SlideShare une entreprise Scribd logo
Réalisé par: Hicham
Sécurité par conception
Secure by Design
Agile, Scrum, DevOps,
Github
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SLDC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion
Introduction
 La sécurité applicative est au centre des nouvelles menaces et des
intrusions récentes. Souvent centrées sur la protection des
infrastructures, les équipes sécurité sont souvent trop éloignées des
problématiques applicatives.
 Les développeurs savent très bien coder mais sont moins
performants au niveau de la sécurité et inversement. Dans le but de
savoir si une application est sécurisée ou non et dans l’optique d’un
travail plus performant, il est important que ces 2 mondes
communiquent et échangent. Car le pire, c’est de ne pas savoir.
 Outre la sécurité de l’infrastructure, quelle est l’arme de défense
contre les menaces informatiques?
 Réponse :
la bonne conception du code source de l’application.
Voici, la sécurité applicative.
Un système est aussi sûr que son lien le plus
faible.
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SLDC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion et perspectives
Qu’est ce que la sécurité applicative?
Sécurité applicative: (Définition selon ISO/IEC 27034:2011)
« La sécurité des applications est un processus effectué pour appliquer des
contrôles et des mesures aux applications d’une organisation afin de gérer
le risque de leur utilisation ».
« Les contrôles et les mesures peuvent être appliquées à l' application elle-
même (ses processus, les composants, les logiciels et résultats), à ses
données (données de configuration, les données de l'utilisateur, les
données de l'organisation), et à toutes les technologies, les processus et
acteurs impliqués dans le cycle de vie de l'application ».
Quelques statistiques
Pourquoi des applications ? (menaces internes)
Réseaux
Serveurs
Application
DICT:
 Disponibilité
 Intégrité
 Confidentialité
 Traçabilité
Pourquoi des applications ? (menaces externes)
Le périmètre de sécurité
Le périmètre de sécurité
Le périmètre de sécurité du passé…
Autrefois:
• Sécurité physique et d’infrastructure autour des applications de missions
(internes)
• Utilisateurs internes, appareils internes sous le contrôle de l’organisation
Hier:
• Applications internes déployées sur le Web avec +/- les mêmes mesures
• Applications Web => accessibles de tous : usagers légitimes et pirates
informatiques
• Plusieurs applications développées par des développeurs qui en
connaissent peu sur la sécurité
 Perte d’étanchéité du périmètre… par les applications Web
Le nouveau périmètre
Aujourd’hui :
• Applications éparpillées sur le Cloud, chez plusieurs fournisseurs,
utilisent plusieurs librairies et API tiers,
• Les applications connectées sont partout: mobiles, voitures, « wearable
computers », domotique, appareils électroniques…
Où est le périmètre?
 La sécurité applicative devient le nouveau périmètre
Les niveaux de défense
Port blocking
Filtering
Encryption
Spoofed packets, etc.
Réseau
Défendre le réseau
Updates
IIS hardening
ACLs
CAS
Logging
Least privilege
Account
management
Buffer overflows, illicit paths, etc.
Machine
Défendre la machine
Validation
Hashing
Encryption
Secrets Mgt.
Cookie Mgt.
Session Mgt.
Error handling
SQL injection, XSS, input tampering, etc.
Application
Défendre l’application
Menaces applicatives (OWASP TOP TEN – 2017)
A1 - Injection
A2 - Violation de
Gestion
d'Authentification
et de Session
A3 - Cross-Site
Scripting (XSS)
A4 - Références
directes non
sécurisées à un
objet
A5 – Mauvaise
configuration
Sécurité
A6 – Exposition de
données sensibles
A7 – Manque de
contrôle d’accès
au niveau
fonctionnel
A8 - Falsification
de requête
intersite(CSRF)
A9 - Utilisation de
composants avec
des vulnérabilités
connues
A10 –
Redirections et
renvois non
validés
OWASP (Open Web Application Security Project): Organisation mondiale à but non lucratif
http://www.owasp.org
Son rôle : sensibiliser à la sécurité applicative pour aider à prendre les bonnes décisions en
matière de sécurité des applications
Quelques faits
Comment trouver les vulnérabilités avant les pirates?
- Faire plus de balayages de
vulnérabilités?
- Faire davantage de tests
d’intrusion?
- Faire des révisions de code!
Intégrer la sécurité plus tôt dans le cycle de
développement
Observation:
Les coûts reliés aux corrections des risques de
sécurité augmentent de façon exponentiel
quand les corrections sont découvertes
tardivement dans le cycle de développement…
Évidence:
Prise en charge des enjeux de sécurité tout au
long du cycle de développement
Approche prôné par OWASP, NIST, Microsoft et
plusieurs autres organisations
Aux vulnérabilités applicatives…
ça prend des mesures applicatives!
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion et perspectives
Le cycle de de vie du développement
SDLC (Software Development Life Cycle)
