Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
Les systèmes de contrôle industriel ICS, appelés SCADA, contrôlent les infrastructures critiques de la société depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout.
Avec la généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique, les télémaintenances et l'utilisation d'Internet, et avec la migration de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses.
Les approches habituelles de la SSI ne peuvent s'appliquer telles quelles sur les systèmes de contrôle industriel, il faut comprendre le métier et les problématiques, savoir dialoguer avec les automaticiens, et connaître et comprendre les normes propres au monde industriel.
Cette formation SCADA propose une approche pragmatique, pratique et complète du sujet. Elle vous permettra d'une part d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer une politique de cyber-sécurité SCADA.
A l'issue de ce cours, vous disposerez des éléments techniques pour appréhender les systèmes SCADA, les menaces et leurs vulnérabilités.
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
Seminaire sécurité 2016-v0
Comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?
Concepts de base de système d'information et de la sécurité des systèmes d'information (pilliers de base, principes, aspects et techniques)
Tests d'Intrusion : usage pour l'analyse de risque, Solutions, outils et architectures de sécurité
Etudes de case pratriques sur des maquettes réels
Le tour du monde en croisière avec MSC CroisièresJulien Garbe
Le tour du monde, un rêve inaccessible ? En 2019, MSC Croisières permettra à ses clients de partir faire un tour du monde en croisière, à la découverte des plus belles villes et plages du monde ! Retrouvez l'itinéraire et la croisière en quelques chiffres impressionnants !
Este documento proporciona información sobre informática. Define informática como la ciencia que estudia el tratamiento racional y automático de la información. Explica que la información se procesa en un dispositivo llamado computadora, el cual consta de hardware físico y software lógico. También brinda ejemplos de hardware como CPU, teclado y monitor, y de software como sistemas operativos y programas de procesamiento de texto.
Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
Les systèmes de contrôle industriel ICS, appelés SCADA, contrôlent les infrastructures critiques de la société depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout.
Avec la généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique, les télémaintenances et l'utilisation d'Internet, et avec la migration de protocoles et de systèmes spécifiques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses.
Les approches habituelles de la SSI ne peuvent s'appliquer telles quelles sur les systèmes de contrôle industriel, il faut comprendre le métier et les problématiques, savoir dialoguer avec les automaticiens, et connaître et comprendre les normes propres au monde industriel.
Cette formation SCADA propose une approche pragmatique, pratique et complète du sujet. Elle vous permettra d'une part d'auditer par vous-mêmes vos systèmes SCADA, et d'autre part de développer une politique de cyber-sécurité SCADA.
A l'issue de ce cours, vous disposerez des éléments techniques pour appréhender les systèmes SCADA, les menaces et leurs vulnérabilités.
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
Seminaire sécurité 2016-v0
Comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?
Concepts de base de système d'information et de la sécurité des systèmes d'information (pilliers de base, principes, aspects et techniques)
Tests d'Intrusion : usage pour l'analyse de risque, Solutions, outils et architectures de sécurité
Etudes de case pratriques sur des maquettes réels
Le tour du monde en croisière avec MSC CroisièresJulien Garbe
Le tour du monde, un rêve inaccessible ? En 2019, MSC Croisières permettra à ses clients de partir faire un tour du monde en croisière, à la découverte des plus belles villes et plages du monde ! Retrouvez l'itinéraire et la croisière en quelques chiffres impressionnants !
Este documento proporciona información sobre informática. Define informática como la ciencia que estudia el tratamiento racional y automático de la información. Explica que la información se procesa en un dispositivo llamado computadora, el cual consta de hardware físico y software lógico. También brinda ejemplos de hardware como CPU, teclado y monitor, y de software como sistemas operativos y programas de procesamiento de texto.
Limitations et exceptions au droit d'auteur : observations sur l'arrêt "être ...AntoineDuprez
Observations rédigées à l'occasion d'un exposé avec un autre étudiant du M2 NTSI de Paris X sur l'arrêt "Etre et Avoir" du 12 mai 2011 de la première chambre civile de la Cour de Cassation.
