SlideShare une entreprise Scribd logo
1
07 février 2019
Sécurité des applications everteam
Anticiper, sécuriser, protéger !
2
Nous mettrons les participants en mode
« mute » ou silencieux pour le confort de
tous.
Vous avez une question ? Posez-la ! Nous y
répondrons à la fin du webinar.
1. Cliquez sur l'icône de question dans la
barre d'outils.
1. Entrez votre question dans le champ
texte situé dans le bas, puis appuyez
sur Entrée sur votre clavier.
QUELQUES PRECISIONS
3
Charbel DIB – Technology Solution Manager
● Plus de 15 ans d’expériences dans le domaine des applications everteam
● Consultant et référent technique au sein des services professionnels
everteam
● Ex-directeur technique des services au sein de EBS Global Services
● Chargé de la mise en place de solutions technologiques et expertises auprès
de nos clients et partenaires
● Suivi de la démarche sécurité des logiciels everteam
INTERVENANT
4
● Les attaques contres les systèmes d’information sont de
plus en plus virulentes
● DSI et RSSI mettent tout en oeuvre pour limiter les
risques d’intrusions et protéger votre SI
● Aussi chaque application doit être capable de se
protéger elle même
● Everteam travail sans cesse à sécuriser ses logiciels
Introduction
Pourquoi ce webinar
5
● L’objectif de ce webinar :
Vous donner un aperçu du paramétrage de sécurité
Vous sensibiliser sur sa prise en compte
Introduction
Pourquoi ce webinar
6
PRESENTATION
AGENDA
Cyberattaques 2019
Audit de sécurité / tests d’intrusions
Démarche, mécanismes et sécurité du logiciel
Evènements et organismes clés
La sécurité de votre application et sa mise en place
Test d’intrusion via BURP
7
● Attaque type ransomware (logiciel rançon)
CyberAttaques
Aperçu de l’année 2019
8
● Piratage d’identifiants informatiques
CyberAttaques
Aperçu de l’année 2019
9
● Attaque type « Credential Stuffing »
Eviter l’utilisation des mêmes identifiants pour les comptes que
vous créez sur les différents sites
Utiliser des mots de passe complexes avec des combinaisons de
lettre majuscule, minuscule et des chiffres
Changer régulièrement vos mot de passe
CyberAttaques
Aperçu de l’année 2019
10
PRESENTATION
AGENDA
Cyberattaques 2019
Audit de sécurité / tests d’intrusions
Démarche, mécanismes et sécurité du logiciel
Evènements et organismes clés
La sécurité de votre application et sa mise en place
Test d’intrusion via BURP
11
Organismes et Evènements
Nos entreprises restent fragiles face à la puissance des
Hackers mais la société s’organise pour limiter leur champ
d’action
12
● Réflexions et échanges pour une CyberSécurité Européenne
● Réuni des juristes, des experts et étudiants
● Propose des solutions répondant aux besoins des entreprises
● 22-23 Janvier : 9700 participants, 400 partenaires
● Approche « By Design » un concept à réinventer
● L’autonomie stratégique à l’épreuve du numérique
● Cyberattaque peut-on inverser le rapport de force
Organismes et Evènements
Le FIC (Forum International de la CyberSécurité)
https://www.forum-fic.com/accueil.htm
13
● Sensibilisation et Prévention
● D’assistance auprès de la population française
● 28 000 victimes assistées en 2018 dont 80% des particuliers
Organismes et Evènements
Plateforme de Cybermalveillance
https://www.cybermalveillance.gouv.fr/
14
● Coordination et réflexion autour des questions de la
cybersécurité
● Assistance aux entreprises par des actions de conseil, de
politiques industrielles et de réglementations
● Les enjeux :
○ La souveraineté et la liberté de décision du Pays dans les domaines politiques,
militaires
○ La protection de l’ensemble de nos infrastructures critiques
○ La protection des particuliers par des actions de sensibilisation et de formation
Organismes et Evènements
ANSSI : l’Agence Nationale de la Sécurité des Systèmes d’Information
https://www.ssi.gouv.fr/
15
● Aide à la conception, le développement et l’acquisition
d’applications sécurisées
● Propose outils et documentation sans frais
● Approche Sécurité plus globale (applications, personnes, processus
…)
Organismes et Evènements
OWASP : l’Open Web Application Security Project
http://www.owasp.org
16
PRESENTATION
AGENDA
