SlideShare une entreprise Scribd logo

SPbD @ IBM France Lab par Patrick MERLIN

SPbD @ IBM France Lab par Patrick MERLIN

1  sur  19
Télécharger pour lire hors ligne
© 2018 IBM Corporation
REX
Security & Privacy
by Design
IBM France Lab
Patrick MERLIN
October 8th, 2019
© 2019 IBM Corporation
REX
Security & Privacy by Design
2
© 2019 IBM Corporation
SPbD
Parcours
De RGPD à SPbD
Evaluation Security Privacy by Design
Threat Model
Code Scan
Security Tests
Penetration Tests
Vulnerability Management
REX
Conclusion
3
© 2019 IBM Corporation
Parcours
4 KUBERNETES OPERATORS //@RO14ND
Membre du France Lab (R&D) dans l’équipe « Optimization Decision
Management » rattachée à Digital Business Automation
Avant IBM: Réseau / Sécurité
Début chez IBM : Compliance avec les normes de Sécurité IBM
Maintenant: DevSecOps
Audit ISO 27001
Réseau / Sécurité dans le cloud ;-)
Mise en place SPbD
Déploiement continue d’ODM « Dockerisé » dans le cloud sur
Kubernetes
© 2019 IBM Corporation
De RGPD à SPbD
5 KUBERNETES OPERATORS //@RO14ND
Intégrer les principes du RGPD dès la conception d'un projet
informatique pour respecter la vie privée des utilisateurs
Les principes fondamentaux :
• minimiser la surface d’attaque
• le moindre privilège
• la défense en profondeur
- mesures proactives et non réactives
• Assurer la protection implicite de la vie privée
• sécurité de bout en bout, pendant toute la période de
conservation
© 2019 IBM Corporation
Evaluation Security Privacy by Design
6 KUBERNETES OPERATORS //@RO14ND
Code Scan
Threat Model
Penetration Test
Security Tests
Vulnerability Management

Recommandé

Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)TelecomValley
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
SheoTech Days 2021 - Automatisation Microsoft Sentinel
SheoTech Days 2021 - Automatisation Microsoft SentinelSheoTech Days 2021 - Automatisation Microsoft Sentinel
SheoTech Days 2021 - Automatisation Microsoft SentinelClément SERAFIN
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésStéphanie Roger
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 

Contenu connexe

Tendances

Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Fiche formation cissp
Fiche formation   cisspFiche formation   cissp
Fiche formation cisspzsekoia
 
Certification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurityCertification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurityPondo3
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »Ivanti
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...CERTyou Formation
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecuritySerge Richard
 
Sectoken 1page-poster
Sectoken 1page-posterSectoken 1page-poster
Sectoken 1page-posterGilles Sgro
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfColloqueRISQ
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurMathieu Isaia | TheGreeBow
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Introduction to Cybersecurity
 Introduction to Cybersecurity  Introduction to Cybersecurity
Introduction to Cybersecurity Kacem CHAMMALI
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSerge Richard
 

Tendances (20)

Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
 
Fiche formation cissp
Fiche formation   cisspFiche formation   cissp
Fiche formation cissp
 
Certification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurityCertification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurity
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
Sectoken 1page-poster
Sectoken 1page-posterSectoken 1page-poster
Sectoken 1page-poster
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Security France
Security FranceSecurity France
Security France
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Introduction to Cybersecurity
 Introduction to Cybersecurity  Introduction to Cybersecurity
Introduction to Cybersecurity
 
MWCP22 - Mesh hybrid work
MWCP22 -  Mesh hybrid workMWCP22 -  Mesh hybrid work
MWCP22 - Mesh hybrid work
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 

Similaire à SPbD @ IBM France Lab par Patrick MERLIN

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM France Lab
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction MeetupIBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction MeetupIBM France Lab
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425IBM France Lab
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...OCTO Technology
 
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hecPpt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hecYves LE CLEACH
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2IBM France Lab
 
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsAssises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsSplunk
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes Nzalli
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devopsEmmanuel Roldan
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!OCTO Technology
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyMicrosoft
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...OCTO Technology
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Aadel1805
 

Similaire à SPbD @ IBM France Lab par Patrick MERLIN (20)

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction MeetupIBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
 
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hecPpt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
 
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsAssises 2017 - Caisse des Depots
Assises 2017 - Caisse des Depots
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
 

Plus de TelecomValley

Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022TelecomValley
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022TelecomValley
 
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyRapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyTelecomValley
 
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...TelecomValley
 
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020TelecomValley
 
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020TelecomValley
 
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019TelecomValley
 
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019TelecomValley
 
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020TelecomValley
 
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020TelecomValley
 
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019TelecomValley
 
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019TelecomValley
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019TelecomValley
 
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019TelecomValley
 
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19TelecomValley
 
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...TelecomValley
 
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...TelecomValley
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...TelecomValley
 
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFEA la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFETelecomValley
 
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.12019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1TelecomValley
 

Plus de TelecomValley (20)

Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022
 
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyRapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom Valley
 
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
 
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020
 
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020
 
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019
 
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019
 
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020
 
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020
 
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019
 
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
 
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019
 
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19
 
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
 
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
 
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFEA la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
 
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.12019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
 