Le « cycle de vie d'un logiciel », désigne toutes les étapes du
développement d'un logiciel, de sa conception à sa disparition. L'objectif
d'un tel découpage est de permettre de définir des jalons intermédiaires
permettant la validation du développement logiciel, c'est-à-dire la
conformité du logiciel avec les besoins exprimés, et la vérification du
processus de développement, c'est-à-dire l'adéquation des méthodes mises
en œuvre.
MaintenanceDéploiementTestDéveloppementArchitecture
et conception
Définition
du besoin
Modèles classiques de cycle de développement
Modèle en Y
Modèle en VModèle en cascade
Modèle en spirale
Méthodes de développement Agiles
Exemples de méthodes Agiles
SCRUM XP
(Extreme Programming)
DevOps
Développeurs Opérationnels
DevOps est une méthode de développement logiciel qui met
en avant la communication, la collaboration, l’intégration,
l’automatisation et les métriques entre développeurs et
opérationnels.
DevOps Outils
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion et perspectives
Qu’est-ce que le SSDLC?
Le SSDLC est l’acronyme pour le « Secure Software Develpment Life
Cycle ». C’est un processus continu contenant différents axes et étapes
permettant d’assurer et augmenter le niveau de sécurité d’une
application.
Dans le SSDLC, les tests de sécurité sont effectués tout au long du
processus de développement.
Framework SSDLC
 Microsoft SDL
 OWASP
OpenSAMM BSIMM
 Cigital Touchpoints
Norme: ISO/IEC
27034:2011
Processus du cycle de développement de la sécurité
Formation Exigences Conception Implémentation Test
Déploiement
et
Maintenance
• Formation de
base et
sensibilisationà
la sécurité
• Pré-requis de
sécurité
• Modélisation
des menaces
• Revues de
conception
• Modélisation
des menaces
• Revues de
code
• SAST
• Analyse des
dépendances
• DAST • Configuration
sécurisée
• Plan de
réponse à
incident
Phase préliminaire : Formation et Sensibilisation
Formation Exigences Conception Implémentation Test
Déploiement
et
Maintenance
Conception sécurisée
Tests de la sécurité
Objectifs:
 Connaître les différents types de vulnérabilités
et les contremesures associées,
 Comprendre l’enjeux de la sécurité,
 Connaître les bonnes pratiques de sécurité.
- Guides de l’OWASP
- Top 10 OWASP
Écriture de code sécurisé
Modélisation des menaces
Phase 1 : Exigences
Formation Exigences Conception Implémentation Vérification Réponse
Objectif 1:Prérequis de sécurité
Définir les exigences de sécurité en fonction du
contexte de l’application
L’application traite-elle de données sensibles
(militaire, médicale, etc.) ?
L’application est-elle exposée publiquement ?
Exigences DICT
Objectif 2 : Modélisation des menaces
Identifier et classer les potentielles menaces en
analysant l’architecture et les fonctionnalités de
l’application
Identification des dépendances
Identifier les ressources intéressantes pour
un attaquant
Identifier les différents types d’utilisateurs
et rôles
Catégoriser les menaces
Lister les contrôles à mettre en place
Lister les menaces potentielles
Définir la stratégie à appliquer
Phase 2 : Conception
Formation Exigences Conception Implémentation Vérification Réponse
Objectif :Prérequis de sécurité
S’assurer que l’architecture proposée ne
comporte pas de problème de sécurité
Protocoles sécurisés
Méthode
d’authentification/autorisation
Mécanisme de gestion des logs
Séparation des composants
Flux nécessaires
Phase 3 : Implémentation
Formation Exigences Conception Implémentation Test
Déploiement
et
Maintenance
SAST
Analyse statique
Standards utilisés :
TOP 10 OWASP, SANS Top 25,
guidelines PCI DSS, HIPAA
Outils :
VeraCode, Checkmarx,
WhiteHatSecurity, IBM
AppScan
Revues de code
Standards utilisés :
OWASP Code Review Guide
Analyse des
dépendances
Outils:
Nexus
DependencyCheck (OWASP)
WhiteHatSecurity
Jenkins
Phase 4 : Test
Formation Exigences Conception Implémentation Test
Déploiement
et
Maintenance
DAST
Analyse dynamique
Analyse des requêtes/réponses
à l’application
Standards utilisés :
TOP 10 OWASP, SANS Top 25,
guidelines PCI DSS, HIPAA
Outils :
VeraCode, Arachni, IBM
AppScan , miniFuzz,
AppVerifier, BinScop
5- Phase de déploiement et maintenance
Formation Exigences Conception Implémentation Test
Déploiement
et
Maintenance
Configuration sécurisée
Objectif :
Eviter les incidents de sécurité liés à la
configuration
Contremesures:
Déploiement automatisé
Checklist de vérification
Plan de réponse à incident
Répondre aux incidents de sécurité dans le
but de :
Restaurer les services
Minimiser les pertes
Colmater les failles exploitées
Réduire les risques qui pourraient survenir dans le
futur
Contenu:
Rôles et responsabilités de chacun
Actions immédiates en cas d’incident
Investigation en cas d’incident
Restauration des ressources affectées
Rapport sur l’incident survenu
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement logiciel (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion
Merci pour votre attention