Cyberattaques 2019
Audit de sécurité / tests d’intrusions
Démarche, mécanismes et sécurité du logiciel
Evènements et organismes clés
La sécurité de votre application et sa mise en place
Test d’intrusion via BURP
17
● Les attaques contres les systèmes d’information sont de plus
en plus virulentes
● Processus très large qui consiste à vérifier, entre autre :
○ Les processus de disponibilité des applications en toute situation (PCA)
○ Les processus de reprise d’activité permettant de reconstruire une
infrastructure Informatique (PRA)
○ Les processus de prévention de fuite de données (Data Loss Prevention )
○ La configuration des services, des seveurs, des composants réseau
○ La qualité du code applicatif et les librairies utilisées
Audit de Sécurité
Qu’est ce que c’est ?
18
● Processus de simulation d’attaques sur le système
d’information
● Objectifs :
○ Dresser une liste des vulnérabilités du système
○ Tester l’efficacité des systèmes de détections d’intrusions
○ Rédiger un rapport et présentation des résultats
○ Donner des conseils et des pistes de corrections
Tests d’intrusion (Pen Test)
Qu’est ce que c’est ?
19
● Le Pen Testeur ne dispose aucune information sur le SI
(aucune cartographie)
● Prouver qu’il existe un plan exploitable lui permettant de
s’introduire et de prendre le contrôle du système
Tests d’intrusion (Pen Test)
Méthode Black Box
20
● Le Pen Testeur travaille en collaboration avec la DSI et le RSSI
● Les accompagne pour détecter les vulnérabilités du SI
Tests d’intrusion (Pen Test)
Méthode White Box
21
PRESENTATION
AGENDA
Cyberattaques 2019
Audit de sécurité / tests d’intrusions
Démarche, mécanismes et sécurité du logiciel
Evènements et organismes clés
La sécurité de votre application et sa mise en place
Test d’intrusion via BURP
22
● Prise en compte de la sécurité dès la conception
● Audit par un cabinet expert en sécurité, préalable à la sortie de
toute version majeure
● Builds correctifs mensuels intégrant, entre autres, des
améliorations de la sécurité
● Une application pré-paramétrée pour la sécurité
● Une documentation en ligne incluant nos recommandations
Démarche sécurité Everteam
Quel processus ?
23
Mécanismes de sécurité Everteam
Aperçu des principaux points de protection
Description
▪ Manipulation d’une variable ou d’un chemin de navigation pour accéder à des fichiers non autorisés
▪ Accès et modification de fichier de configurations applicatifs , système pour prendre le contrôle sur
le système
Transversal Path ../../.. dot dot slash
Paramétrage/Recommandations
▪ Appliquer les recommandation tomcat pour une installation sécurisée
▪ Le paramètre FileUtil à renseigner avec la liste des chemins autorisés
▪ Limiter la liste des formats autorisés via FileFormat
24
Mécanismes de sécurité Everteam
Aperçu des principaux points de protection
Description
▪ Injection de scripts malicieux dans une url une page
▪ Changement du contenu d’une page
▪ Redirection de l’utilisateur vers un autre site
Cross Site Scripting (XSS)
Paramétrage/Recommandations
▪ Le Paramètre AddToHeader , intègre par défaut la directive X-XSS-Protection : 1 ; mode=block
→ Elle active dans le navigateur le Filtre XSS bloquant ainsi l'affichage de la page
25
Mécanismes de sécurité Everteam
Aperçu des principaux points de protection
Description
▪ En superposant des couches transparentes le hacker arrive à détourner les click et la saisie de
l’utilisateur, ce dernier pense avoir cliqué sur un bouton recherche alors qu’il s’agit d’un bouton
supprimer ou saisir son password dans un zone contrôlée par le hacker
Cross Site Framing (Clickjacking)
Paramétrage/Recommandations
▪ Le Paramètre AddToHeader , intègre par défaut la directive X-Frame-Options=SAMEORIGIN
indiquant qu’une page du site ne peut être chargée que par le site même
26
Mécanismes de sécurité Everteam
Aperçu des principaux points de protection
Description
▪ Force l’utilisateur à exécuter une action (suppression, modification, ...) pour profiter des ses
habilitations
▪ L’action se présente par exemple sous forme d’un lien dans un mail
Cross Site Request Forgery
Paramétrage/Recommandations
