...
Le prix de l’insécurité
2,86 Millions
d’euros
Cost Of Data Breach – Symantec / Ponemon Institute
Estimation des coûts pour...
Aimez vous les paris ?
Economies
de sécurité
Aucune
attaque
J’ai de la
chance
Economies
de sécurité
Attaque
majeure
$$$$$$...
Le prix du risque
Membre OWASP
Conception Développement production
Sécurité à la
conception
Recette
sécurité
Gestion de
cr...
Comment améliorer la sécurité des développements de services
mobiles
Membre OWASP
Focus 2013
Membre OWASP
Weak Server Side Controls
Membre OWASP
• Différence de sémantique: parle plus de
vulnérabilité que de risque
• Précisions
...
Weak Server Side Controls
Membre OWASP
• Sécurité du backend: le web service
• Présentation des services mobiles
• Suis-je...
Insecure Storage
Membre OWASP
• Stockage sur les terminaux non
sécurisé
• Rappel sur les applications mobiles
• Suis-je vu...
Insufficient Transport Layer Protection
Membre OWASP
• Communication en clair
• HTTPS/SSL: les apports
• Suis-je vulnérabl...
Unintended Data Leakage
Membre OWASP
• Rétention de données
• Les caches et autres mécanisme cachés;
• Suis-je vulnérable ...
Poor Authorization and Authentication – Improper Session Handling
Membre OWASP
• Authentification et Autorisation
• La pro...
Broken Cryptography
Membre OWASP
• Défaut de chiffrement
• Qu’est ce que le chiffrement ?
• Suis-je vulnérable ?
• L’appli...
Client Side Injection – Security Decisions Via Untrusted Inputs
Membre OWASP
• Injection dans l’application
• Les différen...
Lack of Binary Protections
Membre OWASP
• Manque de protection de l’application
• Chiffrement, obfuscation, …
• Suis-je vu...
Q & R
Membre OWASP
OWASP FRANCE : https://www.owasp.org/index.php/France
WWW.PHONESEC.COM
Comment améliorer la sécurité des développements Web
Membre OWASP
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstac...
Introduction
Membre OWASP
Desktop Transport Network Web Applications
Antivirus
Protection
Encryption
(SSL)
Firewalls /
IDS...
Facteurs d’exposition
Membre OWASP
Fonctionnalité volontaire
Fonctionnalité involontaire
Fonctionnalité actuelle
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstac...
OWASP Top 10
Membre OWASP
Sécurité Développement Web
Membre OWASP
Injection
Membre OWASP
Violation de Gestion d’Authentification et de Session
Membre OWASP
Cross-Site Scripting (XSS)
Membre OWASP
Références directes non sécurisées à un objet
Membre OWASP
Mauvaise Configuration Sécurité
Membre OWASP
Exposition de données sensibles
Membre OWASP
Manque de contrôle d’accès au niveau fonctionnel
Membre OWASP
Falsification de requête intersite (CSRF)
Membre OWASP
Utilisation de composants avec des vulnérabilités connues
Membre OWASP
Redirections et Renvois non Validés
Membre OWASP
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstac...
Paradigme
Membre OWASP
Sensibilisations / Formations
Guidelines
Revue de code
Tests d’intrusions
Sécurité dans les co...
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstac...
Vision de l’OWASP - Avant, Pendant et Après
Membre OWASP
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstac...
Obstacles diagnostiqués
Membre OWASP
• Déni de la réalité
• La sécurité n’est pas considérée comme une fonctionnalité
• Ap...
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstac...
Conclusion – Pour les développeurs
Membre OWASP
Conclusion – Pour les entreprises
Membre OWASP
Q & R
Membre OWASP
OWASP FRANCE : https://www.owasp.org/index.php/France
WWW.PHONESEC.COM
Prochain SlideShare
Chargement dans…5
×

Sécurité des Développements Webs et Mobiles

1 007 vues

Publié le

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 007
Sur SlideShare
0
Issues des intégrations
0
Intégrations
12
Actions
Partages
0
Téléchargements
53
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité des Développements Webs et Mobiles

