On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !
"Seuls survivent ceux qui adaptent leur sécurité à leurs enjeux". Découvrez qu'en sécurité informatique, des mesures simples peuvent parfois suffire à se protéger de la majorité des attaques. Avec cette nouvelle approche de la sécurité, restez en avance sur vos concurrents... et sur les pirates informatiques.
Cette présentation expose les techniques, outils et procédures mis en œuvre pour sécuriser l’hébergement des sites web de nos clients, tout en respectant les contraintes métiers liées à leurs activités.
Nous montrerons, par des exemples concrets et des retours d’expérience, comment nos experts ont mis en place une bonne stratégie de défense des sites web de nos clients face aux attaques ciblées ou opportunistes: anticipation, analyse et réponse.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
Retrouvez le top 10 des bonnes pratiques de sécurité AWS par les experts sécurité de SecludIT. Notre solution pour vous aider dans la mise en place de ces bonnes pratiques :
https://elastic-workload-protector.secludit.com/
"Seuls survivent ceux qui adaptent leur sécurité à leurs enjeux". Découvrez qu'en sécurité informatique, des mesures simples peuvent parfois suffire à se protéger de la majorité des attaques. Avec cette nouvelle approche de la sécurité, restez en avance sur vos concurrents... et sur les pirates informatiques.
Cette présentation expose les techniques, outils et procédures mis en œuvre pour sécuriser l’hébergement des sites web de nos clients, tout en respectant les contraintes métiers liées à leurs activités.
Nous montrerons, par des exemples concrets et des retours d’expérience, comment nos experts ont mis en place une bonne stratégie de défense des sites web de nos clients face aux attaques ciblées ou opportunistes: anticipation, analyse et réponse.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
Retrouvez le top 10 des bonnes pratiques de sécurité AWS par les experts sécurité de SecludIT. Notre solution pour vous aider dans la mise en place de ces bonnes pratiques :
https://elastic-workload-protector.secludit.com/
Cette présenation fait un tour d’horizon des dernières avancées technologiques dans la cybersécurité. Après une semaine d’immersion dans Washington DC, la capital cyber mondiale, Sergio Loureiro, PDG de SecludIT, résume les dernières « trends » du domaine et montre ce que le futur nous réserve en termes de cybersécurité.
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Comment se protéger contre les menaces de CTB Locker (ransomware)?ATN Groupe
CTB-Locker : l'antivirus ne suffit plus!
CTB-Locker est un Ransomware qui encrypte vos données en utilisant un système de chiffrement fort. Vous devez ensuite payer une rançon (jusqu'à 1600 euros) afin de déverrouiller ses fichiers. En participant à notre Webinaire de 30 minutes ou en téléchargeant notre livre blanc, découvrez dès à présent quelles sont les parades.
http://goo.gl/fA1Nyc
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Symantec
- Un condensé de l’actualité des vulnérabilités et attaques ciblées du mois : Destover, FOVI, SPE, IMSI …
- Les 7 prévisions "cyber risques" pour l'année 2015
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...NBS System
Présentation donnée au cours des Assises de la Sécurité 2017
NBS System et Amazon Web Services réalisent un tour d’horizon des menaces et des doutes auxquels les clients font face sur le cloud AWS, avant d’expliquer comment s’en protéger.
Cette présenation fait un tour d’horizon des dernières avancées technologiques dans la cybersécurité. Après une semaine d’immersion dans Washington DC, la capital cyber mondiale, Sergio Loureiro, PDG de SecludIT, résume les dernières « trends » du domaine et montre ce que le futur nous réserve en termes de cybersécurité.
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Comment se protéger contre les menaces de CTB Locker (ransomware)?ATN Groupe
CTB-Locker : l'antivirus ne suffit plus!