▪ Activation du paramètre CSRFID (web.xml) : indique au serveur qu’un jeton doit être généré
pour chaque url fournie → il sera transmis à l’appel pour contrôle par le serveur
▪ Activation du paramètre Referer pour indiquer les domaines autorisés à appeler le serveur
27
Mécanismes de sécurité Everteam
Aperçu des principaux points de protection
Description
▪ Le hacker intercepte la connexion entre l’utilisateur et le serveur puis accède et modifie des données sensibles
Man-In-the middle
Paramétrage/Recommandations
▪ Le paramètre AddToHeader intègre par défaut la directive Strict-Transport-Security elle interdit
tout appel http et force l’utilisation de https
▪ Elle interdit également à l’utilisateur d’ignorer les certificats non valides
28
Mécanismes de sécurité Everteam
Aperçu des principaux points de protection
Description
▪ En modifiant une variable ou un champs de saisie le hacker est capable d'insérer des instruction SQL, lui
permettant de modifier, supprimer, voir accéder à des données sensibles
SQL Injection
Paramétrage/Recommandations
▪ Le paramètre CheckTableQuery=true active le contrôle des requêtes via des expressions régulières
▪ Le paramètre ExecQuerySafe=true active la vérification que les requêtes de recherche ne comportent
pas des instructions DELETE, UPDATE, DROP
29
La configuration de la sécurité doit suivre l’évolution de votre application :
La sécurité dans vos projets everteam
Paramétrage évolutif
● A l’ajout de nouveaux servlets, leurs paramètres doivent être contrôlés
(CSCHECKSERVLET)
● A l’ajout d’une nouvelle table, si GetRecords est utilisée avec le paramètres Command
la requête doit être contrôlée dans CSCHECKTABLEQUERY
● A l’ajout d’un nouveau formulaire , il doit être déclaré et attribué aux rôles concernés
(CSFORMS et CSTABLEFORMS)
Le mode “Learning” d’everteam dispose d’un outil pour vous simplifier ce
paramétrage
30
● Charge plus ou moins importante en fonction de la complexité de
l’application
● Le coût peut être moins important si la sécurité est gérée en début de
projet
● Sinon :
○ Décalages successifs de la mise en service de l’application
○ Risques de refaire certains développements/architectures qui ne prennent pas en compte les
exigences de sécurité
○ Des recettes à refaire suite à la mise en place de la sécurité
○ Une pression très forte du RSSI pour corriger rapidement toute faille de sécurité en production
Impact de la sécurité sur vos projets
31
PRESENTATION
AGENDA
Cyberattaques 2019
Audit de sécurité / tests d’intrusions
Démarche, mécanismes et sécurité du logiciel
Evènements et organismes clés
Mise en place de la sécurité du logiciel
Test d’intrusion via BURP
32
● Vérifier et sécuriser l’installation de votre serveur d’application (tomcat)
● Privilégier l’authentification type SSO et éviter l’authentification par
saisie identifiant/password via formulaire. Par paramétrage vous avez
aussi la possibilité de désigner un utilisateur particulier en tant
qu’utilisateur admin
● Privilégier l’utilisation du protocole HTTPS plutôt que le protocole HTTP
ca complexifie l’installation d’un composant qui pourrait jouer le rôle du
Man in The Middle
Mise en place progressive de la sécurité
Suggestion de démarche
33
● Activer les paramètres de sécurité définis dans le paramètre
AddToHeader afin d’envoyer au navigateur les en-têtes nécessaires pour
activer ses propres algorithmes de protections
● Évaluer la possibilité d’activer les paramètres CSRF et Referrer dans votre
application pour éviter les attaques du type Cross Site Request Forgery
(liens dans des mails), voir web.xml
● Aller vers la sécurité renforcée en activant le contrôle sur les formulaires
et les requêtes
Mise en place progressive de la sécurité
Suggestion de démarche
34
PRESENTATION
AGENDA
Cyberattaques 2019
Audit de sécurité / tests d’intrusions
Démarche, mécanismes et sécurité du logiciel
Evènements et organismes clés
La sécurité de votre application et sa mise en place
Test d’intrusion via BURP
35
Test d’intrusion via BURP
36
To learn more about us, find us on the web at
www.everteam.com
or contact us directly at
info@everteam.com
Thank you
Any questions?

