SlideShare une entreprise Scribd logo

Développement sécurisé

Développement sécurisé

1  sur  43
Télécharger pour lire hors ligne
Réalisé par: Hicham
Sécurité par conception
Secure by Design
Agile, Scrum, DevOps,
Github
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SLDC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion
Introduction
 La sécurité applicative est au centre des nouvelles menaces et des
intrusions récentes. Souvent centrées sur la protection des
infrastructures, les équipes sécurité sont souvent trop éloignées des
problématiques applicatives.
 Les développeurs savent très bien coder mais sont moins
performants au niveau de la sécurité et inversement. Dans le but de
savoir si une application est sécurisée ou non et dans l’optique d’un
travail plus performant, il est important que ces 2 mondes
communiquent et échangent. Car le pire, c’est de ne pas savoir.
 Outre la sécurité de l’infrastructure, quelle est l’arme de défense
contre les menaces informatiques?
 Réponse :
la bonne conception du code source de l’application.
Voici, la sécurité applicative.
Un système est aussi sûr que son lien le plus
faible.
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SLDC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion et perspectives

Recommandé

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Secure Design: Threat Modeling
Secure Design: Threat ModelingSecure Design: Threat Modeling
Secure Design: Threat ModelingCigital
 

Contenu connexe

Tendances

Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Critical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You BuyCritical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You BuyFidelis Cybersecurity
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Security Operation Center Fundamental
Security Operation Center FundamentalSecurity Operation Center Fundamental
Security Operation Center FundamentalAmir Hossein Zargaran
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesSlideTeam
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 

Tendances (20)

Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Ebios
EbiosEbios
Ebios
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Critical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You BuyCritical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You Buy
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Security Operation Center Fundamental
Security Operation Center FundamentalSecurity Operation Center Fundamental
Security Operation Center Fundamental
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation Slides
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 

Similaire à Développement sécurisé

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)TelecomValley
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-frenchvangogue
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Salah Triki
 
Offre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéOffre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéSimstream
 

Similaire à Développement sécurisé (20)

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
OWF12/Security and Free Software
OWF12/Security and Free SoftwareOWF12/Security and Free Software
OWF12/Security and Free Software
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Offre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéOffre d'emploi Architecte sécurité
Offre d'emploi Architecte sécurité
 

Dernier

analyse- de basilique - saint denis pptx
analyse- de basilique - saint denis pptxanalyse- de basilique - saint denis pptx
analyse- de basilique - saint denis pptxHadJer61
 
AmTrav'Ovin - Apprentissage des agnelles à la traite.pdf
AmTrav'Ovin - Apprentissage des agnelles à la traite.pdfAmTrav'Ovin - Apprentissage des agnelles à la traite.pdf
AmTrav'Ovin - Apprentissage des agnelles à la traite.pdfInstitut de l'Elevage - Idele
 
OESTV - Intervention ICI INDUSTRIE - 15 février 2024
OESTV - Intervention ICI INDUSTRIE - 15 février 2024OESTV - Intervention ICI INDUSTRIE - 15 février 2024
OESTV - Intervention ICI INDUSTRIE - 15 février 2024OESTV
 
L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...
L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...
L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...France Travail
 
Les Français et la lutte contre l'islamisme radical
Les Français et la lutte contre l'islamisme radicalLes Français et la lutte contre l'islamisme radical
Les Français et la lutte contre l'islamisme radicalcontact Elabe
 

Dernier (9)

analyse- de basilique - saint denis pptx
analyse- de basilique - saint denis pptxanalyse- de basilique - saint denis pptx
analyse- de basilique - saint denis pptx
 
AmTrav'Ovin - Apprentissage des agnelles à la traite.pdf
AmTrav'Ovin - Apprentissage des agnelles à la traite.pdfAmTrav'Ovin - Apprentissage des agnelles à la traite.pdf
AmTrav'Ovin - Apprentissage des agnelles à la traite.pdf
 
1 Astié travaux station Auray 18 oct 2023.pdf
1 Astié travaux station Auray 18 oct 2023.pdf1 Astié travaux station Auray 18 oct 2023.pdf
1 Astié travaux station Auray 18 oct 2023.pdf
 
2 Garcia Vélasco projet AcCT 18 oct 2023.pdf
2 Garcia Vélasco projet AcCT 18 oct 2023.pdf2 Garcia Vélasco projet AcCT 18 oct 2023.pdf
2 Garcia Vélasco projet AcCT 18 oct 2023.pdf
 
3 Bidet GRH en viticulture 18 oct 2023.pdf
3 Bidet GRH en viticulture 18 oct 2023.pdf3 Bidet GRH en viticulture 18 oct 2023.pdf
3 Bidet GRH en viticulture 18 oct 2023.pdf
 
4 Sigwalt Annie saisonniers 18 octobre 2023.pdf
4 Sigwalt Annie  saisonniers 18 octobre 2023.pdf4 Sigwalt Annie  saisonniers 18 octobre 2023.pdf
4 Sigwalt Annie saisonniers 18 octobre 2023.pdf
 
OESTV - Intervention ICI INDUSTRIE - 15 février 2024
OESTV - Intervention ICI INDUSTRIE - 15 février 2024OESTV - Intervention ICI INDUSTRIE - 15 février 2024
OESTV - Intervention ICI INDUSTRIE - 15 février 2024
 
L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...
L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...
L'accès à l'emploi des demandeurs d'emploi inscrits à France Travail mesuré e...
 