CTB-Locker est un Ransomware qui encrypte vos données en utilisant un système de chiffrement fort. Vous devez ensuite payer une rançon (jusqu'à 1600 euros) afin de déverrouiller ses fichiers. En participant à notre Webinaire de 30 minutes ou en téléchargeant notre livre blanc, découvrez dès à présent quelles sont les parades.
http://goo.gl/fA1Nyc
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Symantec
- Un condensé de l’actualité des vulnérabilités et attaques ciblées du mois : Destover, FOVI, SPE, IMSI …
- Les 7 prévisions "cyber risques" pour l'année 2015
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...NBS System
Présentation donnée au cours des Assises de la Sécurité 2017
NBS System et Amazon Web Services réalisent un tour d’horizon des menaces et des doutes auxquels les clients font face sur le cloud AWS, avant d’expliquer comment s’en protéger.
La conception d'une plateforme est toujours délicate à initier.
Comment démarrer? Quelle est la démarche à adopter pour concevoir une architecture? Quel est le modèle à appliquer: event streaming, orchestration ou chorégraphie? Au travers d'un besoin utilisateur, nous prendrons notre "casquette" d'architecte et déroulerons devant vous une étude pour une toute nouvelle plateforme "Donut @ Home".
Après avoir analysé le besoin, confrontés nos idées et convictions devant vous, nous choisirons, parmi toutes les solutions possibles, quelle est la "moins pire".
Nous vous solliciterons pour valider notre conception et les exemples d'implémentation possibles.
A la fin de cette présentation, vous aurez des clés pour penser et démarrer les études de vos architectures en toute sérénité (ou presque).
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
La Direction Générale des Entreprises vous propose d'en apprendre plus sur les menaces cyber qui concernent les petites structures ainsi que sur les solutions dont vous pouvez bénéficier.
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
Voici les présentations des intervenants présents lors de l'atelier Extr4.0rdinaire du 19 octobre 2023
Retrouvez tous les conseils de nos experts pour protéger au mieux votre entreprise contre les cyberattaques !
Competitic - Hebergement - numerique en entreprise 2015COMPETITIC
Choisir son hébergeur de site internet, connaître les critères importants pour choisir l'offre la plus adaptée, bien border les contrats pour avoir les meilleures garanties.
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages
(cloud computing) : vraie révolution ou pétard mouillé ? ». Avec Bruno Schroder, National Technology Officer, Microsoft, et Olivier Loncin, spécialiste Google Apps.
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...NBS System
Présentation support d'un atelier d'échanges sur le thème de la gestion de crise de sécurité informatique.
Évènement "Très Haute Sécurité", le 16 novembre 2017.
This presentation sums up the Magento vulnerabilities known to date, but also the classic exploitable methods that do not include specific flaws, and other potentially exploitable security flaws on Magento.
We will also show you how to secure the essential points for your Magento to be as safe as possible.
Magento performances 2015 best practicesNBS System
Magento has known many functional and technical updates, as well as major security flaws, in 2014 and 2015. Many clients wish to migrate their platforms to Amazon, and to set up ASGs (Auto Scaling Groups). This presentation shows the best practices we developped or saw our clients and partners set up during these years.
Le B2B est le prochain axe de croissance majeur pour l’e-commerce. Les pirates, à l’affût des nouvelles tendances, prennent également très au sérieux cette tendance.
NBS System vous expose les raisons fondamentales qui font que le B2B va devenir la cible principale des pirates, dès 2016. Nous révélerons comment et pourquoi notre témoin Brady Corp. a décidé de prendre les devants et de protéger ses clients face à cette nouvelle menace. Vous découvrirez pourquoi le B2B est si attractif pour les cybercriminels, leurs méthodes et les solutions permettant de sécuriser au mieux une activité B2B en ligne.
After more than 6 months of analyses, dozens of interviews with editors and a tool developped internally to find out the market shares of each solution, our Benchmark of e-commerce solutions came out in 2013, screening 12 solutions through 160 pages.
The new version of this benchmark will be published in 2016.