Contenu connexe

Tendances

DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Antoine Vigneron
 
Glpi at JM2L 2010
Glpi at JM2L 2010Glpi at JM2L 2010
Glpi at JM2L 2010
Nouh Walid
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
e-Xpert Solutions SA
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
Microsoft Technet France
 
GLPI at RMLL 2010
GLPI at RMLL 2010GLPI at RMLL 2010
GLPI at RMLL 2010
Nouh Walid
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
Marc Rousselet
 
Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010
Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010
Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010
Savoir-faire Linux
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
arnaudm
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
University of Geneva
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
Jason De Oliveira
 
Open source-si
Open source-siOpen source-si
Open source-si
ahmedmejri3
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
Lilia Sfaxi
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
CERTyou Formation
 
Comment sécuriser vos données sensibles
Comment sécuriser vos données sensiblesComment sécuriser vos données sensibles
Comment sécuriser vos données sensibles
Frederic Truong
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
Microsoft Décideurs IT
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
Stephane Droxler
 

Tendances (20)

DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Glpi at JM2L 2010
Glpi at JM2L 2010Glpi at JM2L 2010
Glpi at JM2L 2010
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
GLPI at RMLL 2010
GLPI at RMLL 2010GLPI at RMLL 2010
GLPI at RMLL 2010
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
 
Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010
Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010
Vitrine Technologique : Assurance Support Open Source à Québec le 27 mai 2010
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
 
Open source-si
Open source-siOpen source-si
Open source-si
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Comment sécuriser vos données sensibles
Comment sécuriser vos données sensiblesComment sécuriser vos données sensibles
Comment sécuriser vos données sensibles
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
 

Similaire à 070219 Webinar Sensibilisation Sécurité Logiciel Everteam

Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Sylvain Cortes
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
FootballLovers9
 
Sc1439 formation-symantec-endpoint-protection-12-x-administration
Sc1439 formation-symantec-endpoint-protection-12-x-administrationSc1439 formation-symantec-endpoint-protection-12-x-administration
Sc1439 formation-symantec-endpoint-protection-12-x-administration
CERTyou Formation
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
Groupe Revolution 9
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
Manuel Cédric EBODE MBALLA
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
Walter Michael TACKA
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
PRONETIS
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
Mondher Smii
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
Versusmind
 
Ir0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administrationIr0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administration
CERTyou Formation
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
Marcel TCHOULEGHEU
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
mowaffakfejja
 

Similaire à 070219 Webinar Sensibilisation Sécurité Logiciel Everteam (20)

Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Sc1439 formation-symantec-endpoint-protection-12-x-administration
Sc1439 formation-symantec-endpoint-protection-12-x-administrationSc1439 formation-symantec-endpoint-protection-12-x-administration
Sc1439 formation-symantec-endpoint-protection-12-x-administration
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
Ir0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administrationIr0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administration
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 

Plus de Everteam

310119 Webinar Présentation Nouveautés 5.3
310119 Webinar Présentation Nouveautés 5.3310119 Webinar Présentation Nouveautés 5.3
310119 Webinar Présentation Nouveautés 5.3
Everteam
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
Everteam
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Everteam
 
What Are you Waiting For? Remediate your File Shares and Govern your Informat...
What Are you Waiting For? Remediate your File Shares and Govern your Informat...What Are you Waiting For? Remediate your File Shares and Govern your Informat...
What Are you Waiting For? Remediate your File Shares and Govern your Informat...
Everteam
 
InfoDNA Everteam houston breakfast 06.29.17
InfoDNA Everteam houston breakfast 06.29.17InfoDNA Everteam houston breakfast 06.29.17
InfoDNA Everteam houston breakfast 06.29.17
Everteam
 
Doculabs Everteam houston breakfast 06.29.17 v0.2
Doculabs Everteam houston breakfast 06.29.17 v0.2Doculabs Everteam houston breakfast 06.29.17 v0.2
Doculabs Everteam houston breakfast 06.29.17 v0.2
Everteam
 
L’ECM, première étape de la transformation digitale des entreprises
L’ECM, première étape de la transformation digitale des entreprisesL’ECM, première étape de la transformation digitale des entreprises
L’ECM, première étape de la transformation digitale des entreprises
Everteam
 
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-TechnologiesGouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
Everteam
 
GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !
GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !
GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !
Everteam
 
Everteam.records Overview: Reduce the Cost and Risk of Managing Your Information
Everteam.records Overview: Reduce the Cost and Risk of Managing Your InformationEverteam.records Overview: Reduce the Cost and Risk of Managing Your Information
Everteam.records Overview: Reduce the Cost and Risk of Managing Your Information
Everteam
 
What Zombies and Hallow’s Eve Have in Common with Records Management
What Zombies and Hallow’s Eve Have in Common with Records ManagementWhat Zombies and Hallow’s Eve Have in Common with Records Management
What Zombies and Hallow’s Eve Have in Common with Records Management
Everteam
 
Unblock Your Path to the Cloud
Unblock Your Path to the CloudUnblock Your Path to the Cloud
Unblock Your Path to the Cloud
Everteam
 
Becoming Agile With BPM
Becoming Agile With BPMBecoming Agile With BPM
Becoming Agile With BPM
Everteam
 
everteam.ibpms 8.0 Adds Ad Hoc Processing
everteam.ibpms 8.0 Adds Ad Hoc Processingeverteam.ibpms 8.0 Adds Ad Hoc Processing
everteam.ibpms 8.0 Adds Ad Hoc Processing
Everteam
 
