SlideShare une entreprise Scribd logo

Développement sécurisé

F
facemeshfacemesh

Développement sécurisé

Données & analyses
1  sur  43
Télécharger pour lire hors ligne
Réalisé par: Hicham Sécurité par conception Secure by Design Agile, Scrum, DevOps, Github
Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
Introduction  La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Souvent centrées sur la protection des infrastructures, les équipes sécurité sont souvent trop éloignées des problématiques applicatives.  Les développeurs savent très bien coder mais sont moins performants au niveau de la sécurité et inversement. Dans le but de savoir si une application est sécurisée ou non et dans l’optique d’un travail plus performant, il est important que ces 2 mondes communiquent et échangent. Car le pire, c’est de ne pas savoir.  Outre la sécurité de l’infrastructure, quelle est l’arme de défense contre les menaces informatiques?  Réponse : la bonne conception du code source de l’application. Voici, la sécurité applicative.
Un système est aussi sûr que son lien le plus faible.
Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
Qu’est ce que la sécurité applicative? Sécurité applicative: (Définition selon ISO/IEC 27034:2011) « La sécurité des applications est un processus effectué pour appliquer des contrôles et des mesures aux applications d’une organisation afin de gérer le risque de leur utilisation ». « Les contrôles et les mesures peuvent être appliquées à l' application elle- même (ses processus, les composants, les logiciels et résultats), à ses données (données de configuration, les données de l'utilisateur, les données de l'organisation), et à toutes les technologies, les processus et acteurs impliqués dans le cycle de vie de l'application ».
Quelques statistiques
Pourquoi des applications ? (menaces internes) Réseaux Serveurs Application DICT:  Disponibilité  Intégrité  Confidentialité  Traçabilité
Pourquoi des applications ? (menaces externes)
Le périmètre de sécurité
Le périmètre de sécurité
Le périmètre de sécurité du passé… Autrefois: • Sécurité physique et d’infrastructure autour des applications de missions (internes) • Utilisateurs internes, appareils internes sous le contrôle de l’organisation Hier: • Applications internes déployées sur le Web avec +/- les mêmes mesures • Applications Web => accessibles de tous : usagers légitimes et pirates informatiques • Plusieurs applications développées par des développeurs qui en connaissent peu sur la sécurité  Perte d’étanchéité du périmètre… par les applications Web
Le nouveau périmètre Aujourd’hui : • Applications éparpillées sur le Cloud, chez plusieurs fournisseurs, utilisent plusieurs librairies et API tiers, • Les applications connectées sont partout: mobiles, voitures, « wearable computers », domotique, appareils électroniques… Où est le périmètre?  La sécurité applicative devient le nouveau périmètre
Les niveaux de défense Port blocking Filtering Encryption Spoofed packets, etc. Réseau Défendre le réseau Updates IIS hardening ACLs CAS Logging Least privilege Account management Buffer overflows, illicit paths, etc. Machine Défendre la machine Validation Hashing Encryption Secrets Mgt. Cookie Mgt. Session Mgt. Error handling SQL injection, XSS, input tampering, etc. Application Défendre l’application
Menaces applicatives (OWASP TOP TEN – 2017) A1 - Injection A2 - Violation de Gestion d'Authentification et de Session A3 - Cross-Site Scripting (XSS) A4 - Références directes non sécurisées à un objet A5 – Mauvaise configuration Sécurité A6 – Exposition de données sensibles A7 – Manque de contrôle d’accès au niveau fonctionnel A8 - Falsification de requête intersite(CSRF) A9 - Utilisation de composants avec des vulnérabilités connues A10 – Redirections et renvois non validés OWASP (Open Web Application Security Project): Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité applicative pour aider à prendre les bonnes décisions en matière de sécurité des applications
Quelques faits
Comment trouver les vulnérabilités avant les pirates? - Faire plus de balayages de vulnérabilités? - Faire davantage de tests d’intrusion? - Faire des révisions de code!
Intégrer la sécurité plus tôt dans le cycle de développement Observation: Les coûts reliés aux corrections des risques de sécurité augmentent de façon exponentiel quand les corrections sont découvertes tardivement dans le cycle de développement… Évidence: Prise en charge des enjeux de sécurité tout au long du cycle de développement Approche prôné par OWASP, NIST, Microsoft et plusieurs autres organisations
Aux vulnérabilités applicatives… ça prend des mesures applicatives!
Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