Après plus de 6 mois d’analyses, des dizaines d’entretiens avec les éditeurs et un outil développé en interne pour déceler les parts de marché de chaque solution, notre Benchmark des Solutions e-commerce est sortie en juin 2013, passant au crible 12 solutions au travers de 160 pages.
La prochaine édition, actualisée, sera publiée en 2016.
La réussite d’un site de vente en ligne tient à de nombreux aspects ; avoir une activité e-commerce, c’est construire un grand puzzle où chaque pièce doit être à sa place. Le connecteur de paiement étant un maillon essentiel de cette chaîne, nous avons donc décidé d’en parler dans cet ouvrage.
Après plus d’un an de travail, NBS System publie son Livre Blanc des Connecteurs de Paiement en septembre 2014. Il a pour but d’aider les e-Commerçants à choisir facilement une solution adaptée à leur projet, tout en expliquant en détail les mécanismes des systèmes de paiement.
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
1. Les Assises de la Sécurité 2016
EXPERT en TRES HAUTE SECURITE
LEADER en INFOGERANCE ECOMMERCE
WWW.NBS-SYSTEM.COM
EVALUER ET CONTROLER LA SECURITÉ DE SES
PRESTATAIRES CLOUD, PaaS et SaaS
Intervenants
Thibault Koechlin
Emile Heitor
2. 1990 – 2016: 50 Nuances d’hébergement
‘90 « datacenter » on-premise
‘00 « SI internalisé & Liaison DC »
‘10 « SI minimaliste & Déporté en DC »
‘15 « SaaS, plus de SI »
3. Legacy: 1990 - 2000
Le règne du On-Premise
Aka l’informatique-à-papa
4. Self-hosted
• Serveurs contrôlés par l’IT interne
– Faible industrialisation
– Faible sensibilisation
• Politique de patching inexistante
• Robustesse des prestataires peu regardée
– Menaces locales
• Disquettes
• Collaborateur malveillant
• Pirates
– Début des accès à l’Internet
• Workstations souvent en DMZ
• Peu ou pas de filtrage
4
5. Self-hosted
• Point de vue « attaque »
– Attaques ciblées, souvent par ingénierie sociale
– L’exploitation reste un domaine émergeant (phrack : 85)
• Point de vue « défense et évaluation »
– Pratiquement inexistant
5
7. L’Internet ou le cheval de Troie
• Liaisons et ouverture sur le monde
• Avènement des DataCenters
– Faiblement sécurisés et normalisés
– Infrastructure publique
– Protocoles d’administration en clair
– Liaisons On-Premise ➡ DC
• Méthodologies de développement
– Versionning trop peu utilisé
– Revues de code pratiquement inexistantes
7
8. Premier shift de paradigme
• Le tournant :
– Internet accessible
• Point de vue « attaque »
– L’ère de l’exploitation de failles mémoire
– Engouement des mafias limité
• Et la défense ?
– L’analyse du risque d’intrusion reste balbutiant
– On évalue autant la robustesse des infrastructures que la qualité des
systèmes
8
10. VMware, Xen, KVM…
• Technologies de virtualisation éprouvées
– Explosion du nombre de machines fantômes
– Dématérialisation, déploiement accessible à tous
• Fin des problématiques d’infrastructure et de casse matérielle
– On l’a échangé contre la gestion de la sécurité des hyperviseurs, dont les patchs
coutent « cher » en downtime.
• Extension du domaine de la lutte
– OVH, online, Hetzner : le nouveau temporaire qui dure
– Les faibles coûts aidant, augmentation exponentielle
10
11. Maturité Défensive
• Externalisation partielle des problématiques d’infra :
– Mieux maitrisées ou déléguées
– Echange contre du contrôle d’exposition publique
– Démocratisation du VPS généralise aussi les DDoS
• Sécurité des solutions de virtualisation : encore peu travaillé, les
attaques bluepill/redpill restent des fantasmes techniques.