Contenu connexe

Tendances

Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application web
Antonio Fontes
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
EyesOpen Association
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 

Tendances (20)

Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Ebios
EbiosEbios
Ebios
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application web
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 

Similaire à Développement sécurisé

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
Walter Michael TACKA
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
TelecomValley
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
Microsoft Technet France
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational_France
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
vangogue
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
ouiamlamghari12
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
Salah Triki
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
 
Offre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéOffre d'emploi Architecte sécurité
Offre d'emploi Architecte sécurité
Simstream
 

Similaire à Développement sécurisé (20)

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
OWF12/Security and Free Software
OWF12/Security and Free SoftwareOWF12/Security and Free Software
OWF12/Security and Free Software
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Offre d'emploi Architecte sécurité
Offre d'emploi Architecte sécuritéOffre d'emploi Architecte sécurité
Offre d'emploi Architecte sécurité
 

Dernier

Webinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptxWebinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptx
Institut de l'Elevage - Idele
 
Estimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABEEstimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABE
contact Elabe
 
Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024
contact Elabe
 
Les Français et les élections législatives
Les Français et les élections législativesLes Français et les élections législatives
Les Français et les élections législatives
contact Elabe
 
Les Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vagueLes Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vague
contact Elabe
 
Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024
contact Elabe
 
Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024
contact Elabe
 
Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?
Institut de l'Elevage - Idele
 
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
contact Elabe
 
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
contact Elabe
 
Productivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointementProductivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointement
La Fabrique de l'industrie
 

Dernier (11)

Webinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptxWebinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptx
 
Estimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABEEstimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABE
 
Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024
 
Les Français et les élections législatives
Les Français et les élections législativesLes Français et les élections législatives
Les Français et les élections législatives
 
Les Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vagueLes Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vague
 
Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024
 
Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024
 
Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?
 
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
 
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
 
Productivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointementProductivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointement
 

