Le document présente les défis et les solutions en matière de sécurité des systèmes d'information, en mettant l'accent sur l'importance de l'implication interne et de l'automatisation des processus. Il aborde également des meilleures pratiques pour la gestion des risques et la sécurisation des infrastructures, tout en soulignant la nécessité d'une collaboration constante entre les équipes de sécurité et d'opérations. Des mesures concrètes comme l'audit de code, la mise en place de procédures standards, et la formation des équipes sont recommandées pour garantir une sécurité robuste.

1. Assises de la Sécurité 2015
Exploitabilité & Sécurité :
Challenge relevé
LEADER en INFOGERANCE ECOMMERCE
EXPERT en TRES HAUTE SECURITE
Grow your business safely
WWW.NBS-SYSTEM.COM

2. Historique
• 15 ans d'expérience dans l'hébergement
– 3000+ sites web hébergés
– Cloud privé 100% français
• 15 ans d'expérience dans la sécurité
• Jonction des deux mondes en 2011
– “beta-test” d’envergure
• CerberHost annoncé en 2012
– Solution auditée, légalement ou pas
– Certification PCI/DSS annuelle
2Thibault Koechlin & Emile Heitor

3. Un réel challenge ?
3Thibault Koechlin & Emile Heitor
Wordpress, 11 ans, 199 CVE, ~33 RCE SSH, 16 ans, 38 CVE, ~2 RCE

4. 4
Ou
Constats

5. Constats
5Thibault Koechlin & Emile Heitor
De l’attaque initiale
à la compromision*
Source : étude VERIZON “Data Breach Investigation Report” de 2012
De la compromision
à la découverte*
* dans les grandes organisation

6. Constats
6Thibault Koechlin & Emile Heitor

7. Impliquer l’interne : en amont
Profiter des compétences internes disponibles
• Identification des enjeux
– Création d’une matrice de risques « métiers » et « techniques»
• Aider dans la sélection des prestataires
– Réponse préventive au TOP10 OWASP
7Thibault Koechlin & Emile Heitor

8. Impliquer l’interne : pendant la construction
8Thibault Koechlin & Emile Heitor
Aider dans la mise en place des best practices
• Mesures génériques
– Back-Office : authentification par certificat, filtrage des back-office par IP, pré-
authentification HTTP, forcer le HTTPS …
• Décolérer de l’applicatif
– Filtrages flux entrants/sortants, Forcer des piles applicatives récentes
• Mesures spécifiques
– Suhosin, modules spécifiques de sécurité, contrôle de robustesse des mots de
passe

9. Impliquer l’interne : avant la phase de recette
En amont de la phase de recette
• Inventaire des composants logiciels (veille)
• Utilisation d’outils pour revue de sécurité
– Burp, Arachni, Zap
• Processus de consolidation
– Arachni (natif), ThreadFix (3rd party)
• Revue de plateforme
– Mise à Jour / Configuration des composants systèmes
9Thibault Koechlin & Emile Heitor

10. Clients et fournisseurs : encadrer, normaliser, procédurer
• Accompagnement du projet dès l’avant-vente
– Méthodes d’accès
– Validation des flux
– Audit de code
• Procédures standards, compatibles PCI/DSS
– Suivi des évolutions
• Chiffrement, autorisations de flux contrôlées, 2FA
10Thibault Koechlin & Emile Heitor

11. Un impératif, l'automatisation
• L'artisanat : l'impossible compatibilité
• Architecture sous contrôle = cohérence des méthodes et outils
• Industrialisation, automatisation, orchestration = contrôler la masse
11Thibault Koechlin & Emile Heitor

12. Jugeetpartie: obligationd'uneéquipedédiéeàlavigilance
12Thibault Koechlin & Emile Heitor
• Le RSSI est indépendant : l'infrastructure lui doit des comptes
• Interaction omniprésente entre opérations et sécurité :
validations mutuelles
– ie. Scan nessus mensuel + ouverture de ticket pour tracer les correctifs
• Pas de choix de direction technique sans consultation et
validation SOC/SecOPS

13. Processus et formations
• Toutes les équipes sont sensibilisées
• Formations régulières promulguées par l‘équipe sécurité
• Escalades encadrées par des procédures claires
– Service client, Infrastructure, SecOPS
13Thibault Koechlin & Emile Heitor

14. Procédure de déploiement
14Thibault Koechlin & Emile Heitor

15. Procédure de Revue de Sécurité
15Thibault Koechlin & Emile Heitor

16. Contact
NBS System
Adresse :
8 rue Bernard Buffet,
Immeuble Le Cardinet – 5ème étage
75017 Paris
Mail : contact@nbs-system.com
Téléphone : +33.1.58.56.60.80
Support technique : +33.1.58.56.60.88
Fax : +33.1.58.56.60.81
16
Atelier donné aux Assises de la Sécurité
le 02/10/16
par Emile Heitor et Thibault Koechlin
Thibault Koechlin & Emile Heitor