Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
Source code security review challenge at Confoo 2012 - Montreal (confoo.ca)
The audience was challenged in attempting to spot security vulnerabilities in a series of source code examples.
Les projets Drupal d'envergure s'intègrent toujours au sein d'un SI complexe avec de forts enjeux de sécurité. Pas une semaine sans un scandale d'intrusion, de piratage ou de problème de sécurité informatique, qui peuvent coûter des centaines de millions d'euros (cf. Sony).
Comment vendre Drupal vis à vis des attentes et des craintes des grands comptes vis à vis de la sécurité ?
Comment Drupal adresse les principaux risques identifiés OWASP ?
Comment sécuriser une application Drupal au plus haut niveau ?
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)
Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011
Strong Authentication in Web Application #SCS IIISylvain Maret
Swiss Cyber Storm 3 Security Conference / OWASP Track
Strong Authentication: State of the Art 2011
Risk Based Authentication
Biometry - Match on Card
OTP for Smartphones
OTP SMS
PKI
SuisseID
Mobile-OTP
OATH (HOTP, TOTP, OCRA)
Open Source approach
How to integrate Strong Authentication in Web Application?
OpenID, SAML, Identity Federation for Strong Authentication
API, SDK, Agents, Web Services, Modules
PAM, Radius, JAAS
Reverse Proxy (WAF) and WebSSO
PKI / SSL client authentication
PHP example with Multi-OTP PHP class
AppSec (Threat Modeling - OWASP)
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
Strong Authentication in Web Application: State of the Art 2011
* Risk Based Authentication
* Biometry - Match on Card
* OTP for Smartphones
* PKI
* Mobile-OTP
* OATH-HOTP
* TOTP
* Open Source approach
How to integrate Strong Authentication in Web Application
* OpenID, SAML, Liberty Alliance / Kantara
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS
* Reverse Proxy (WAF) and WebSSO
* PKI / SSL client authentication
* PHP example with Multi-OTP PHP class
Source code security review challenge at Confoo 2012 - Montreal (confoo.ca)
The audience was challenged in attempting to spot security vulnerabilities in a series of source code examples.
Les projets Drupal d'envergure s'intègrent toujours au sein d'un SI complexe avec de forts enjeux de sécurité. Pas une semaine sans un scandale d'intrusion, de piratage ou de problème de sécurité informatique, qui peuvent coûter des centaines de millions d'euros (cf. Sony).
Comment vendre Drupal vis à vis des attentes et des craintes des grands comptes vis à vis de la sécurité ?
Comment Drupal adresse les principaux risques identifiés OWASP ?
Comment sécuriser une application Drupal au plus haut niveau ?
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)
Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011
Strong Authentication in Web Application #SCS IIISylvain Maret
Swiss Cyber Storm 3 Security Conference / OWASP Track
Strong Authentication: State of the Art 2011
Risk Based Authentication
Biometry - Match on Card
OTP for Smartphones
OTP SMS
PKI
SuisseID
Mobile-OTP
OATH (HOTP, TOTP, OCRA)
Open Source approach
How to integrate Strong Authentication in Web Application?
OpenID, SAML, Identity Federation for Strong Authentication
API, SDK, Agents, Web Services, Modules
PAM, Radius, JAAS
Reverse Proxy (WAF) and WebSSO
PKI / SSL client authentication
PHP example with Multi-OTP PHP class
AppSec (Threat Modeling - OWASP)
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
Strong Authentication in Web Application: State of the Art 2011
* Risk Based Authentication
* Biometry - Match on Card
* OTP for Smartphones
* PKI
* Mobile-OTP
* OATH-HOTP
* TOTP
* Open Source approach
How to integrate Strong Authentication in Web Application
* OpenID, SAML, Liberty Alliance / Kantara
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS
* Reverse Proxy (WAF) and WebSSO
* PKI / SSL client authentication
* PHP example with Multi-OTP PHP class
Web security track - opening talk:
OWASP & OWASP Switzerland
Swiss Cyber Storm 3 (Rapperswil, May 2011)
Original powerpoint slides can be downloaded and re-used under following conditions:
- you're free to copy, distribute and transmit the work
- you're free to adapt the work
- if you alter, transform, or build upon this work, you may distribute the resulting work under the same or similar rights to this one
You want to start integrating security in your web application project but you don't know where to start and don't have access to software security professionals. What are the "cheapest" while very efficient activities that you can already do by yourself?