– Début de XEN : 2003
– Rachat de XEN par Citrix : 2007
– Première XSA : 2011 (dernière XSA : 190)
11
12. Maturité Attaquants
• Bien que les SQLi existent depuis ~2000, cette époque voit leur
popularisation :
– De plus en plus complexe pour les attaquants de se baser juste sur des bugs de
corruption de mémoire :
• les mises à jour se font plus régulièrement,
• certaines solutions de hardening apparaissent.
– Vulnérabilités « web » beaucoup plus accessibles
• création d’exploit fonctionnel et stable
• Temps de création passe de jours/semaines à quelques heures/minutes
• Démocratisation des attaques
– Augmentation de la surface d’attaque
12
13. Comment évaluer ses prestataires ?
• PSSI :
– « Politique de patch »
– Audit réel des prestataires
– Augmentation d’applications web customs développe les tests
d’intrusions et audit de code source.
• Avoir un WAF/IDS/IPS est encore rare
13
14. Deuxième shift de paradigme
• Shift :
– Je sème mes machines virtuelles à tous vents
• Point de vue attaquant
– L’ère du « OR 1=1 » : Exploitation de failles web.
– Audit et création d’exploits beaucoup plus triviales.
– Mafias « classiques » s’emparent du sujets : l’éco-système se met doucement
en place (vente des kits de phisihing, mais commerce des DDoS reste modéré)
• Et la défense ?
– Analyse du risque d’intrusion mature : PSSI et de patching policy
– Périmètre partiel : la virtualisation encore laissée à l’écart.
14
15. « On peut configurer 1000
microservices 1 fois… non »
2016 : l’agilité au service du chaos
17. CI : la constitution du container
• De bonnes habitudes sont apparues
– Intégration continue
– Code repositories
– Orchestration & industrialisation
– Plus grande coopération communautaire
• De fausses idées se sont installées
– Plus besoin d’expert système
– Grace aux machines éphémères, plus besoin de veille
• Ainsi que de mauvais réflexes
– Des centaines de milliers de containers fantômes
– Architecture au rabais, au mépris de la pérennité
– Nouvelle forme de shadow-IT : le container devient la nouvelle boite de Schrodinger
17
19. Réversibilité et pérennité
• Dans quelle mesure le prestataire et/ou la solution proposée est elle réversible ou
100% dépendante de telle ou telle technologie d’un provider de cloud public.
• L’application web Serverless tout en fonction lambda développé pourrait-elle
fonctionner sans API Gateway et les buckets S3 ?
• Technologies donnant l’illusion de l’isolation : passerelle directe vers toute
l’infrastructure
– Nécessité d’un grand contrôle des accès
– Revues de code plus importantes que jamais
• Dépendance aux API et modifications du fournisseur
19
22. Evaluer la sécurité du prestataire ?
• Disponibilité :
– Plus aucun contrôle sur les opérations d’infrastructure (maintenance, MàJ…)
– Nécessité de prendre en compte une infrastructure volatile, éphémère
– Auto-scalabilité : Nécessité pour le prestataire de réévaluer ses méthodologies
• Confidentialité :
– Quel médias sont utilisés pour le stockage ? Sont-ils chiffrés ? Qui détient les clés privées ?
– Les droits sur les composants sont-ils audités à intervalle régulier ?
• Intégrité :
– Le découpage des utilisateurs et groupes est-il suffisamment fin (root account car « plus facile » )
– A partir de quel niveau de privilèges les utilisateurs disposent de la 2FA ?
• Traçabilité :
– Reporting automatique ?
– Audit récurrent automatisé sur les droits / filtrage (ie. Scout)
22
24. Contact
NBS System
8 rue Bernard Buffet,
75017 Paris
+33.1.58.56.60.80
contact@nbs-system.com
24
Présenté par
Emile HEITOR
&
Thibault KOECHLIN
Retrouvez-nous sur notre
stand n°36