A New BAM Dashboard for everteam.ibpms 8 0
A New BAM Dashboard for everteam.ibpms 8 0A New BAM Dashboard for everteam.ibpms 8 0
A New BAM Dashboard for everteam.ibpms 8 0
Everteam
 
Records Governance, Part 3: How to Manage Governance for Any Content Type and...
Records Governance, Part 3: How to Manage Governance for Any Content Type and...Records Governance, Part 3: How to Manage Governance for Any Content Type and...
Records Governance, Part 3: How to Manage Governance for Any Content Type and...
Everteam
 
Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?
Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?
Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?
Everteam
 
Records Governance, Part 1: Preserve the Value of Your Information
Records Governance, Part 1: Preserve the Value of Your InformationRecords Governance, Part 1: Preserve the Value of Your Information
Records Governance, Part 1: Preserve the Value of Your Information
Everteam
 
Business and Operations Friendly BPM
Business and Operations Friendly BPMBusiness and Operations Friendly BPM
Business and Operations Friendly BPM
Everteam
 
Key Records Management Considerations During a Life Sciences Merger or Acquis...
Key Records Management Considerations During a Life Sciences Merger or Acquis...Key Records Management Considerations During a Life Sciences Merger or Acquis...
Key Records Management Considerations During a Life Sciences Merger or Acquis...
Everteam
 

Plus de Everteam (20)

310119 Webinar Présentation Nouveautés 5.3
310119 Webinar Présentation Nouveautés 5.3310119 Webinar Présentation Nouveautés 5.3
310119 Webinar Présentation Nouveautés 5.3
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec EverteamWebinar : Reprenez le contrôle de votre capital informationnel avec Everteam
Webinar : Reprenez le contrôle de votre capital informationnel avec Everteam
 
What Are you Waiting For? Remediate your File Shares and Govern your Informat...
What Are you Waiting For? Remediate your File Shares and Govern your Informat...What Are you Waiting For? Remediate your File Shares and Govern your Informat...
What Are you Waiting For? Remediate your File Shares and Govern your Informat...
 
InfoDNA Everteam houston breakfast 06.29.17
InfoDNA Everteam houston breakfast 06.29.17InfoDNA Everteam houston breakfast 06.29.17
InfoDNA Everteam houston breakfast 06.29.17
 
Doculabs Everteam houston breakfast 06.29.17 v0.2
Doculabs Everteam houston breakfast 06.29.17 v0.2Doculabs Everteam houston breakfast 06.29.17 v0.2
Doculabs Everteam houston breakfast 06.29.17 v0.2
 
L’ECM, première étape de la transformation digitale des entreprises
L’ECM, première étape de la transformation digitale des entreprisesL’ECM, première étape de la transformation digitale des entreprises
L’ECM, première étape de la transformation digitale des entreprises
 
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-TechnologiesGouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
 
GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !
GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !
GED, Archivage & Dataroom dans l'immobilier : Carrefour Property témoigne !
 
Everteam.records Overview: Reduce the Cost and Risk of Managing Your Information
Everteam.records Overview: Reduce the Cost and Risk of Managing Your InformationEverteam.records Overview: Reduce the Cost and Risk of Managing Your Information
Everteam.records Overview: Reduce the Cost and Risk of Managing Your Information
 
What Zombies and Hallow’s Eve Have in Common with Records Management
What Zombies and Hallow’s Eve Have in Common with Records ManagementWhat Zombies and Hallow’s Eve Have in Common with Records Management
What Zombies and Hallow’s Eve Have in Common with Records Management
 
Unblock Your Path to the Cloud
Unblock Your Path to the CloudUnblock Your Path to the Cloud
Unblock Your Path to the Cloud
 
Becoming Agile With BPM
Becoming Agile With BPMBecoming Agile With BPM
Becoming Agile With BPM
 
everteam.ibpms 8.0 Adds Ad Hoc Processing
everteam.ibpms 8.0 Adds Ad Hoc Processingeverteam.ibpms 8.0 Adds Ad Hoc Processing
everteam.ibpms 8.0 Adds Ad Hoc Processing
 
A New BAM Dashboard for everteam.ibpms 8 0
A New BAM Dashboard for everteam.ibpms 8 0A New BAM Dashboard for everteam.ibpms 8 0
A New BAM Dashboard for everteam.ibpms 8 0
 
Records Governance, Part 3: How to Manage Governance for Any Content Type and...
Records Governance, Part 3: How to Manage Governance for Any Content Type and...Records Governance, Part 3: How to Manage Governance for Any Content Type and...
Records Governance, Part 3: How to Manage Governance for Any Content Type and...
 
Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?
Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?
Records Governance, Part 2: Can One Solution Manage All Your Archiving Needs?
 
Records Governance, Part 1: Preserve the Value of Your Information
Records Governance, Part 1: Preserve the Value of Your InformationRecords Governance, Part 1: Preserve the Value of Your Information
Records Governance, Part 1: Preserve the Value of Your Information
 
Business and Operations Friendly BPM
Business and Operations Friendly BPMBusiness and Operations Friendly BPM
Business and Operations Friendly BPM
 
Key Records Management Considerations During a Life Sciences Merger or Acquis...
Key Records Management Considerations During a Life Sciences Merger or Acquis...Key Records Management Considerations During a Life Sciences Merger or Acquis...
Key Records Management Considerations During a Life Sciences Merger or Acquis...
 

070219 Webinar Sensibilisation Sécurité Logiciel Everteam

  • 1. 1 07 février 2019 Sécurité des applications everteam Anticiper, sécuriser, protéger !
  • 2. 2 Nous mettrons les participants en mode « mute » ou silencieux pour le confort de tous. Vous avez une question ? Posez-la ! Nous y répondrons à la fin du webinar. 1. Cliquez sur l'icône de question dans la barre d'outils. 1. Entrez votre question dans le champ texte situé dans le bas, puis appuyez sur Entrée sur votre clavier. QUELQUES PRECISIONS
  • 3. 3 Charbel DIB – Technology Solution Manager ● Plus de 15 ans d’expériences dans le domaine des applications everteam ● Consultant et référent technique au sein des services professionnels everteam ● Ex-directeur technique des services au sein de EBS Global Services ● Chargé de la mise en place de solutions technologiques et expertises auprès de nos clients et partenaires ● Suivi de la démarche sécurité des logiciels everteam INTERVENANT
  • 4. 4 ● Les attaques contres les systèmes d’information sont de plus en plus virulentes ● DSI et RSSI mettent tout en oeuvre pour limiter les risques d’intrusions et protéger votre SI ● Aussi chaque application doit être capable de se protéger elle même ● Everteam travail sans cesse à sécuriser ses logiciels Introduction Pourquoi ce webinar
  • 5. 5 ● L’objectif de ce webinar : Vous donner un aperçu du paramétrage de sécurité Vous sensibiliser sur sa prise en compte Introduction Pourquoi ce webinar
  • 6. 6 PRESENTATION AGENDA Cyberattaques 2019 Audit de sécurité / tests d’intrusions Démarche, mécanismes et sécurité du logiciel Evènements et organismes clés La sécurité de votre application et sa mise en place Test d’intrusion via BURP
  • 7. 7 ● Attaque type ransomware (logiciel rançon) CyberAttaques Aperçu de l’année 2019
  • 8. 8 ● Piratage d’identifiants informatiques CyberAttaques Aperçu de l’année 2019
  • 9. 9 ● Attaque type « Credential Stuffing » Eviter l’utilisation des mêmes identifiants pour les comptes que vous créez sur les différents sites Utiliser des mots de passe complexes avec des combinaisons de lettre majuscule, minuscule et des chiffres Changer régulièrement vos mot de passe CyberAttaques Aperçu de l’année 2019
  • 10. 10 PRESENTATION AGENDA Cyberattaques 2019 Audit de sécurité / tests d’intrusions Démarche, mécanismes et sécurité du logiciel Evènements et organismes clés La sécurité de votre application et sa mise en place Test d’intrusion via BURP
  • 11. 11 Organismes et Evènements Nos entreprises restent fragiles face à la puissance des Hackers mais la société s’organise pour limiter leur champ d’action
  • 12. 12 ● Réflexions et échanges pour une CyberSécurité Européenne ● Réuni des juristes, des experts et étudiants ● Propose des solutions répondant aux besoins des entreprises ● 22-23 Janvier : 9700 participants, 400 partenaires ● Approche « By Design » un concept à réinventer ● L’autonomie stratégique à l’épreuve du numérique ● Cyberattaque peut-on inverser le rapport de force Organismes et Evènements Le FIC (Forum International de la CyberSécurité) https://www.forum-fic.com/accueil.htm
  • 13. 13 ● Sensibilisation et Prévention ● D’assistance auprès de la population française ● 28 000 victimes assistées en 2018 dont 80% des particuliers Organismes et Evènements Plateforme de Cybermalveillance https://www.cybermalveillance.gouv.fr/
