Soumettre la recherche
Mettre en ligne
SPbD @ IBM France Lab par Patrick MERLIN
•
0 j'aime
•
715 vues
TelecomValley
Suivre
SPbD @ IBM France Lab par Patrick MERLIN
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 19
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
TelecomValley
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
SheoTech Days 2021 - Automatisation Microsoft Sentinel
SheoTech Days 2021 - Automatisation Microsoft Sentinel
Clément SERAFIN
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Thierry Matusiak
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
SINCLAIR JAZA FOLEFACK
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
Stéphanie Roger
Sécurité des applications Web
Sécurité des applications Web
Klee Group
Recommandé
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
TelecomValley
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
SheoTech Days 2021 - Automatisation Microsoft Sentinel
SheoTech Days 2021 - Automatisation Microsoft Sentinel
Clément SERAFIN
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Thierry Matusiak
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
SINCLAIR JAZA FOLEFACK
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
Stéphanie Roger
Sécurité des applications Web
Sécurité des applications Web
Klee Group
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
Patrice Bock
Portfolio services secu-2.1
Portfolio services secu-2.1
Hilal El Akramine
Fiche formation cissp
Fiche formation cissp
zsekoia
Certification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurity
Pondo3
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
Ivanti
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
CERTyou Formation
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
Serge Richard
Sectoken 1page-poster
Sectoken 1page-poster
Gilles Sgro
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Witekio
Security France
Security France
SIMOES AUGUSTO
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
ColloqueRISQ
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
ITrust - Cybersecurity as a Service
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
Mathieu Isaia | TheGreeBow
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
Introduction to Cybersecurity
Introduction to Cybersecurity
Kacem CHAMMALI
MWCP22 - Mesh hybrid work
MWCP22 - Mesh hybrid work
Clément SERAFIN
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
Serge Richard
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM France Lab
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
Contenu connexe
Tendances
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
Patrice Bock
Portfolio services secu-2.1
Portfolio services secu-2.1
Hilal El Akramine
Fiche formation cissp
Fiche formation cissp
zsekoia
Certification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurity
Pondo3
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
Ivanti
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
CERTyou Formation
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
Serge Richard
Sectoken 1page-poster
Sectoken 1page-poster
Gilles Sgro
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Witekio
Security France
Security France
SIMOES AUGUSTO
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
ColloqueRISQ
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
ITrust - Cybersecurity as a Service
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
Mathieu Isaia | TheGreeBow
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
Introduction to Cybersecurity
Introduction to Cybersecurity
Kacem CHAMMALI
MWCP22 - Mesh hybrid work
MWCP22 - Mesh hybrid work
Clément SERAFIN
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
Serge Richard
Tendances
(20)
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
Portfolio services secu-2.1
Portfolio services secu-2.1
Fiche formation cissp
Fiche formation cissp
Certification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurity
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
Sectoken 1page-poster
Sectoken 1page-poster
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Security France
Security France
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Introduction to Cybersecurity
Introduction to Cybersecurity
MWCP22 - Mesh hybrid work
MWCP22 - Mesh hybrid work
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
Similaire à SPbD @ IBM France Lab par Patrick MERLIN
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM France Lab
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM France Lab
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425
IBM France Lab
Sécurisation d'un site internet
Sécurisation d'un site internet
waggaland
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
OCTO Technology
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Yves LE CLEACH
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
LeClubQualiteLogicielle
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM France Lab
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des Depots
Splunk
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational_France
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational_France
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
Valdes Nzalli
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
Emmanuel Roldan
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
OCTO Technology
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
Microsoft
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
OCTO Technology
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
Aadel1805
Similaire à SPbD @ IBM France Lab par Patrick MERLIN
(20)
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425
Sécurisation d'un site internet
Sécurisation d'un site internet
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des Depots
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
Plus de TelecomValley
Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022
TelecomValley
Rapport d'activité 2022
Rapport d'activité 2022
TelecomValley
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom Valley
TelecomValley
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
TelecomValley
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020
TelecomValley
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020
TelecomValley
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019
TelecomValley
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019
TelecomValley
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020
TelecomValley
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020
TelecomValley
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019
TelecomValley
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019
TelecomValley
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
TelecomValley
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019
TelecomValley
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19
TelecomValley
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
TelecomValley
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
TelecomValley
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
TelecomValley
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
TelecomValley
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
TelecomValley
Plus de TelecomValley
(20)
Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022
Rapport d'activité 2022
Rapport d'activité 2022
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom Valley
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
SPbD @ IBM France Lab par Patrick MERLIN
1.
© 2018 IBM
Corporation REX Security & Privacy by Design IBM France Lab Patrick MERLIN October 8th, 2019
2.
© 2019 IBM
Corporation REX Security & Privacy by Design 2
3.
© 2019 IBM
Corporation SPbD Parcours De RGPD à SPbD Evaluation Security Privacy by Design Threat Model Code Scan Security Tests Penetration Tests Vulnerability Management REX Conclusion 3
4.