Que faire à paris avec sa grand mere ?BubbleGlobe
Votre grand-mère vient passer le week-end chez vous ? Pas de panique ! Voici une sélection d’endroits dans Paris qui lui redonneront une seconde jeunesse !
Plus d'infos : http://blog.bubble-globe.fr/que-faire-a-paris-avec-sa-grand-mere/
La convocatoria busca 6-8 estudiantes de derecho guatemaltecos para formar un grupo de trabajo pro-bono que producirá un informe evaluando la preparación jurídica de Guatemala para el cambio climático en áreas como la adaptación, mitigación y financiamiento. Los estudiantes seleccionados se unirán a una red global de abogados y tendrán la oportunidad de colaborar en proyectos internacionales relacionados con el derecho y el desarrollo sostenible.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help boost feelings of calmness, happiness and focus.
Presentación de XM Expertos en Mercados durante la Quinta Ronda de Buenas Prácticas de Transparencia Empresarial, organizada por Transparencia por Colombia y ELECTRICARIBE.
Wuxia le renard - Salon du livre de Toronto - 4 décembre 2014calmr.io
Nous sommes chanceux d’avoir la nature.
Même si elle disparaît sous nos yeux en cette ère
post-industrielle. Connecter avec la nature nous
aide à développer l’habileté de voir les signes
cachés que notre personnalité profonde nous envoit
tout au long de notre vie.
Plusieurs des messages des contes de Wuxia le
renard traite de ce qui disparaît lentement (chaque
années 5 langues cessent d’être pratiquées, des
espèces s’éteignent, des cultures aborigènes
s’oublient, nos liens avec la nature et le cosmos
s’atténuent, les glaciers fondent, nos dialogues
intérieurs sont moins audibles).
Presentación de UNE EPM Telecomunicaciones durante la Cuarta Ronda de Buenas Prácticas de Transparencia Empresarial, organizada por Transparencia por Colombia e ISAGEN.
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
L’OSSIR est un Groupe de travail parisien d’experts sécurité, SecludIT et Frédéric Donnat (Co-fondateur et Dir.Technique) sont ravi d’avoir pu présente Elastic Detector, la solution de surveillance continue et adaptative. En effet la solution répond au besoin des RSSI en terme de gain de temps sur leurs tâches quotidiennes.
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages
(cloud computing) : vraie révolution ou pétard mouillé ? ». Avec Bruno Schroder, National Technology Officer, Microsoft, et Olivier Loncin, spécialiste Google Apps.
Il faut trouver des solutions pour faire face à la menace de plus en plus forte que font peser les attaques, à la pénurie de talents et aux défis de l’optimisation des coûts en matière de cybersécurité. La tendance actuelle consiste à s’appuyer sur l’automatisation et l’orchestration des opérations de sécurité.
Or l’automatisation des SecOps conduit à devoir gérer des alertes de sécurité en plus grand nombre. L’inconvénient de cette approche est qu’on est potentiellement confronté chaque jour à une foule de nouvelles alertes. Et avec des centaines de vulnérabilités de gravité critique ou élevée à gérer, c’est à un sapin de Nöel tout illuminé que ressemble le rapport de sécurité quotidien. Cela peut bel et bien conduire à l’épuisement des équipes ou, pire encore, à de mauvaises décisions en matière de gestion des vulnérabilités.
Bien évidemment, il n’est pas réaliste d’espérer corriger toutes les failles. Les chefs d’entreprise doivent donc définir une limite en accord avec les équipes de sécurité. La hiérarchisation est un facteur de réussite essentiel si l’on veut renforcer l’efficacité et continuer à assurer un service approprié et de haute qualité en matière de réponse aux incidents de sécurité et de gestion des vulnérabilités. Le score CVSS ne suffit pas. Quelles sont donc les métriques pertinentes ? Comment les mesurer ? Quelle décision prendre ? Comment analyser l’efficacité de ce processus et comment l’adapter ?