Le cycle de de vie du développement SDLC (Software Development Life Cycle) Le « cycle de vie d'un logiciel », désigne toutes les étapes du développement d'un logiciel, de sa conception à sa disparition. L'objectif d'un tel découpage est de permettre de définir des jalons intermédiaires permettant la validation du développement logiciel, c'est-à-dire la conformité du logiciel avec les besoins exprimés, et la vérification du processus de développement, c'est-à-dire l'adéquation des méthodes mises en œuvre. MaintenanceDéploiementTestDéveloppementArchitecture et conception Définition du besoin
Modèles classiques de cycle de développement Modèle en Y Modèle en VModèle en cascade Modèle en spirale
Méthodes de développement Agiles
Exemples de méthodes Agiles SCRUM XP (Extreme Programming)
DevOps Développeurs Opérationnels DevOps est une méthode de développement logiciel qui met en avant la communication, la collaboration, l’intégration, l’automatisation et les métriques entre développeurs et opérationnels.
DevOps Outils
Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
Qu’est-ce que le SSDLC? Le SSDLC est l’acronyme pour le « Secure Software Develpment Life Cycle ». C’est un processus continu contenant différents axes et étapes permettant d’assurer et augmenter le niveau de sécurité d’une application. Dans le SSDLC, les tests de sécurité sont effectués tout au long du processus de développement.
Framework SSDLC  Microsoft SDL  OWASP OpenSAMM BSIMM  Cigital Touchpoints Norme: ISO/IEC 27034:2011
Processus du cycle de développement de la sécurité Formation Exigences Conception Implémentation Test Déploiement et Maintenance • Formation de base et sensibilisationà la sécurité • Pré-requis de sécurité • Modélisation des menaces • Revues de conception • Modélisation des menaces • Revues de code • SAST • Analyse des dépendances • DAST • Configuration sécurisée • Plan de réponse à incident
Phase préliminaire : Formation et Sensibilisation Formation Exigences Conception Implémentation Test Déploiement et Maintenance Conception sécurisée Tests de la sécurité Objectifs:  Connaître les différents types de vulnérabilités et les contremesures associées,  Comprendre l’enjeux de la sécurité,  Connaître les bonnes pratiques de sécurité. - Guides de l’OWASP - Top 10 OWASP Écriture de code sécurisé Modélisation des menaces
Phase 1 : Exigences Formation Exigences Conception Implémentation Vérification Réponse Objectif 1:Prérequis de sécurité Définir les exigences de sécurité en fonction du contexte de l’application L’application traite-elle de données sensibles (militaire, médicale, etc.) ? L’application est-elle exposée publiquement ? Exigences DICT Objectif 2 : Modélisation des menaces Identifier et classer les potentielles menaces en analysant l’architecture et les fonctionnalités de l’application Identification des dépendances Identifier les ressources intéressantes pour un attaquant Identifier les différents types d’utilisateurs et rôles Catégoriser les menaces Lister les contrôles à mettre en place Lister les menaces potentielles Définir la stratégie à appliquer
Phase 2 : Conception Formation Exigences Conception Implémentation Vérification Réponse Objectif :Prérequis de sécurité S’assurer que l’architecture proposée ne comporte pas de problème de sécurité Protocoles sécurisés Méthode d’authentification/autorisation Mécanisme de gestion des logs Séparation des composants Flux nécessaires
Phase 3 : Implémentation Formation Exigences Conception Implémentation Test Déploiement et Maintenance SAST Analyse statique Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Checkmarx, WhiteHatSecurity, IBM AppScan Revues de code Standards utilisés : OWASP Code Review Guide Analyse des dépendances Outils: Nexus DependencyCheck (OWASP) WhiteHatSecurity Jenkins
Phase 4 : Test Formation Exigences Conception Implémentation Test Déploiement et Maintenance DAST Analyse dynamique Analyse des requêtes/réponses à l’application Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Arachni, IBM AppScan , miniFuzz, AppVerifier, BinScop
5- Phase de déploiement et maintenance Formation Exigences Conception Implémentation Test Déploiement et Maintenance Configuration sécurisée Objectif : Eviter les incidents de sécurité liés à la configuration Contremesures: Déploiement automatisé Checklist de vérification Plan de réponse à incident Répondre aux incidents de sécurité dans le but de : Restaurer les services Minimiser les pertes Colmater les failles exploitées Réduire les risques qui pourraient survenir dans le futur Contenu: Rôles et responsabilités de chacun Actions immédiates en cas d’incident Investigation en cas d’incident Restauration des ressources affectées Rapport sur l’incident survenu
Agenda Introduction Sécurité Applicative Cycle de vie de développement logiciel (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
Merci pour votre attention