SPbD @ IBM France Lab par Patrick MERLIN

  • 1. © 2018 IBM Corporation REX Security & Privacy by Design IBM France Lab Patrick MERLIN October 8th, 2019
  • 2. © 2019 IBM Corporation REX Security & Privacy by Design 2
  • 3. © 2019 IBM Corporation SPbD Parcours De RGPD à SPbD Evaluation Security Privacy by Design Threat Model Code Scan Security Tests Penetration Tests Vulnerability Management REX Conclusion 3
  • 4. © 2019 IBM Corporation Parcours 4 KUBERNETES OPERATORS //@RO14ND Membre du France Lab (R&D) dans l’équipe « Optimization Decision Management » rattachée à Digital Business Automation Avant IBM: Réseau / Sécurité Début chez IBM : Compliance avec les normes de Sécurité IBM Maintenant: DevSecOps Audit ISO 27001 Réseau / Sécurité dans le cloud ;-) Mise en place SPbD Déploiement continue d’ODM « Dockerisé » dans le cloud sur Kubernetes
  • 5. © 2019 IBM Corporation De RGPD à SPbD 5 KUBERNETES OPERATORS //@RO14ND Intégrer les principes du RGPD dès la conception d'un projet informatique pour respecter la vie privée des utilisateurs Les principes fondamentaux : • minimiser la surface d’attaque • le moindre privilège • la défense en profondeur - mesures proactives et non réactives • Assurer la protection implicite de la vie privée • sécurité de bout en bout, pendant toute la période de conservation
  • 6. © 2019 IBM Corporation Evaluation Security Privacy by Design 6 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 7. © 2019 IBM Corporation Evaluation Security Privacy by Design 7 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 8. © 2019 IBM Corporation Threat Model 8 KUBERNETES OPERATORS //@RO14ND Inventaire des composants Acteurs Co-location ? (multi/mono tenant) Schéma réseau Liste des processus avec les privilèges d’exécution Liste des protocoles, ports, flot de données par processus Liste des 3rd party libraries Qui discute avec qui, comment… Stockage: Base de donnée, Logs, backup Stockage des données clients de manière sécurisée -> chiffrement au repos & en transit Stockage des clés / certificats / API-Key -> Vault Top 10 OWASP checkbox (sanitization …) ….
  • 9. © 2019 IBM Corporation Evaluation Security Privacy by Design 9 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 10. © 2019 IBM Corporation Code Scan 10 KUBERNETES OPERATORS //@RO14ND • Pair programming / Code Review • Static Application Security Testing WhiteSource (https://www.whitesourcesoftware.com/), AppScan (https://www.hcltech.com/software/appscan-standard) • Dynamic Application Security Testing aka Web Application Scanning Appscan • Interactive Application Security Testing : combinaison des 2 Contrast (https://www.contrastsecurity.com) Qui scanne les 3rd party libraries ?? Beaucoup de faux-positif • Conseils VS actions • Vulnérabilité VS code à risque
  • 11. © 2019 IBM Corporation Evaluation Security Privacy by Design 11 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 12. © 2019 IBM Corporation Security Tests 12 KUBERNETES OPERATORS //@RO14ND Tests automatiques - Accès en fonction des droits - Test des corrections de Vulnérabilités - Test des versions des composants -« Detect secrets » sur les repositories de source code pour ne plus commiter des secrets (https://github.com/Yelp/detect-secrets) -TLS Version & Ciphers avec SSL Cert Scan (https://www.ssllabs.com/) -…
  • 13. © 2019 IBM Corporation Evaluation Security Privacy by Design 13 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 14. © 2019 IBM Corporation Pénétration Tests 14 KUBERNETES OPERATORS //@RO14ND • Planifier ses pentests à l’avance ! • Changer de fournisseur • Pentest Interne et Externe dès la RC0 • Correction des défects High avant la release Politique SPbD: Puis je livrer s’il reste plusieurs défect Med ?
  • 15. © 2019 IBM Corporation Evaluation Security Privacy by Design 15 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 16. © 2019 IBM Corporation Vulnerability Management 16 KUBERNETES OPERATORS //@RO14ND • Scanner de vulnérabilités type Nessus / OpenVAS • Détecter / Remédier • Veille Sécurité (Mailing List) • Alertes CERT / PSIRT (https://www.cert.ssi.gouv.fr/) • Outil de suivi des vulnérabilités (https://www.saucs.com/) • OWASP Dependency Check (https://www.owasp.org/index.php/OWASP_Dependency_Check)
  • 17. © 2019 IBM Corporation REX 17 KUBERNETES OPERATORS //@RO14ND ODM on Cloud : Vieux monolithe de 20 ans Threat model: stabilisé Code scan: remontait au début beaucoup d’alertes Pentest: moins d’évolution du produit … moins intéressant VM: avec focus important sur les vieilles bibliothèques Release Sécurité Decision Composer: Nouveau projet de modélisation de règles Threat model: bouge Code scan: ne remonte que peu d’alertes car géré dès le début Pentest: intéressant VM: dernière version des bibliothèques Release : Beaucoup de nouveautés du produit par rapport à la sécurité
  • 18. © 2019 IBM Corporation Conclusion 18 KUBERNETES OPERATORS //@RO14ND • Définir une politique SPbD • Des documents uniformisés présentant chaque application • Ne pas gérer la sécurité juste avant la livraison • Définir des objectifs atteignables • Attention aux dépendances ! • Commencer le code scan le plus tôt possible • Du travail au début, beaucoup moins par la suite. • Plan Do Check Act • Revue SPbD complète à chaque nouvelle version majeure • Former les développeur à la sécurité
  • 19. © 2019 IBM Corporation Q/A 19 Thank You