Cette conférence a pour but d’échanger des idées sur une méthodologie de gestion des vulnérabilités basée sur le risque à l’aide de solutions open source comme PatrowlHears.
Cette approche est rendue possible par un juste équilibre entre automatisation des SecOps (pour être informés des vulnérabilités, failles et autres menaces) et hiérarchisation basée sur les métriques de vulnérabilité, l’actualité des menaces et la criticité des ressources. Nous verrons également des exemples d’événements qui devraient nous conduire à envisager une redéfinition des priorités en matière de vulnérabilités.
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
Cette présentation vise à discuter du rôle des tests d'intrusion et audit de sécurit. dans le cadre du cycle de développement application d'une entreprise.
Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant concentrés au niveau des applications et sites Web.
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
Centrale Nantes - Conférence du 08 Octobre 2015
Présentation sur les enjeux et les évolutions de la sécurité informatique.
Comment passer d'une vision de la sécurité informatique qui préserve la valeur, à une vision génératrice de valeur ajoutée pour l'entreprise ?
Similaire à 2011 02-08-ms tech-days-sdl-sgi-v02 (20)
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
The document discusses OWASP (Open Web Application Security Project) and its mission to secure applications. It introduces the OWASP IoT Top 10 risks, which identifies the most critical security risks in Internet of Things environments. The top risks include insecure web interfaces, authentication and authorization issues, lack of transport encryption, and privacy concerns. The presentation provides an overview of each risk and recommends solutions and tools to help address the vulnerabilities.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
This document summarizes a presentation given by Sébastien Gioria on application security. The presentation provided an overview of the current state of application security, described the Open Web Application Security Project (OWASP) including its mission and resources, and highlighted several OWASP projects that developers can use to help secure applications. It also listed upcoming security events in France and ways to support OWASP.
This document provides an introduction to secure coding for Java applications presented by Sebastien Gioria to the Java User Group in Poitou-Charentes, France. The presentation covers the importance of application security, current state and goals, using OWASP materials to secure code, and secure coding principles. It highlights statistics on application vulnerabilities from Verizon and WhiteHat Security reports and addresses common misconceptions about application security.
The document provides an overview of OWASP (Open Web Application Security Project) and application security. It discusses that most websites are vulnerable to attacks given the digital environment we live in. It then introduces OWASP as a non-profit focused on application security that produces many free, open resources like the OWASP Top 10 list of risks and over 200 projects. The presentation highlights some of OWASP's major projects and resources and emphasizes that application security is important as the "Age of Application Security".
The document discusses a training day presentation on integrating security and privacy in web application projects given by Sebastien Gioria. It covers using OWASP materials to secure code, secure coding principles, and code reviews. It also provides information on OWASP publications that can be used like the Top 10, Building Security In, and Code Review Guide.
1. Top 10 risks in application security include injection flaws, cross-site scripting, broken authentication and session management, insecure direct object references, cross-site request forgery, security misconfiguration, failure to restrict URL access, and unvalidated redirects and forwards.
2. Injection flaws occur when untrusted data is sent to an interpreter, allowing attackers to execute unintended commands. Cross-site scripting occurs when raw user input is embedded in web pages. Broken authentication allows session hijacking. Insecure direct object references allow access to unauthorized data.
3. Developers can avoid these risks by using prepared statements or input validation, output encoding all data, limiting database privileges, adding secret tokens to forms, and
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
2011 02-08-ms tech-days-sdl-sgi-v02
1. Microsoft Security
Development LifeCycle :
par ou commencer ?