Développement sécurisé

  • 1. Réalisé par: Hicham Sécurité par conception Secure by Design Agile, Scrum, DevOps, Github
  • 2. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 3. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 4. Introduction  La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Souvent centrées sur la protection des infrastructures, les équipes sécurité sont souvent trop éloignées des problématiques applicatives.  Les développeurs savent très bien coder mais sont moins performants au niveau de la sécurité et inversement. Dans le but de savoir si une application est sécurisée ou non et dans l’optique d’un travail plus performant, il est important que ces 2 mondes communiquent et échangent. Car le pire, c’est de ne pas savoir.  Outre la sécurité de l’infrastructure, quelle est l’arme de défense contre les menaces informatiques?  Réponse : la bonne conception du code source de l’application. Voici, la sécurité applicative.
  • 5. Un système est aussi sûr que son lien le plus faible.
  • 6. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SLDC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 7. Qu’est ce que la sécurité applicative? Sécurité applicative: (Définition selon ISO/IEC 27034:2011) « La sécurité des applications est un processus effectué pour appliquer des contrôles et des mesures aux applications d’une organisation afin de gérer le risque de leur utilisation ». « Les contrôles et les mesures peuvent être appliquées à l' application elle- même (ses processus, les composants, les logiciels et résultats), à ses données (données de configuration, les données de l'utilisateur, les données de l'organisation), et à toutes les technologies, les processus et acteurs impliqués dans le cycle de vie de l'application ».
  • 9. Pourquoi des applications ? (menaces internes) Réseaux Serveurs Application DICT:  Disponibilité  Intégrité  Confidentialité  Traçabilité
  • 10. Pourquoi des applications ? (menaces externes)
  • 11. Le périmètre de sécurité
  • 12. Le périmètre de sécurité
  • 13. Le périmètre de sécurité du passé… Autrefois: • Sécurité physique et d’infrastructure autour des applications de missions (internes) • Utilisateurs internes, appareils internes sous le contrôle de l’organisation Hier: • Applications internes déployées sur le Web avec +/- les mêmes mesures • Applications Web => accessibles de tous : usagers légitimes et pirates informatiques • Plusieurs applications développées par des développeurs qui en connaissent peu sur la sécurité  Perte d’étanchéité du périmètre… par les applications Web
  • 14. Le nouveau périmètre Aujourd’hui : • Applications éparpillées sur le Cloud, chez plusieurs fournisseurs, utilisent plusieurs librairies et API tiers, • Les applications connectées sont partout: mobiles, voitures, « wearable computers », domotique, appareils électroniques… Où est le périmètre?  La sécurité applicative devient le nouveau périmètre
  • 15. Les niveaux de défense Port blocking Filtering Encryption Spoofed packets, etc. Réseau Défendre le réseau Updates IIS hardening ACLs CAS Logging Least privilege Account management Buffer overflows, illicit paths, etc. Machine Défendre la machine Validation Hashing Encryption Secrets Mgt. Cookie Mgt. Session Mgt. Error handling SQL injection, XSS, input tampering, etc. Application Défendre l’application
  • 16. Menaces applicatives (OWASP TOP TEN – 2017) A1 - Injection A2 - Violation de Gestion d'Authentification et de Session A3 - Cross-Site Scripting (XSS) A4 - Références directes non sécurisées à un objet A5 – Mauvaise configuration Sécurité A6 – Exposition de données sensibles A7 – Manque de contrôle d’accès au niveau fonctionnel A8 - Falsification de requête intersite(CSRF) A9 - Utilisation de composants avec des vulnérabilités connues A10 – Redirections et renvois non validés OWASP (Open Web Application Security Project): Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité applicative pour aider à prendre les bonnes décisions en matière de sécurité des applications
  • 17.
  • 19. Comment trouver les vulnérabilités avant les pirates? - Faire plus de balayages de vulnérabilités? - Faire davantage de tests d’intrusion? - Faire des révisions de code!
  • 20.
  • 21. Intégrer la sécurité plus tôt dans le cycle de développement Observation: Les coûts reliés aux corrections des risques de sécurité augmentent de façon exponentiel quand les corrections sont découvertes tardivement dans le cycle de développement… Évidence: Prise en charge des enjeux de sécurité tout au long du cycle de développement Approche prôné par OWASP, NIST, Microsoft et plusieurs autres organisations
  • 22. Aux vulnérabilités applicatives… ça prend des mesures applicatives!