Agenda:
-Understanding the need for information security and privacy
-Secure design: key principles
-Threat modeling and analysis: building your first threat model and identifying the major risks in your web application
- Testing the security of your web application
- Understanding the big picture: what is a secure SDLC
- Cheap and efficient security activities that might be started immediatly in your SDLC
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
CONFIANCE NUMERIQUE : La sécurité de bout en bout - CLUSIR Aquitainepolenumerique33
Pôle Numérique CCI Bordeaux s'est associé à sa façon au mois de la cybersécurité en Europe en organisant le 10 octobre dernier un atelier sur la "sécurité des échanges de données sur Internet" avec ses partenaires l'Equipe N'Tech du groupement de Gendarmerie Départementale de la Gironde, le Clusir Aquitaine et la société Arrowsoft.
Cette présentation s'adresse au secteur de la banque-assurance désireux de connaitre les APIs. Elle fut présentée par Olivier Picciotto lors de l'édition 100% API de La French Mobile Day 2015.
A propos : Convertigo est le premier éditeur de la MADP (Mobile Application Development Platform) en tant qu’Open source.
Mon intervention lors la 1ère Web Master Week, à l'Université Lille 3 le 10 janvier 2012, sur la structuration et les enjeux de ma veille dédiée à l'innovation.
de la veille pour l'innovation - innoveilleÉric Delcroix
Presentation de David FERRON d.ferron@grand-lille.cci.fr , chef de projets innovation à la CCI Grand Lille, pour le web Master week : de la veille pour l'innovation - innoveille (@innoveille)
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
L’OSSIR est un Groupe de travail parisien d’experts sécurité, SecludIT et Frédéric Donnat (Co-fondateur et Dir.Technique) sont ravi d’avoir pu présente Elastic Detector, la solution de surveillance continue et adaptative. En effet la solution répond au besoin des RSSI en terme de gain de temps sur leurs tâches quotidiennes.
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
La Direction Générale des Entreprises vous propose d'en apprendre plus sur les menaces cyber qui concernent les petites structures ainsi que sur les solutions dont vous pouvez bénéficier.
Similaire à Geneva Application Security Forum: Vers une authentification plus forte dans les applications web" (20)
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution
maintenant éprouvée depuis longtemps pour répondre à ce besoin.
Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Strong Authentication in Web Applications: State of the Art 2011Sylvain Maret
Sylvain’s talk will focus on risk based authentication, biometry, OTP for smartphones, PKIs, Mobile-OTP, OATH-HOTP, TOTP and the open-source approach to this subjet.
PHP Demo with multiotp class.
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Sylvain Maret
First- hand feedback on the implementation of identity management within a bank.
Technological choices ? Issues ? Concept and design, implementation, training and human aspects. A hands-on experience.
Corrélation d'évènements dans un environnement VoIP avec ExaProtectSylvain Maret
Ce projet est né d’une initiative d’e-Xpert Solutions SA, Exaprotect et IICT qui désiraient collaborer dans le domaine de la sécurité VoIP. En effet, grâce à l’aboutissement de la première étape du projet Vadese (www.vadese.org), l’IICT souhaitait déployer une solution de type SIEM (Security Information and Event Management) disponible sur le marché dans le but de créer un démonstrateur de fonctions de détection et traitement des alertes VoIP.
L’objectif de ce travail de diplôme consiste essentiellement à repérer des sessions SIP et de détecter des attaques complexes basées sur la corrélation de messages SIP et RTP/RTPC utilisés lors de l’établissement d’une communication téléphonique ainsi que l’enregistrement et l’actualisation du client (UA) auprès du proxy SIP.