Sébastien Gioria (OWASP French Chapter Leader & OWASP Global
Education Comittee Member)
sebastien.gioria@owasp.org
8 Février 2011- Paris - Palais des congrès
1
2. Qui suis-je ?
Consultant Sécurité Sénior au
sein du cabinet d’audit
Président du CLUSIR Poitou-Charentes
OWASP France Leader - Evangéliste -
OWASP Global Education Comittee
Member (sebastien.gioria@owasp.org)
CISA && ISO 27005 Risk Manager
q Expérience en Sécurité des Systèmes d’Information > 0x0D années
q Différents postes de manager SSI dans la banque, l’assurance et
les télécoms
Twitter :@SPoint
q Expertise Technique
ü Gestion du risque, Architectures fonctionnelles, Audits
ü S-SDLC : Secure-Software Development LifeCycle.
ü PenTesting, Digital Forensics
ü Consulting et Formation en Réseaux et Sécurité
q Domaines
de
prédilec0on
:
ü Web,
WebServices, Insécurité du Web.
2
3. site:mycompany.
com
hacked
OUI
NON
OK,
site:xssed.com
mycompany.com
OUI mais
alors ?
NON
Laissez
moi
vous
Votre
applica,on
sera
piratée
reme5re
sur
la
bonne
voie
3
4. Agenda
• La souris, le fromage et le chat
• Qu’est-ce que Microsoft SDL ?
• SDL Warrior
• Par ou commencer
• Et après…
4
8. Security Development LifeCycle
(SDL)
• 2004 : « Stop Security Kiddies »
• Méthode de développement sécurisée de tous les produits
Microsoft !
Vainqueurs a la CVE 2010
Produit
1er
2ème
3ème
Système
Linux
Kernel
Windows
Server
Apple
IOS
(35)
d’exploita0on
(129)
2008
(93)
SGBD
Oracle
(36)
Mysql
(3)
MS-‐SQL
Server
(1)
Navigateur
Chrome
(164)
Safari
(130)
Firefox
(115)
8
10. Formation
• Obligatoire pour toute l’équipe projet : Architecte, Développeur,
Testeur, Chef de projet
• Contenu minimum
• Conception sécurisée
• Modélisation des menaces
• Ecriture de code sécurisé
• Tests de sécurité
• Respect de la vie privée
• Contenu avancé
• Architecture et conception de la sécurité.
• Conception de l’interface utilisateur
• Problèmes de sécurité en détail
• Processus de réponse de sécurité
• Mise en œuvre d’atténuations personnalisées de menaces
10
11. Spécifications - Exigences de sécurité
1. Identifier l’équipe ou la personne qui sera responsable du
suivi et de la gestion de la sécurité
2. Vérifier que les outils de suivi et de rapport des bogues
assurent effectivement le suivi des problèmes de sécurité
3. Définir et documenter l’échelle des bogues et les valeurs
et seuil ainsi attribués aux bogues de sécurité.
L’échelle des bogues et le seuil associé ne doivent
jamais être assouplis, même si la date de fin du
projet approche.
11
12. Spécifications - Exigences de respect
de la vie privée
1. Désigner le conseiller en respect de la vie privée
2. Désigner le responsable dans l’équipe pour la vie privée
3. Définir et documenter l’échelle, les valeurs et seuil
attribués aux bogues de respect de la vie privée
12
13. Spécifications – Recommandations
de sécurité
1. Mettre en place le plan de sécurité
2. Vérifier que l’outil de bogue peut prendre en compte les
éléments de la modélisation des attaques . Il doit
comporter 2 fonctionnalités :
• Il doit être compatible STRIDE
• Permettre d’identifier la cause du Bug
13
14. Spécifications – Evaluer le projet et
les couts éventuels
1. Evaluer les portions du projet nécessitant :
• modélisations des menaces
• revues de conception de sécurité
• tests de pénétration
2. Vérifier le taux d’impact sur la vie privée
• P1 : Risque élevé sur le respect de la vie privé => Le
produit enregistre ou transfère des informations
confidentielles
• P2 : Risque modéré => un transfert unique de données
anonymes, initié par l’utilisateur
• P3 : Risque faible => Rien n’affecte le respect de la vie
privée
14
15. Conception
1. Effectuer une revue de conception
2. Effectuer des Analyses de risque
• Modélisation des menaces (STRIDE/DREAD)
• Code externes
• Analyse des projets classés P1 (vie privée)
