Les tests de securite devops

626 vues

Publié le

Les tests de securite en DevOps dans un environnement de déploiement continue - Présentation effectuée à "Open Source Summit 2016" par Christophe Villeneuve
La présentation montre qu'on n'échappe pas à la sécurité et qu'il faut anticiper cela

Publié dans : Internet
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
626
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
24
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Les tests de securite devops

  1. 1. Les tests de sécurité DevOps
  2. 2. Qui es tu ? Christophe Villeneuve
  3. 3. Ce qu'il vous attend... ● Aborder les tests de sécurité ● Mesurer votre qualité de sécurité Web ● Le DevOps de la sécurité avec vos outils Open Source
  4. 4. A l'abordage
  5. 5. L'importance des tests ● Pourquoi c'est utile ? ‐ Le code peut casse ‐ Changer le nom d'un fichier ‐ Pas le temps d'en faire ‐ C'est long manuellement ● Et l'intérêt… ‐ Coûte du temps au début ‐ En fait gagner ensuite ‐ Nécessite de la rigueur et de la constante
  6. 6. Les différents types de tests ● Tests unitaires ● Tests fonctionnels ● Tests intégrations ● Tests Automatisés ● Tests de charges ● Tests d'ergonomie ● Tests de sécurité
  7. 7. Humour : la sécurité Ca ne sert rien C'est de la vente forcée Ce n'est pas pour moi
  8. 8. Les menaces
  9. 9. Les risques ● Ne connaissent pas ‐ L'étendue des risques liés à la sécurité de leur site ● Significations du terme « piratage » ‐ voir définition Wikipedia ● Et surtout : ‐ Vol d'informations ‐ Usurpation d'identité ‐ Indisponibilité de service ‐ Défiguration de site ‐ Désinformation
  10. 10. La vie du hacker ● Des sites référencent ‐ Sur les failles ‐ Les alertes (veilles / R&D) ● Leurs métiers ● Des scanners ● ...
  11. 11. Les différents types d'attaques (1/2) ● Matériels ● Périphériques ● Smartphones
  12. 12. Les différents types d'attaques (2/2) ● Internet des Objets● Le web● Logiciels
  13. 13. Les mesures
  14. 14. CVE Security (1/3) ● Base de données des vulnérabilités (source d'informations) ● OS / Langages / CMS / Framework / Navigateurs...
  15. 15. CVE Security (2/3) ● Représentation annuelle
  16. 16. CVE Security (3/3)
  17. 17. Identifier les risques ● Systèmes trop verbeux ‐ DNS / Réseaux ● Système d'authentification faible ‐ SSH ● La gestion des droits ‐ Maillons faibles ● Les mots de passes systèmes ‐ Admin du poste / compte utilisateur ● Bases de données ‐ Stockage des informations sensibles ● Partage de fichiers ‐ Périphériques hardwaire ● Serveurs à l'abandon ● Vulnérabilités web ‐ Voir les rapports OWASP
  18. 18. Le mode parano ● Pour le service informatique ‐ Les tests de pénétration ● Tous les sites ‐ Les Firewall / Parefeu web ● Toutes les 3 à 4 semaines ‐ Analyser le code ● Toutes les 2 semaines
  19. 19. Analyse des freins... ● Temps d'installation ● Durée ● Temps d'analyse
  20. 20. DevOps / Outils
  21. 21. Quoi faire ? ● Un processus dans un déploiement continue ‐ En différentes petites étapes ● Exemple : Regardons les sites actuels ‐ Dans leur cycle de déploiement
  22. 22. Contrôle de sécurité (1/2) ● Intégrer les Risques IT ‐ Stratégie métier et modèle opérationnel à la cartographie ● Développer les synergies ‐ Des filières Risque, Contrôle, Sécurité et Continuité ● Adopter un modèle de protection ‐ Les secrets et données personnelles proportionné ● Industrialiser ‐ Un accompagnement de sécurité des projets métiers
  23. 23. Contrôle de sécurité (2/2) ● Stimuler ‐ La gestion des identités et des accès ● Outiller ‐ La détection et la réaction aux incidents ● Innover et soutenir les équipes projets ‐ Notamment dans la relation avec leurs multiples sous-traitants https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx
  24. 24. Déploiement continue Développement Serveur validation Serveur intégration Outils SCA Tâches répétitives - Analyse de code - Contrôle du code - Déclencheur Build Serveur Préprod Serveur production Tests de sécurité automatisé Report & Notification
  25. 25. Mise en place / procédure
  26. 26. Plan de sécurité ● Identifier les API et les frameworks ● Imprimez les portions du code de sécurité (mécanisme) ‐ Authentification ‐ Mot de passe ● Planifiez-le● Anticipez les problèmes réglementaires
  27. 27. Sensibiliser les développeurs ● Les rapports OWASP ‐ TOP 10 Web ‐ TOP 10 mobile ‐ TOP 10 IoT ● Analyser le code dans l'Intégration continue
  28. 28. Equiper les développeurs ● Utilisation des frameworks sécurisés et reconnus ‐ Spring Security, JAAS, Apache Shiro, Symfony2, Drupal... ● Le framework OWASP ‐ ESAPI ● Outils de Feedback sur la sécurité avant l'étape de validation ‐ Ex : librairie SCA dans un IDE ATTENTION : Librairies externes / anciennes
  29. 29. Automatisation ● Associé dans les outils de déploiement (Build) ‐ Jenkins, Bamboo, TeamCity, etc. ● Test de sécurité statiques de vos API ‐ (SAST = Static Application Security Testing) ‐ Top 10 Strategic Technology Trends ● Test dynamique de sécurité des applications ‐ (DAST = Dynamic Application Security Testing) Résultat faible Bloquer le processus
  30. 30. Outils de tests de sécurité automatisé ● Plateforme de tests d'intrusion ‐ Metasploit, Aircrack-ng ● Tests résistence d'un password ‐ John the ripper ● Audit de monitoring, réseaux sans fil ‐ Aircrack-ng ● Sniffer, analyseur protocoles réseau & applicatif ‐ Wireshark ● Scanner de ports, vulnérabilités ‐ Nmap ● Récupération mot de passe ‐ Cain & Abel ● Emulation Navigateur web ‐ Paros Proxy, charles proxy ● Capture de requêtes, proxy applicatif ‐ Zed Attack Proxy, Paros Proxy ● Audit des applications web ‐ Burp Suite, Wfuzz, spiderfoot, cerveau
  31. 31. Les tests en déploiement continue Développement Serveur validation Serveur intégration Outils SCA Tâches répétitives - Analyse de code - Contrôle du code - Déclencheur Build Serveur Préprod Serveur production Tests de sécurité automatisé Report & Notification
  32. 32. Au final ● La sécurité en DevOps, c'est maintenant ‐ Il est toujours temps de s'en préoccuper ● La sécurité ne doit pas être comprise ● Il ne faut pas accablé ● Commencer petit
  33. 33. Plus loin ● Outils SCA : https://www.owasp.org/index.php/Source_Code_Analysis_Tools ● OWASP : https://www.owasp.org ●
  34. 34. Merci @hellosct1

×