  1. 1. Risques et menaces IT La sécurité, pourquoi et à quel prix Membre OWASP
  2. 2. Conseil • GOUVERNANCE • Analyse de risque • Pssi • Pca / Pra • SMSI • IAM • Lutte contre la fraude • R & D • Guides de développement • Développement • GESTION DE CRISE • Fuite d’information • Crise Réputationnelle • Fraude Audit • SSI • Applications Client • Infra & Réseaux • Vulnérabilités • Code Source • FRAUDE • Fraude en ligne • Fraude interne • CONFORMITE • Iso 27x • Pci Dss • Cnil Veille • ETUDE • Etat de l’art • Benchmark • HACKING IT • BAD E-REPUTATION Formation • SENSIBILISATION • Collaborateur • Direction • GOUVERNANCE • Rssi • Cnil / Cil • Bad buzz • Ingénierie Sociale • TECHNIQUE • Développements Sécurisés (OWASP) • Tests d’intrusion • Forensic Pôle de compétences PHONESEC – Tout secteur d’activité Domaines d’activité Membre OWASP
  3. 3. Quand tout s’emballe !! Membre OWASP
  4. 4. Le prix de la sécurité Membre OWASP Impacts liés à la sécurité Impact fonctionnel Limitation de l’expérience utilisateur Impact financier sur le model éco
  5. 5. Facteurs d’exposition Membre OWASP SécuritéNature des données Volume des données Actualité (contexte) Dissuasion faible Notoriété Malchance, fatalité, destin…
  6. 6. Le prix de l’insécurité 2,86 Millions d’euros Cost Of Data Breach – Symantec / Ponemon Institute Estimation des coûts pour une entreprise à chaque incident de vol de données en France Membre OWASP
  7. 7. Aimez vous les paris ? Economies de sécurité Aucune attaque J’ai de la chance Economies de sécurité Attaque majeure $$$$$$$ €€€€€€€ Membre OWASP
  8. 8. Le prix du risque Membre OWASP Conception Développement production Sécurité à la conception Recette sécurité Gestion de crise IMAPCTENCASD’ATTAQUE PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE
  9. 9. Comment améliorer la sécurité des développements de services mobiles Membre OWASP
  10. 10. Focus 2013 Membre OWASP
  11. 11. Weak Server Side Controls Membre OWASP • Différence de sémantique: parle plus de vulnérabilité que de risque • Précisions • M5 et M9 sont traités ensemble • M7 et M8 de même
  12. 12. Weak Server Side Controls Membre OWASP • Sécurité du backend: le web service • Présentation des services mobiles • Suis-je vulnérable ? • Test d’intrusion, audit de code, surface d’attaque … • Comment m’en prémunir ? • Secure Coding ! (Cf. présentation Tarik)
  13. 13. Insecure Storage Membre OWASP • Stockage sur les terminaux non sécurisé • Rappel sur les applications mobiles • Suis-je vulnérable ? • SharedPreference, SQLite, … • Comment m’en prémunir ? • Dépend de la plateforme des solutions existent
  14. 14. Insufficient Transport Layer Protection Membre OWASP • Communication en clair • HTTPS/SSL: les apports • Suis-je vulnérable ? • Mon application communique-t-elle des données sensibles ? • Comment m’en prémunir ? • Analyse de risque sur les données; • Valider que le réseau est sûr, les contrôles bien effectués, ….
  15. 15. Unintended Data Leakage Membre OWASP • Rétention de données • Les caches et autres mécanisme cachés; • Suis-je vulnérable ? • Web, Copier/Coller, … • Comment m’en prémunir ? • Vider les caches, …
  16. 16. Poor Authorization and Authentication – Improper Session Handling Membre OWASP • Authentification et Autorisation • La problématique de l’authentification et de l’autorisation; • Suis-je vulnérable ? • Dois je authentifier /autoriser des utilisateurs ou des terminaux sur mon application ? • Comment m’en prémunir ? • Contrôler coté serveur; • Choisir les bons mécanismes.
  17. 17. Broken Cryptography Membre OWASP • Défaut de chiffrement • Qu’est ce que le chiffrement ? • Suis-je vulnérable ? • L’application chiffre ou hache des données; • Comment m’en prémunir ? • S’appuyer sur des méthodes de chiffrement connues et reconnues.
  18. 18. Client Side Injection – Security Decisions Via Untrusted Inputs Membre OWASP • Injection dans l’application • Les différents canaux d’accès à une application: web, URLs, Intent, … • Suis-je vulnérable ? • Webview; • URL Scheme; • Intent. • Comment m’en prémunir ? • Dépend de la plateforme; • Contrôler les données en entrée sur l’application.
  19. 19. Lack of Binary Protections Membre OWASP • Manque de protection de l’application • Chiffrement, obfuscation, … • Suis-je vulnérable ? • Par défaut, aucune protection n’est offerte; • Comment m’en prémunir ? • Chiffrer; • Obfusquer; • Protéger.
  20. 20. Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM
  21. 21. Comment améliorer la sécurité des développements Web Membre OWASP
  22. 22. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  23. 23. Introduction Membre OWASP Desktop Transport Network Web Applications Antivirus Protection Encryption (SSL) Firewalls / IDS / IPS Firewall Web Servers Databases Backend Server Application Servers Panorama de la SSI
  24. 24. Facteurs d’exposition Membre OWASP Fonctionnalité volontaire Fonctionnalité involontaire Fonctionnalité actuelle
  25. 25. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  26. 26. OWASP Top 10 Membre OWASP
  27. 27. Sécurité Développement Web Membre OWASP
  28. 28. Injection Membre OWASP
  29. 29. Violation de Gestion d’Authentification et de Session Membre OWASP
  30. 30. Cross-Site Scripting (XSS) Membre OWASP
  31. 31. Références directes non sécurisées à un objet Membre OWASP
  32. 32. Mauvaise Configuration Sécurité Membre OWASP
  33. 33. Exposition de données sensibles Membre OWASP
  34. 34. Manque de contrôle d’accès au niveau fonctionnel Membre OWASP
  35. 35. Falsification de requête intersite (CSRF) Membre OWASP
  36. 36. Utilisation de composants avec des vulnérabilités connues Membre OWASP
  37. 37. Redirections et Renvois non Validés Membre OWASP
  38. 38. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  39. 39. Paradigme Membre OWASP Sensibilisations / Formations Guidelines Revue de code Tests d’intrusions Sécurité dans les contrats Sécurité dans les projets
  40. 40. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  41. 41. Vision de l’OWASP - Avant, Pendant et Après Membre OWASP
  42. 42. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  43. 43. Obstacles diagnostiqués Membre OWASP • Déni de la réalité • La sécurité n’est pas considérée comme une fonctionnalité • Approche réactive • Communication inexistante • Résistance au changement • Plusieurs types de logiciels • Développements de plus en plus externalisés • ERP …
  44. 44. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  45. 45. Conclusion – Pour les développeurs Membre OWASP
  46. 46. Conclusion – Pour les entreprises Membre OWASP
  47. 47. Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM

×