15
16. STRIDE ?
Catégorie
Descrip,on
Pas
un
bogue
de
sécurité
Usurpa0on
(Spoofing)
A^aque
par
laquelle
un
a^aquant
ou
un
serveur
non
autorisé
se
fait
passer
pour
un
u0lisateur
ou
un
serveur
valide,
ou
un
code
malveillant
se
présente
comme
valide
Falsifica0on
(Tampering)
Modifica0on
malveillante
des
données
Répudia0on
(Repudia0on)
Menaces
associées
aux
u0lisateurs
qui
nient
avoir
effectué
une
ac0on
sans
que
les
autres
par0es
aient
le
moyen
de
prouver
le
contraire
Divulga0on
d’informa0ons
Menaces
qui
impliquent
l’exposi0on
des
informa0ons
à
(Informa0ons
Disclosure)
des
individus
qui
ne
sont
pas
censés
y
accéder.
Déni
de
service
(Denial
of
A^aques
(DoS)
qui
empêchent
un
u0lisateur
autorisé
Service)
d’accéder
aux
services
Éléva0on
de
privilège
Menace
qui
permet
à
un
u0lisateur
de
s’octroyer
une
(Eleva0on
of
Privilege)
autorisa0on
supplémentaire
Réduc0on
de
la
surface
Il
est
important
d’iden0fier
la
surface
d’a^aque,
même
si
d’a^aque.
(A^ack
Surface
les
interfaces
qui
y
sont
exposées
ne
sont
pas
des
Reduc0on.
)
vulnérabilités
au
sens
technique
16
17. DREAD ?
Catégorie
Descrip,on
Dommage
Poten0el
Si
la
menace
se
produit,
quel
est
le
niveau
de
dommage
:
(Damage)
0
–
Rien
10
–
Total
compromission
Reproduc0ble
Quelle
est
la
complexité
pour
reproduire
la
menace
(Reproducibility)
0
–
quasi-‐impossible
10
–
pas
d’authen0fica0on,
a
travers
un
navigateur
Web
Exploita0on
De
quoi
a-‐t-‐on
besoin
pour
l’exploita0on
(Exploitability)
0
–
connaissance
en
programma0on,
des
ou0ls,
…
10
–
juste
un
navigateur
Web
U0lisateurs
touchés
Combien
d’u0lisateurs
seront
affectés
(Affected
Users)
0
–
Aucun
5
–
Quelques
uns
10
–
Tous
Découverte
La
faille
est-‐elle
simple
a
découvrir
(Discoverability)
0
–
quasi-‐impossible
5
–
via
un
sniffing
réseau
ou
autre
type
9
–
les
détails
sont
dans
le
domaine
public
10
–
Il
suffit
de
regarder
la
barre
du
navigateur
Web
17
19. Implémentation
1. Creer la documentation et les outils permettant
d’adresser les problèmes de sécurité et de vie privée
2. Suivre les bonnes pratiques de développement
3. Intégrer les listes de contrôle de sécurité
4. Effectuer une revue automatisée de code
19
20. Vérification
1. Utilisation du Fuzzing
• Fichier
• Réseau
• Web
2. Revue de code
• Définir les priorités de revue de code :
• Code critique : noyau, utilisation d’éléments sensible
• Code important : code élevant les privilèges
• Code mineur : rarement utilisé.
3. Effectuer les tests de pénétration
• Boite noire
• Boite blanche
4. Revoir la surface d’attaque et la minimiser si possible
20
21. Diffusion
1. Effectuer une revue des manipulations de données
privées
2. Préparer les équipes au 2ème mercredi du mois
Loi de Murphy
3. Effectuer la revue finale de sécurité
Dernière version des documents projets et
risques à destination de l’équipe sécurité.