  • 14. 14 ● Coordination et réflexion autour des questions de la cybersécurité ● Assistance aux entreprises par des actions de conseil, de politiques industrielles et de réglementations ● Les enjeux : ○ La souveraineté et la liberté de décision du Pays dans les domaines politiques, militaires ○ La protection de l’ensemble de nos infrastructures critiques ○ La protection des particuliers par des actions de sensibilisation et de formation Organismes et Evènements ANSSI : l’Agence Nationale de la Sécurité des Systèmes d’Information https://www.ssi.gouv.fr/
  • 15. 15 ● Aide à la conception, le développement et l’acquisition d’applications sécurisées ● Propose outils et documentation sans frais ● Approche Sécurité plus globale (applications, personnes, processus …) Organismes et Evènements OWASP : l’Open Web Application Security Project http://www.owasp.org
  • 16. 16 PRESENTATION AGENDA Cyberattaques 2019 Audit de sécurité / tests d’intrusions Démarche, mécanismes et sécurité du logiciel Evènements et organismes clés La sécurité de votre application et sa mise en place Test d’intrusion via BURP
  • 17. 17 ● Les attaques contres les systèmes d’information sont de plus en plus virulentes ● Processus très large qui consiste à vérifier, entre autre : ○ Les processus de disponibilité des applications en toute situation (PCA) ○ Les processus de reprise d’activité permettant de reconstruire une infrastructure Informatique (PRA) ○ Les processus de prévention de fuite de données (Data Loss Prevention ) ○ La configuration des services, des seveurs, des composants réseau ○ La qualité du code applicatif et les librairies utilisées Audit de Sécurité Qu’est ce que c’est ?
  • 18. 18 ● Processus de simulation d’attaques sur le système d’information ● Objectifs : ○ Dresser une liste des vulnérabilités du système ○ Tester l’efficacité des systèmes de détections d’intrusions ○ Rédiger un rapport et présentation des résultats ○ Donner des conseils et des pistes de corrections Tests d’intrusion (Pen Test) Qu’est ce que c’est ?
  • 19. 19 ● Le Pen Testeur ne dispose aucune information sur le SI (aucune cartographie) ● Prouver qu’il existe un plan exploitable lui permettant de s’introduire et de prendre le contrôle du système Tests d’intrusion (Pen Test) Méthode Black Box
  • 20. 20 ● Le Pen Testeur travaille en collaboration avec la DSI et le RSSI ● Les accompagne pour détecter les vulnérabilités du SI Tests d’intrusion (Pen Test) Méthode White Box
  • 21. 21 PRESENTATION AGENDA Cyberattaques 2019 Audit de sécurité / tests d’intrusions Démarche, mécanismes et sécurité du logiciel Evènements et organismes clés La sécurité de votre application et sa mise en place Test d’intrusion via BURP
  • 22. 22 ● Prise en compte de la sécurité dès la conception ● Audit par un cabinet expert en sécurité, préalable à la sortie de toute version majeure ● Builds correctifs mensuels intégrant, entre autres, des améliorations de la sécurité ● Une application pré-paramétrée pour la sécurité ● Une documentation en ligne incluant nos recommandations Démarche sécurité Everteam Quel processus ?
  • 23. 23 Mécanismes de sécurité Everteam Aperçu des principaux points de protection Description ▪ Manipulation d’une variable ou d’un chemin de navigation pour accéder à des fichiers non autorisés ▪ Accès et modification de fichier de configurations applicatifs , système pour prendre le contrôle sur le système Transversal Path ../../.. dot dot slash Paramétrage/Recommandations ▪ Appliquer les recommandation tomcat pour une installation sécurisée ▪ Le paramètre FileUtil à renseigner avec la liste des chemins autorisés ▪ Limiter la liste des formats autorisés via FileFormat
  • 24. 24 Mécanismes de sécurité Everteam Aperçu des principaux points de protection Description ▪ Injection de scripts malicieux dans une url une page ▪ Changement du contenu d’une page ▪ Redirection de l’utilisateur vers un autre site Cross Site Scripting (XSS) Paramétrage/Recommandations ▪ Le Paramètre AddToHeader , intègre par défaut la directive X-XSS-Protection : 1 ; mode=block → Elle active dans le navigateur le Filtre XSS bloquant ainsi l'affichage de la page
  • 25. 25 Mécanismes de sécurité Everteam Aperçu des principaux points de protection Description ▪ En superposant des couches transparentes le hacker arrive à détourner les click et la saisie de l’utilisateur, ce dernier pense avoir cliqué sur un bouton recherche alors qu’il s’agit d’un bouton supprimer ou saisir son password dans un zone contrôlée par le hacker Cross Site Framing (Clickjacking) Paramétrage/Recommandations ▪ Le Paramètre AddToHeader , intègre par défaut la directive X-Frame-Options=SAMEORIGIN indiquant qu’une page du site ne peut être chargée que par le site même