Comment Sécurisé son Identité NumériqueSylvain Maret
Usurpation de votre identité ! Réalité ou fiction ?Identité numérique et authentification forte
Utilisation de SeatBelt de Verisign
Protection de vos comptes Linkedin, Facebook et Google
Sylvain Maret 7 juin 20009
Geneva Application Security Forum: Vers une authentification plus forte dans les applications web"
1. Geneva Application Security Forum 2010
« Vers une authentification plus forte dans les applications web »
Introduction
Antonio Fontes
Chapter Leader - OWASP Geneva
ThinkSwiss—Anticipate the Future
4. Objectifs OWASP 2010
• Renforcer le pont créé avec les industries
• Atteindre les développeurs et les décideurs
• Accroitre la collaboration inter-chapitres
• Continuer la mission de promotion
#4
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
5. OWASP Genève
• Structure:
– 1 responsable de section
– 1 membre donateur
– 66 inscrits à la liste de diffusion
– Situation financière: P/L: CHF 0.- (100% sponsorings)
• Activités 2009:
– Spring 2009 Meeting (90 participants)
– HEIG Yverdon: séminaire top 10 intégré au cursus master
– 2ème semestre 2009: actions de promotion de l’OWASP
#5
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
6. OWASP Genève
• Activités et objectifs 2010:
– Geneva Application Security Forum
– Accroitre la présence en conférences (Confoo Montréal mars 2010)
– Promouvoir l’OWASP en Suisse romande:
• Dépasser les 200 adhésions à la liste
• >10% de membres donateurs (25 membres)
– Promouvoir la sécurité des applications web:
• Campagne d’évangélisation (blogs, conférences, etc.)
#6
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
11. « Vers une authentification plus
forte dans les applications web »
#11
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
12. Le besoin d’authentification forte
• 62% des brèches: réalisées via les applications
(Forrester, mai 2009)
• 88% des applications développées en interne
exposent l’entreprise (Veracode, mars 2010)
• 2% des applications sous-traitées sont
évaluées en matière de sécurité (Veracode, mars 2010)
#12
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
13. • L’analyse se base pourtant sur des logiciels de
tous types! (client/serveur, web, embarqué,
etc.)
#13
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
14. Le besoin d’authentification forte
• Forte croissance dans l’utilisation des
applications mobiles
• Accès transparent aux services, à partir de
multiples points de connexion
#14
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
15. Le besoin d’authentification forte
• Risques d’interception (en ligne ou via
malware, ou keylogger)
• Attaques sociales, phishing
• Risque accru d’un stockage de mot de passes
risqué
• XSS + « mot de passe » = Vol d’identité assuré!
#15
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
16. L’authentification forte
• Une combinaison:
– Ce que je sais
– Ce que je suis
– Ce que je possède
• Des secrets uniques
– Chaque session est authentifiée par un secret
différent
• Une protection accrue de l’identité
#16
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
17. Geneva Application Security Forum 2010
• Mission:
– Encourager les organisations à réduire le risque
d’usurpation et de vol d’identité dans les
applications web.
– Sensibiliser à la gestion des identités
• Par la délégation
• Par la fédération
– Faire connaître l’authentification forte
#17
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
18. Programme
• Accueil (selon retard…)
• 18h30: Sylvain Maret (OpenID Suisse romande)
– L’intégration des technologies d’authentification
forte dans les applications web
• 19h05: Philippe Leothaud (CTO, Bee Ware)
– L’authentification dans les contrôles de sécurité: les
mesures proposées par l’OWASP
#18
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
19. Programme
• 19h40: Robert Ott (Président OpenID Suisse,
fondateur ClavID)
– La fédération des identités
#19
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
20. Programme
• 20h15: Fête! Cocktail
Offert par:
– Kiosques:
• OWASP
• OpenID, ClavID (activation de vos clés Ubikey)
• Bee Ware
• MyBestID
• 21h30: Fin.
#20
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
21. Divers
• Vos clés Ubikey: activables au kiosque OpenID
• Pauses:
– 5 minutes entre chaque intervention
– Toilettes, distributeurs de boissons
– Zone GSM de très haute qualité (réception et
résonnance) dans le hall!
• Assistance:
#21
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
22. « Bonne soirée! »
#22
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future