Recommandé

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 

Recommandé

Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Ebios
EbiosEbios
Ebioskilojolid
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité InformatiqueZakariyaa AIT ELMOUDEN
 
Ateliers d’une application Web vulnérable
Ateliers d’une application Web vulnérable Ateliers d’une application Web vulnérable
Ateliers d’une application Web vulnérable Ayoub Rouzi
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Demystifying DevSecOps
Demystifying DevSecOpsDemystifying DevSecOps
Demystifying DevSecOpsArchana Joshi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsSetu Parimi
 
Rapport DVWA: CSRF
Rapport DVWA: CSRFRapport DVWA: CSRF
Rapport DVWA: CSRFAyoub Rouzi
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 

Contenu connexe

Tendances

Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Ateliers d’une application Web vulnérable
Ateliers d’une application Web vulnérable Ateliers d’une application Web vulnérable
Ateliers d’une application Web vulnérable Ayoub Rouzi
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Demystifying DevSecOps
Demystifying DevSecOpsDemystifying DevSecOps
Demystifying DevSecOpsArchana Joshi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsSetu Parimi
 
Rapport DVWA: CSRF
Rapport DVWA: CSRFRapport DVWA: CSRF
Rapport DVWA: CSRFAyoub Rouzi
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14imen1989
 

Tendances (20)

Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
Mehari
MehariMehari
Mehari
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Ebios
EbiosEbios
Ebios
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
 
Ateliers d’une application Web vulnérable
Ateliers d’une application Web vulnérable Ateliers d’une application Web vulnérable
Ateliers d’une application Web vulnérable
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Demystifying DevSecOps
Demystifying DevSecOpsDemystifying DevSecOps
Demystifying DevSecOps
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 
Rapport DVWA: CSRF
Rapport DVWA: CSRFRapport DVWA: CSRF
Rapport DVWA: CSRF
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 

Similaire à Développement sécurisé

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)TelecomValley
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-frenchvangogue
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxouiamlamghari12
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Salah Triki
 
Offre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéOffre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéSimstream
 

Similaire à Développement sécurisé (20)

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
OWF12/Security and Free Software
OWF12/Security and Free SoftwareOWF12/Security and Free Software
OWF12/Security and Free Software
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Offre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéOffre d'emploi Architecte sécurité
Offre d'emploi Architecte sécurité
 