Les Français et la lutte contre l'islamisme radical
Les Français et la lutte contre l'islamisme radicalLes Français et la lutte contre l'islamisme radical
Les Français et la lutte contre l'islamisme radical
 

Développement sécurisé

  • 1. Réalisé par: Hicham Sécurité par conception Secure by Design Agile, Scrum, DevOps, Github
  • 2. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 3. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 4. Introduction  La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Souvent centrées sur la protection des infrastructures, les équipes sécurité sont souvent trop éloignées des problématiques applicatives.  Les développeurs savent très bien coder mais sont moins performants au niveau de la sécurité et inversement. Dans le but de savoir si une application est sécurisée ou non et dans l’optique d’un travail plus performant, il est important que ces 2 mondes communiquent et échangent. Car le pire, c’est de ne pas savoir.  Outre la sécurité de l’infrastructure, quelle est l’arme de défense contre les menaces informatiques?  Réponse : la bonne conception du code source de l’application. Voici, la sécurité applicative.
  • 5. Un système est aussi sûr que son lien le plus faible.
  • 6. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 7. Qu’est ce que la sécurité applicative? Sécurité applicative: (Définition selon ISO/IEC 27034:2011) « La sécurité des applications est un processus effectué pour appliquer des contrôles et des mesures aux applications d’une organisation afin de gérer le risque de leur utilisation ». « Les contrôles et les mesures peuvent être appliquées à l' application elle- même (ses processus, les composants, les logiciels et résultats), à ses données (données de configuration, les données de l'utilisateur, les données de l'organisation), et à toutes les technologies, les processus et acteurs impliqués dans le cycle de vie de l'application ».
  • 9. Pourquoi des applications ? (menaces internes) Réseaux Serveurs Application DICT:  Disponibilité  Intégrité  Confidentialité  Traçabilité
  • 10. Pourquoi des applications ? (menaces externes)
  • 11. Le périmètre de sécurité
  • 12. Le périmètre de sécurité
  • 13. Le périmètre de sécurité du passé… Autrefois: • Sécurité physique et d’infrastructure autour des applications de missions (internes) • Utilisateurs internes, appareils internes sous le contrôle de l’organisation Hier: • Applications internes déployées sur le Web avec +/- les mêmes mesures • Applications Web => accessibles de tous : usagers légitimes et pirates informatiques • Plusieurs applications développées par des développeurs qui en connaissent peu sur la sécurité  Perte d’étanchéité du périmètre… par les applications Web
  • 14. Le nouveau périmètre Aujourd’hui : • Applications éparpillées sur le Cloud, chez plusieurs fournisseurs, utilisent plusieurs librairies et API tiers, • Les applications connectées sont partout: mobiles, voitures, « wearable computers », domotique, appareils électroniques… Où est le périmètre?  La sécurité applicative devient le nouveau périmètre
  • 15. Les niveaux de défense Port blocking Filtering Encryption Spoofed packets, etc. Réseau Défendre le réseau Updates IIS hardening ACLs CAS Logging Least privilege Account management Buffer overflows, illicit paths, etc. Machine Défendre la machine Validation Hashing Encryption Secrets Mgt. Cookie Mgt. Session Mgt. Error handling SQL injection, XSS, input tampering, etc. Application Défendre l’application
  • 16. Menaces applicatives (OWASP TOP TEN – 2017) A1 - Injection A2 - Violation de Gestion d'Authentification et de Session A3 - Cross-Site Scripting (XSS) A4 - Références directes non sécurisées à un objet A5 – Mauvaise configuration Sécurité A6 – Exposition de données sensibles A7 – Manque de contrôle d’accès au niveau fonctionnel A8 - Falsification de requête intersite(CSRF) A9 - Utilisation de composants avec des vulnérabilités connues A10 – Redirections et renvois non validés OWASP (Open Web Application Security Project): Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité applicative pour aider à prendre les bonnes décisions en matière de sécurité des applications
  • 19. Comment trouver les vulnérabilités avant les pirates? - Faire plus de balayages de vulnérabilités? - Faire davantage de tests d’intrusion? - Faire des révisions de code!
  • 21. Intégrer la sécurité plus tôt dans le cycle de développement Observation: Les coûts reliés aux corrections des risques de sécurité augmentent de façon exponentiel quand les corrections sont découvertes tardivement dans le cycle de développement… Évidence: Prise en charge des enjeux de sécurité tout au long du cycle de développement Approche prôné par OWASP, NIST, Microsoft et plusieurs autres organisations
  • 22. Aux vulnérabilités applicatives… ça prend des mesures applicatives!