  • 23. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 24. Le cycle de de vie du développement SDLC (Software Development Life Cycle) Le « cycle de vie d'un logiciel », désigne toutes les étapes du développement d'un logiciel, de sa conception à sa disparition. L'objectif d'un tel découpage est de permettre de définir des jalons intermédiaires permettant la validation du développement logiciel, c'est-à-dire la conformité du logiciel avec les besoins exprimés, et la vérification du processus de développement, c'est-à-dire l'adéquation des méthodes mises en œuvre. MaintenanceDéploiementTestDéveloppementArchitecture et conception Définition du besoin
  • 25. Modèles classiques de cycle de développement Modèle en Y Modèle en VModèle en cascade Modèle en spirale
  • 27.
  • 28. Exemples de méthodes Agiles SCRUM XP (Extreme Programming)
  • 29. DevOps Développeurs Opérationnels DevOps est une méthode de développement logiciel qui met en avant la communication, la collaboration, l’intégration, l’automatisation et les métriques entre développeurs et opérationnels.
  • 30.
  • 32. Agenda Introduction Sécurité Applicative Cycle de vie de développement (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion et perspectives
  • 33. Qu’est-ce que le SSDLC? Le SSDLC est l’acronyme pour le « Secure Software Develpment Life Cycle ». C’est un processus continu contenant différents axes et étapes permettant d’assurer et augmenter le niveau de sécurité d’une application. Dans le SSDLC, les tests de sécurité sont effectués tout au long du processus de développement.
  • 34. Framework SSDLC  Microsoft SDL  OWASP OpenSAMM BSIMM  Cigital Touchpoints Norme: ISO/IEC 27034:2011
  • 35. Processus du cycle de développement de la sécurité Formation Exigences Conception Implémentation Test Déploiement et Maintenance • Formation de base et sensibilisationà la sécurité • Pré-requis de sécurité • Modélisation des menaces • Revues de conception • Modélisation des menaces • Revues de code • SAST • Analyse des dépendances • DAST • Configuration sécurisée • Plan de réponse à incident
  • 36. Phase préliminaire : Formation et Sensibilisation Formation Exigences Conception Implémentation Test Déploiement et Maintenance Conception sécurisée Tests de la sécurité Objectifs:  Connaître les différents types de vulnérabilités et les contremesures associées,  Comprendre l’enjeux de la sécurité,  Connaître les bonnes pratiques de sécurité. - Guides de l’OWASP - Top 10 OWASP Écriture de code sécurisé Modélisation des menaces
  • 37. Phase 1 : Exigences Formation Exigences Conception Implémentation Vérification Réponse Objectif 1:Prérequis de sécurité Définir les exigences de sécurité en fonction du contexte de l’application L’application traite-elle de données sensibles (militaire, médicale, etc.) ? L’application est-elle exposée publiquement ? Exigences DICT Objectif 2 : Modélisation des menaces Identifier et classer les potentielles menaces en analysant l’architecture et les fonctionnalités de l’application Identification des dépendances Identifier les ressources intéressantes pour un attaquant Identifier les différents types d’utilisateurs et rôles Catégoriser les menaces Lister les contrôles à mettre en place Lister les menaces potentielles Définir la stratégie à appliquer
  • 38. Phase 2 : Conception Formation Exigences Conception Implémentation Vérification Réponse Objectif :Prérequis de sécurité S’assurer que l’architecture proposée ne comporte pas de problème de sécurité Protocoles sécurisés Méthode d’authentification/autorisation Mécanisme de gestion des logs Séparation des composants Flux nécessaires
  • 39. Phase 3 : Implémentation Formation Exigences Conception Implémentation Test Déploiement et Maintenance SAST Analyse statique Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Checkmarx, WhiteHatSecurity, IBM AppScan Revues de code Standards utilisés : OWASP Code Review Guide Analyse des dépendances Outils: Nexus DependencyCheck (OWASP) WhiteHatSecurity Jenkins
  • 40. Phase 4 : Test Formation Exigences Conception Implémentation Test Déploiement et Maintenance DAST Analyse dynamique Analyse des requêtes/réponses à l’application Standards utilisés : TOP 10 OWASP, SANS Top 25, guidelines PCI DSS, HIPAA Outils : VeraCode, Arachni, IBM AppScan , miniFuzz, AppVerifier, BinScop
  • 41. 5- Phase de déploiement et maintenance Formation Exigences Conception Implémentation Test Déploiement et Maintenance Configuration sécurisée Objectif : Eviter les incidents de sécurité liés à la configuration Contremesures: Déploiement automatisé Checklist de vérification Plan de réponse à incident Répondre aux incidents de sécurité dans le but de : Restaurer les services Minimiser les pertes Colmater les failles exploitées Réduire les risques qui pourraient survenir dans le futur Contenu: Rôles et responsabilités de chacun Actions immédiates en cas d’incident Investigation en cas d’incident Restauration des ressources affectées Rapport sur l’incident survenu
  • 42. Agenda Introduction Sécurité Applicative Cycle de vie de développement logiciel (SDLC) Approches de développement sécurisé (SSDLC) Démonstration (retour d’expérience) Conclusion
  • 43. Merci pour votre attention