4. Publier la version et archiver une copie.
21
22. Réponse aux incidents
1. Définition des processus de réponses
• Equipe dédiées à la vie privée
• Equipes autres
2. Mise en place des communications
• PGP
3. Interaction avec le cycle de vie
22
24. Avant-propos…
• Personne n’a la solution !
• Sinon on ne serait pas aux aguets tous les 2èmes
mardi du mois.
• Sinon les bulletins du CERTA seraient vides…
• Et surtout Oracle ne mentirait pas sur son surnom*…
• La plupart des méthodologies sont en version beta mais
s’améliorent…
• Ceci est un exemple de ce que l’on peut faire
*:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)…
24
26. 0x10b
• Se jeter à l’eau :
Je corrige tous les problèmes de
sécurité que je trouve !
Si vous n’êtes pas prêts à
corriger, ne cherchez pas !
26
27. Le problème
• Confidentialité
• Protéger les données, les systèmes, les processus
d’un accès non autorisé
• Intégrité
• Assurer que les données, systèmes et processus
sont valides et n’ont pas été modifiés de manière non
intentionnelle.
• Disponibilité
• Assurer que les données, systèmes et processus
sont accessible au moment voulu
27
28. Le problème
• Traçabilité
• Assurer le cheminement de toute donnée, processus
et la reconstruction des transactions
• « Privacy »
• Assurer que les données personnelles sont sous le
contrôle de leur propriétaire
Conformité
Adhérer
aux
lois
et
réglementa0ons
Image
de
marque
Ne
pas
se
retrouver
à
la
une
du
journal
«
Le
Monde
»
suite
à
un
incident
28
31. Formation
• OWASP Top10 2010 : Les 10 risques les plus critiques
des applications
• Classification des Menaces (WASC)
Ø http://projects.webappsec.org/Threat-Classification
• CWE/SANS list :
Top 25 Most Dangerous Programming Errors.
• http://microsoft.com/sdl/
31
32. Définition des exigences
OWASP – ASVS ?
• Quelles sont les fonctionnalités à mettre en oeuvre dans les
contrôles de sécurité nécessaires à mon application
Spécifications/Politique de sécurité des
développements
• Quelle est la couverture et le niveau de rigueur à mettre en
oeuvre lors de la vérification de sécurité d'une application.
• Comment comparer les différentes vérifications de sécurité
effectuées
Aide à la revue de code
• Quel niveau de confiance puis-je avoir dans une application
Chapitre sécurité des contrats de développement ou
des appels d’offres !
32
33. Modélisation des attaques
• Utilisation des méthodologies :
• STRIDE
• ISO 27005 Garder a l’esprit
• SDL Threat Modeling Tool l’impact métier !
• …..
• Garder à l’esprit :
• 0x01 : la règle du 80/20
• 0x10b
Si vous n’êtes pas prêts à
corriger, ne cherchez pas !
33
40. Tests de pénétration
1. S’adresser à des cabinets/consultants dont le métier est
la gestion des risques informatiques.
2. Demander des rapports orientés métiers
Ø ne pas se contenter de rapports techniques
3. Demander des classifications compatibles avec votre
outil de bogue.
Ø Ne pas utiliser des référentiels non standards
4. Demande un transfert de compétences sur les failles
pour éduquer les acteurs
Ø Et donc savoir comment corriger
40
42. Et si vous commenciez ?
• Il y a trois pas à franchir
1. Commencer :
• Formation => cout == 0
• CheckList => cout == 0
• Outil de bogue =>
2. Je commence à utiliser ces fameuses
checklists et remplir l’outil de bogue
3. Je corrige tous les problèmes de sécurité
que je trouve !
42
43. A bientôt
Il n'y a qu'une façon d'échouer, c'est d'abandonner avant
d'avoir réussi [Olivier Lockert]
43