  • 23. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 24. Le cycle de de vie du développement SDLC (Software Development Life Cycle) Le « cycle de vie d'un logiciel », désigne toutes les étapes du développement d'un logiciel, de sa conception à sa disparition. L'objectif d'un tel découpage est de permettre de définir des jalons intermédiaires permettant la validation du développement logiciel, c'est-à-dire la conformité du logiciel avec les besoins exprimés, et la vérification du processus de développement, c'est-à-dire l'adéquation des méthodes mises en œuvre. MaintenanceDéploiementTestDéveloppementArchitecture et conception Définition du besoin
  • 25. Modèles classiques de cycle de développement Modèle en Y Modèle en VModèle en cascade Modèle en spirale
  • 28. Exemples de méthodes Agiles SCRUM XP (Extreme Programming)
  • 29. DevOps Développeurs Opérationnels DevOps est une méthode de développement logiciel qui met en avant la communication, la collaboration, l’intégration, l’automatisation et les métriques entre développeurs et opérationnels.
  • 32. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 33. Qu’est-ce que le SSDLC? Le SSDLC est l’acronyme pour le « Secure Software Develpment Life Cycle ». C’est un processus continu contenant différents axes et étapes permettant d’assurer et augmenter le niveau de sécurité d’une application. Dans le SSDLC, les tests de sécurité sont effectués tout au long du processus de développement.
  • 34. Framework SSDLC  Microsoft SDL  OWASP OpenSAMM BSIMM  Cigital Touchpoints Norme: ISO/IEC 27034:2011
  • 35. Processus du cycle de développement de la sécurité Formation Exigences Conception Implémentation Test Déploiement et Maintenance • Formation de base et sensibilisationà la sécurité • Pré-requis de sécurité • Modélisation des menaces • Revues de conception • Modélisation des menaces • Revues de code • SAST • Analyse des dépendances • DAST • Configuration sécurisée • Plan de réponse à incident
  • 36. Phase préliminaire : Formation et Sensibilisation Formation Exigences Conception Implémentation Test Déploiement et Maintenance Conception sécurisée Tests de la sécurité Objectifs:  Connaître les différents types de vulnérabilités et les contremesures associées,  Comprendre l’enjeux de la sécurité,  Connaître les bonnes pratiques de sécurité. - Guides de l’OWASP - Top 10 OWASP Écriture de code sécurisé Modélisation des menaces
  • 37. Phase 1 : Exigences Formation Exigences Conception Implémentation Vérification Réponse Objectif 1:Prérequis de sécurité Définir les exigences de sécurité en fonction du contexte de l’application L’application traite-elle de données sensibles (militaire, médicale, etc.) ? L’application est-elle exposée publiquement ? Exigences DICT Objectif 2 : Modélisation des menaces Identifier et classer les potentielles menaces en analysant l’architecture et les fonctionnalités de l’application Identification des dépendances Identifier les ressources intéressantes pour un attaquant Identifier les différents types d’utilisateurs et rôles Catégoriser les menaces Lister les contrôles à mettre en place Lister les menaces potentielles Définir la stratégie à appliquer
  • 38. Phase 2 : Conception Formation Exigences Conception Implémentation Vérification Réponse Objectif :Prérequis de sécurité S’assurer que l’architecture proposée ne comporte pas de problème de sécurité Protocoles sécurisés Méthode d’authentification/autorisation Mécanisme de gestion des logs Séparation des composants Flux nécessaires
  • 39. Phase 3 : Implémentation Formation Exigences Conception Implémentation Test Déploiement et Maintenance SAST Analyse statique Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Checkmarx, WhiteHatSecurity, IBM AppScan Revues de code Standards utilisés : OWASP Code Review Guide Analyse des dépendances Outils: Nexus DependencyCheck (OWASP) WhiteHatSecurity Jenkins
  • 40. Phase 4 : Test Formation Exigences Conception Implémentation Test Déploiement et Maintenance DAST Analyse dynamique Analyse des requêtes/réponses à l’application Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Arachni, IBM AppScan , miniFuzz, AppVerifier, BinScop
  • 41. 5- Phase de déploiement et maintenance Formation Exigences Conception Implémentation Test Déploiement et Maintenance Configuration sécurisée Objectif : Eviter les incidents de sécurité liés à la configuration Contremesures: Déploiement automatisé Checklist de vérification Plan de réponse à incident Répondre aux incidents de sécurité dans le but de : Restaurer les services Minimiser les pertes Colmater les failles exploitées Réduire les risques qui pourraient survenir dans le futur Contenu: Rôles et responsabilités de chacun Actions immédiates en cas d’incident Investigation en cas d’incident Restauration des ressources affectées Rapport sur l’incident survenu
  • 42. Agenda Introduction Sécurité Applicative Cycle de vie de développement logiciel (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 43. Merci pour votre attention