Développement sécurisé

  • 1. Réalisé par: Hicham Sécurité par conception Secure by Design Agile, Scrum, DevOps, Github
  • 2. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 3. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 4. Introduction  La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Souvent centrées sur la protection des infrastructures, les équipes sécurité sont souvent trop éloignées des problématiques applicatives.  Les développeurs savent très bien coder mais sont moins performants au niveau de la sécurité et inversement. Dans le but de savoir si une application est sécurisée ou non et dans l’optique d’un travail plus performant, il est important que ces 2 mondes communiquent et échangent. Car le pire, c’est de ne pas savoir.  Outre la sécurité de l’infrastructure, quelle est l’arme de défense contre les menaces informatiques?  Réponse : la bonne conception du code source de l’application. Voici, la sécurité applicative.
  • 5. Un système est aussi sûr que son lien le plus faible.
  • 6. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 7. Qu’est ce que la sécurité applicative? Sécurité applicative: (Définition selon ISO/IEC 27034:2011) « La sécurité des applications est un processus effectué pour appliquer des contrôles et des mesures aux applications d’une organisation afin de gérer le risque de leur utilisation ». « Les contrôles et les mesures peuvent être appliquées à l' application elle- même (ses processus, les composants, les logiciels et résultats), à ses données (données de configuration, les données de l'utilisateur, les données de l'organisation), et à toutes les technologies, les processus et acteurs impliqués dans le cycle de vie de l'application ».
  • 9. Pourquoi des applications ? (menaces internes) Réseaux Serveurs Application DICT:  Disponibilité  Intégrité  Confidentialité  Traçabilité
  • 10. Pourquoi des applications ? (menaces externes)
  • 11. Le périmètre de sécurité
  • 12. Le périmètre de sécurité
  • 13. Le périmètre de sécurité du passé… Autrefois: • Sécurité physique et d’infrastructure autour des applications de missions (internes) • Utilisateurs internes, appareils internes sous le contrôle de l’organisation Hier: • Applications internes déployées sur le Web avec +/- les mêmes mesures • Applications Web => accessibles de tous : usagers légitimes et pirates informatiques • Plusieurs applications développées par des développeurs qui en connaissent peu sur la sécurité  Perte d’étanchéité du périmètre… par les applications Web
  • 14. Le nouveau périmètre Aujourd’hui : • Applications éparpillées sur le Cloud, chez plusieurs fournisseurs, utilisent plusieurs librairies et API tiers, • Les applications connectées sont partout: mobiles, voitures, « wearable computers », domotique, appareils électroniques… Où est le périmètre?  La sécurité applicative devient le nouveau périmètre
  • 15. Les niveaux de défense Port blocking Filtering Encryption Spoofed packets, etc. Réseau Défendre le réseau Updates IIS hardening ACLs CAS Logging Least privilege Account management Buffer overflows, illicit paths, etc. Machine Défendre la machine Validation Hashing Encryption Secrets Mgt. Cookie Mgt. Session Mgt. Error handling SQL injection, XSS, input tampering, etc. Application Défendre l’application
  • 16. Menaces applicatives (OWASP TOP TEN – 2017) A1 - Injection A2 - Violation de Gestion d'Authentification et de Session A3 - Cross-Site Scripting (XSS) A4 - Références directes non sécurisées à un objet A5 – Mauvaise configuration Sécurité A6 – Exposition de données sensibles A7 – Manque de contrôle d’accès au niveau fonctionnel A8 - Falsification de requête intersite(CSRF) A9 - Utilisation de composants avec des vulnérabilités connues A10 – Redirections et renvois non validés OWASP (Open Web Application Security Project): Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité applicative pour aider à prendre les bonnes décisions en matière de sécurité des applications
  • 17.
  • 19. Comment trouver les vulnérabilités avant les pirates? - Faire plus de balayages de vulnérabilités? - Faire davantage de tests d’intrusion? - Faire des révisions de code!
  • 20.
  • 21. Intégrer la sécurité plus tôt dans le cycle de développement Observation: Les coûts reliés aux corrections des risques de sécurité augmentent de façon exponentiel quand les corrections sont découvertes tardivement dans le cycle de développement… Évidence: Prise en charge des enjeux de sécurité tout au long du cycle de développement Approche prôné par OWASP, NIST, Microsoft et plusieurs autres organisations
  • 22. Aux vulnérabilités applicatives… ça prend des mesures applicatives!