  • 26. 26 Mécanismes de sécurité Everteam Aperçu des principaux points de protection Description ▪ Force l’utilisateur à exécuter une action (suppression, modification, ...) pour profiter des ses habilitations ▪ L’action se présente par exemple sous forme d’un lien dans un mail Cross Site Request Forgery Paramétrage/Recommandations ▪ Activation du paramètre CSRFID (web.xml) : indique au serveur qu’un jeton doit être généré pour chaque url fournie → il sera transmis à l’appel pour contrôle par le serveur ▪ Activation du paramètre Referer pour indiquer les domaines autorisés à appeler le serveur
  • 27. 27 Mécanismes de sécurité Everteam Aperçu des principaux points de protection Description ▪ Le hacker intercepte la connexion entre l’utilisateur et le serveur puis accède et modifie des données sensibles Man-In-the middle Paramétrage/Recommandations ▪ Le paramètre AddToHeader intègre par défaut la directive Strict-Transport-Security elle interdit tout appel http et force l’utilisation de https ▪ Elle interdit également à l’utilisateur d’ignorer les certificats non valides
  • 28. 28 Mécanismes de sécurité Everteam Aperçu des principaux points de protection Description ▪ En modifiant une variable ou un champs de saisie le hacker est capable d'insérer des instruction SQL, lui permettant de modifier, supprimer, voir accéder à des données sensibles SQL Injection Paramétrage/Recommandations ▪ Le paramètre CheckTableQuery=true active le contrôle des requêtes via des expressions régulières ▪ Le paramètre ExecQuerySafe=true active la vérification que les requêtes de recherche ne comportent pas des instructions DELETE, UPDATE, DROP
  • 29. 29 La configuration de la sécurité doit suivre l’évolution de votre application : La sécurité dans vos projets everteam Paramétrage évolutif ● A l’ajout de nouveaux servlets, leurs paramètres doivent être contrôlés (CSCHECKSERVLET) ● A l’ajout d’une nouvelle table, si GetRecords est utilisée avec le paramètres Command la requête doit être contrôlée dans CSCHECKTABLEQUERY ● A l’ajout d’un nouveau formulaire , il doit être déclaré et attribué aux rôles concernés (CSFORMS et CSTABLEFORMS) Le mode “Learning” d’everteam dispose d’un outil pour vous simplifier ce paramétrage
  • 30. 30 ● Charge plus ou moins importante en fonction de la complexité de l’application ● Le coût peut être moins important si la sécurité est gérée en début de projet ● Sinon : ○ Décalages successifs de la mise en service de l’application ○ Risques de refaire certains développements/architectures qui ne prennent pas en compte les exigences de sécurité ○ Des recettes à refaire suite à la mise en place de la sécurité ○ Une pression très forte du RSSI pour corriger rapidement toute faille de sécurité en production Impact de la sécurité sur vos projets
  • 31. 31 PRESENTATION AGENDA Cyberattaques 2019 Audit de sécurité / tests d’intrusions Démarche, mécanismes et sécurité du logiciel Evènements et organismes clés Mise en place de la sécurité du logiciel Test d’intrusion via BURP
  • 32. 32 ● Vérifier et sécuriser l’installation de votre serveur d’application (tomcat) ● Privilégier l’authentification type SSO et éviter l’authentification par saisie identifiant/password via formulaire. Par paramétrage vous avez aussi la possibilité de désigner un utilisateur particulier en tant qu’utilisateur admin ● Privilégier l’utilisation du protocole HTTPS plutôt que le protocole HTTP ca complexifie l’installation d’un composant qui pourrait jouer le rôle du Man in The Middle Mise en place progressive de la sécurité Suggestion de démarche
  • 33. 33 ● Activer les paramètres de sécurité définis dans le paramètre AddToHeader afin d’envoyer au navigateur les en-têtes nécessaires pour activer ses propres algorithmes de protections ● Évaluer la possibilité d’activer les paramètres CSRF et Referrer dans votre application pour éviter les attaques du type Cross Site Request Forgery (liens dans des mails), voir web.xml ● Aller vers la sécurité renforcée en activant le contrôle sur les formulaires et les requêtes Mise en place progressive de la sécurité Suggestion de démarche
  • 34. 34 PRESENTATION AGENDA Cyberattaques 2019 Audit de sécurité / tests d’intrusions Démarche, mécanismes et sécurité du logiciel Evènements et organismes clés La sécurité de votre application et sa mise en place Test d’intrusion via BURP
  • 36. 36 To learn more about us, find us on the web at www.everteam.com or contact us directly at info@everteam.com Thank you Any questions?