© 2019 IBM
Corporation Parcours 4 KUBERNETES OPERATORS //@RO14ND Membre du France Lab (R&D) dans l’équipe « Optimization Decision Management » rattachée à Digital Business Automation Avant IBM: Réseau / Sécurité Début chez IBM : Compliance avec les normes de Sécurité IBM Maintenant: DevSecOps Audit ISO 27001 Réseau / Sécurité dans le cloud ;-) Mise en place SPbD Déploiement continue d’ODM « Dockerisé » dans le cloud sur Kubernetes
5.
© 2019 IBM
Corporation De RGPD à SPbD 5 KUBERNETES OPERATORS //@RO14ND Intégrer les principes du RGPD dès la conception d'un projet informatique pour respecter la vie privée des utilisateurs Les principes fondamentaux : • minimiser la surface d’attaque • le moindre privilège • la défense en profondeur - mesures proactives et non réactives • Assurer la protection implicite de la vie privée • sécurité de bout en bout, pendant toute la période de conservation
6.
© 2019 IBM
Corporation Evaluation Security Privacy by Design 6 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
7.
© 2019 IBM
Corporation Evaluation Security Privacy by Design 7 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
8.
© 2019 IBM
Corporation Threat Model 8 KUBERNETES OPERATORS //@RO14ND Inventaire des composants Acteurs Co-location ? (multi/mono tenant) Schéma réseau Liste des processus avec les privilèges d’exécution Liste des protocoles, ports, flot de données par processus Liste des 3rd party libraries Qui discute avec qui, comment… Stockage: Base de donnée, Logs, backup Stockage des données clients de manière sécurisée -> chiffrement au repos & en transit Stockage des clés / certificats / API-Key -> Vault Top 10 OWASP checkbox (sanitization …) ….
9.
© 2019 IBM
Corporation Evaluation Security Privacy by Design 9 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
10.
© 2019 IBM
Corporation Code Scan 10 KUBERNETES OPERATORS //@RO14ND • Pair programming / Code Review • Static Application Security Testing WhiteSource (https://www.whitesourcesoftware.com/), AppScan (https://www.hcltech.com/software/appscan-standard) • Dynamic Application Security Testing aka Web Application Scanning Appscan • Interactive Application Security Testing : combinaison des 2 Contrast (https://www.contrastsecurity.com) Qui scanne les 3rd party libraries ?? Beaucoup de faux-positif • Conseils VS actions • Vulnérabilité VS code à risque
11.
© 2019 IBM
Corporation Evaluation Security Privacy by Design 11 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
12.
© 2019 IBM
Corporation Security Tests 12 KUBERNETES OPERATORS //@RO14ND Tests automatiques - Accès en fonction des droits - Test des corrections de Vulnérabilités - Test des versions des composants -« Detect secrets » sur les repositories de source code pour ne plus commiter des secrets (https://github.com/Yelp/detect-secrets) -TLS Version & Ciphers avec SSL Cert Scan (https://www.ssllabs.com/) -…
13.
© 2019 IBM
Corporation Evaluation Security Privacy by Design 13 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
14.
© 2019 IBM
Corporation Pénétration Tests 14 KUBERNETES OPERATORS //@RO14ND • Planifier ses pentests à l’avance ! • Changer de fournisseur • Pentest Interne et Externe dès la RC0 • Correction des défects High avant la release Politique SPbD: Puis je livrer s’il reste plusieurs défect Med ?
15.
© 2019 IBM
Corporation Evaluation Security Privacy by Design 15 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
16.
© 2019 IBM
Corporation Vulnerability Management 16 KUBERNETES OPERATORS //@RO14ND • Scanner de vulnérabilités type Nessus / OpenVAS • Détecter / Remédier • Veille Sécurité (Mailing List) • Alertes CERT / PSIRT (https://www.cert.ssi.gouv.fr/) • Outil de suivi des vulnérabilités (https://www.saucs.com/) • OWASP Dependency Check (https://www.owasp.org/index.php/OWASP_Dependency_Check)
17.
© 2019 IBM
Corporation REX 17 KUBERNETES OPERATORS //@RO14ND ODM on Cloud : Vieux monolithe de 20 ans Threat model: stabilisé Code scan: remontait au début beaucoup d’alertes Pentest: moins d’évolution du produit … moins intéressant VM: avec focus important sur les vieilles bibliothèques Release Sécurité Decision Composer: Nouveau projet de modélisation de règles Threat model: bouge Code scan: ne remonte que peu d’alertes car géré dès le début Pentest: intéressant VM: dernière version des bibliothèques Release : Beaucoup de nouveautés du produit par rapport à la sécurité
18.
© 2019 IBM
Corporation Conclusion 18 KUBERNETES OPERATORS //@RO14ND • Définir une politique SPbD • Des documents uniformisés présentant chaque application • Ne pas gérer la sécurité juste avant la livraison • Définir des objectifs atteignables • Attention aux dépendances ! • Commencer le code scan le plus tôt possible • Du travail au début, beaucoup moins par la suite. • Plan Do Check Act • Revue SPbD complète à chaque nouvelle version majeure • Former les développeur à la sécurité
19.
© 2019 IBM
Corporation Q/A 19 Thank You
Télécharger maintenant