  • 23. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 24. Le cycle de de vie du développement SDLC (Software Development Life Cycle) Le « cycle de vie d'un logiciel », désigne toutes les étapes du développement d'un logiciel, de sa conception à sa disparition. L'objectif d'un tel découpage est de permettre de définir des jalons intermédiaires permettant la validation du développement logiciel, c'est-à-dire la conformité du logiciel avec les besoins exprimés, et la vérification du processus de développement, c'est-à-dire l'adéquation des méthodes mises en œuvre. MaintenanceDéploiementTestDéveloppementArchitecture et conception Définition du besoin
  • 25. Modèles classiques de cycle de développement Modèle en Y Modèle en VModèle en cascade Modèle en spirale
  • 27.
  • 28. Exemples de méthodes Agiles SCRUM XP (Extreme Programming)
  • 29. DevOps Développeurs Opérationnels DevOps est une méthode de développement logiciel qui met en avant la communication, la collaboration, l’intégration, l’automatisation et les métriques entre développeurs et opérationnels.
  • 30.
  • 32. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 33. Qu’est-ce que le SSDLC? Le SSDLC est l’acronyme pour le « Secure Software Develpment Life Cycle ». C’est un processus continu contenant différents axes et étapes permettant d’assurer et augmenter le niveau de sécurité d’une application. Dans le SSDLC, les tests de sécurité sont effectués tout au long du processus de développement.
  • 34. Framework SSDLC  Microsoft SDL  OWASP OpenSAMM BSIMM  Cigital Touchpoints Norme: ISO/IEC 27034:2011
  • 35. Processus du cycle de développement de la sécurité Formation Exigences Conception Implémentation Test Déploiement et Maintenance • Formation de base et sensibilisationà la sécurité • Pré-requis de sécurité • Modélisation des menaces • Revues de conception • Modélisation des menaces • Revues de code • SAST • Analyse des dépendances • DAST • Configuration sécurisée • Plan de réponse à incident
  • 36. Phase préliminaire : Formation et Sensibilisation Formation Exigences Conception Implémentation Test Déploiement et Maintenance Conception sécurisée Tests de la sécurité Objectifs:  Connaître les différents types de vulnérabilités et les contremesures associées,  Comprendre l’enjeux de la sécurité,  Connaître les bonnes pratiques de sécurité. - Guides de l’OWASP - Top 10 OWASP Écriture de code sécurisé Modélisation des menaces
  • 37. Phase 1 : Exigences Formation Exigences Conception Implémentation Vérification Réponse Objectif 1:Prérequis de sécurité Définir les exigences de sécurité en fonction du contexte de l’application L’application traite-elle de données sensibles (militaire, médicale, etc.) ? L’application est-elle exposée publiquement ? Exigences DICT Objectif 2 : Modélisation des menaces Identifier et classer les potentielles menaces en analysant l’architecture et les fonctionnalités de l’application Identification des dépendances Identifier les ressources intéressantes pour un attaquant Identifier les différents types d’utilisateurs et rôles Catégoriser les menaces Lister les contrôles à mettre en place Lister les menaces potentielles Définir la stratégie à appliquer
  • 38. Phase 2 : Conception Formation Exigences Conception Implémentation Vérification Réponse Objectif :Prérequis de sécurité S’assurer que l’architecture proposée ne comporte pas de problème de sécurité Protocoles sécurisés Méthode d’authentification/autorisation Mécanisme de gestion des logs Séparation des composants Flux nécessaires
  • 39. Phase 3 : Implémentation Formation Exigences Conception Implémentation Test Déploiement et Maintenance SAST Analyse statique Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Checkmarx, WhiteHatSecurity, IBM AppScan Revues de code Standards utilisés : OWASP Code Review Guide Analyse des dépendances Outils: Nexus DependencyCheck (OWASP) WhiteHatSecurity Jenkins
  • 40. Phase 4 : Test Formation Exigences Conception Implémentation Test Déploiement et Maintenance DAST Analyse dynamique Analyse des requêtes/réponses à l’application Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Arachni, IBM AppScan , miniFuzz, AppVerifier, BinScop
  • 41. 5- Phase de déploiement et maintenance Formation Exigences Conception Implémentation Test Déploiement et Maintenance Configuration sécurisée Objectif : Eviter les incidents de sécurité liés à la configuration Contremesures: Déploiement automatisé Checklist de vérification Plan de réponse à incident Répondre aux incidents de sécurité dans le but de : Restaurer les services Minimiser les pertes Colmater les failles exploitées Réduire les risques qui pourraient survenir dans le futur Contenu: Rôles et responsabilités de chacun Actions immédiates en cas d’incident Investigation en cas d’incident Restauration des ressources affectées Rapport sur l’incident survenu
  • 42. Agenda Introduction Sécurité Applicative Cycle de vie de développement logiciel (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 43. Merci pour votre attention