SlideShare une entreprise Scribd logo
Sécurité des applications:
développements internes & Open
Source
Kamel Moulaoui kamel.moulaoui@fr.ibm.com
MeeetUp
Mars, 2018
2 IBM Security
Nous utilisons un
scanner de vulnérabilité
réseau
Le mythe et les croyances subsistent
Nous réalisons de
l’analyse de code
Nous auditons une fois par
an une application par des
testeurs
Nos développeurs ont suivi
une formation sur la sécurité
des applications
3 IBM Security
Les menaces de sécurité des applications
4 IBM Security
Les menaces de sécurité des applications
5 IBM Security
Anatomie d’une application et les différentes contributions
Développements internes
Réutilisation de code existant
Développements sous-traités
Composants et librairies tiers
6 IBM Security
Open Source
Open Source
Open Source
Open Source
Open Source
Open Source
Open
Source
Open
Source
Open
Source
Open Source
Open
Source
Et l’Open Source dans ces contributions ?
Introduit par les développeurs
Embarqué dans le code existant
Introduit dans le code sous-traité
Composants et librairies tiers provenant de l’Opens Source
Composants et librairies tiers provenant d’éditeurs
Forrester: How To Leverage DevOps Trends To Strengthen
Applications Dec. 2016
“Approximately 80% to 90% of the code in modern applications is from open source
components, and open source components that are at least two years old have three times
the number of vulnerabilities. Even when developers are diligent about using newer third-
party libraries, these libraries often use other libraries of their own, resulting in latent
vulnerabilities that expose themselves at a later date.
7 IBM Security
Facile de créer des applications
Les composants Open Source représentent en
moyenne 60% à 80% du code d’une application
8 IBM Security
Quelle stratégie adopter ?
Faut-il privilégier les tests statiques ou dynamiques ?
Une seule technique est elle suffisante ?
Qui va réaliser les tests ?
Faut-il automatiser les tests ?
Faut-il réaliser des tests sur toutes les applications
Comment gérer la sécurité du code Open Source embarqué ?
Quel effort organisationnel pour la réalisation des tests ?
Comment communiquer les résultats des tests aux développeurs ?
Nos applications sont-elles conformes aux règlementations ?
Les Tests de sécurité dans DevOps ?
9 IBM Security
Le Constat:
Étude: Comment faire de la sécurité des applications une discipline gérée stratégiquement
Indépendamment menée par Ponemon Institute LLC - Mars 2016
Résultats complets du sondage
Seulement "11% des sondés
affirement que leur programme
est mature et que le sujet est
pleinement maitrisé"
L’approche et les innovations IBM
11 IBM Security
Une gamme complète de techniques d'évaluation des applications pour
fournir une analyse de sécurité approfondie
Analyse Statique
- Analyse de Code Source
- En phase de développement
- Analyse par Taint / Pattern
Matching
Analyse Dynamique
- Corrélation des tests
statiques et dynamiques
- Assistance à la correction
par identification des lignes
de code
Analyse Hybride
11
- Analyse en ligne de l’application
- En phase de test
- Test d’intrusion par altération des
requêtes http
Analyse de code Coté Client
- Analyse du code javascript
téléchargé et exécuté coté client
Analyse Run-Time
- Combine l’analyse dynamique et
instrumentation du serveur d’application
- Plus de résultats, meilleur précision
Failles de sécurité
potentielles
Applications
Analyse Open Source
- Génère un manifeste d'utilisation
d'une application Open Source
- Vérifie les vulnérabilités Open
Source
12 IBM Security
Framework IBM pour la Sécurité des Applications
Utiliser efficacement les ressources pour identifier et atténuer les risques
Gestion de la sécurité des applications
Surveillance
D’activité
de DBs
Firewall
d'application
WebSIEM
Protection
Application
Mobile
Surveillance et protection des
applications déployées
Analyse
Statique
Analyse
Dynamique
Analyse des
Applications
pour Mobiles
Analyse
Open Source
Intrusion
Prevention
Test des
Applications
Evaluatation des
impacts métier
Inventaire des
applications
Décision et état de
Conformité
Indicateurs d’état et de
Progression
Hiérarchisation
Des Vulnérabilités
13 IBM Security
Les capacités cognitives au service des tests de sécurité des applications
 Intelligent Code Analytics
Étend la couverture de l'analyse et élimine les faux négatifs
en générant des règles de sécurité pour TOUT framework
utilisé par l’application pendant l'analyse.
 Intelligent Findings Analytics
Réduit les faux positifs jusqu'à 99% et élimine les longues
procédures de revue manuelle en fournissant une revue
entièrement automatisée des résultats des tests de sécurité
des applications.
 Simple Fix Group recommendations
Fournit des recommandations de correction qui aident les
équipes de développement à résoudre plusieurs vulnérabilités
avec une seule correction de code.
AppScan Cognitive Application Security Advisor
14 IBM Security
ICA - Intelligent Code Analysis
La Sécurité du code scanné nécessite de comprendre ces APIs pour
pouvoir réaliser une bonne couverture. Les APIs non connues laissent
des angles morts
Le moteur de Sécurité Cognitive ICA inspectera tout framework utilisé
dans votre application pour une analyse complète du code développé
et du framework.
 Plus d’angle mort
 100% de couverture : code développé et framework quelque soit
son langage
15 IBM Security
 Réduit les faux positifs
 Minimise les “scenarios d’attaques
improbables”
 Fournit des recommandations de
“correction” permettant de résoudre
plusieurs vulnérabilités
• Patents pending
IFA - Intelligent Findings Analytics
Machine learning with Intelligent Findings Analytics*
Résultats
enrichisIntelligent
Findings
Analytics
• Construit avec Watson Machine Learning
• Entrainé par les experts IBM Security
• Totalement automatisé
Résultats
des scans
16 IBM Security
IBM Open Source Analyzer
Ghost
(GNU C)
Heartbleed
Shellshock
(Bash)
Poodle
ASoC Open Source Analyzer
• Génère un manifeste d'utilisation d'une application Open Source
• Vérifie les vulnérabilités Open Source
• Référentiel leader de l'industrie avec plus de 230k vulnérabilités
• Proposition d’instructions de correction sur la version OSS vers
laquelle il faut migrer
• Intégré dans l’environnement de test de sécurité des applications
17 IBM Security
IBM Application Security on Cloud: Static Analyzer/Open Source Analyzer
Findings
IRX
Static Analyzer
Analytics
(IFA)
Analytics
(ICA) Findings
Fix
Groups
Open Source Analyzer
IDEs
Build
CI/CD
ASoC CLI
Open Source
Manifest
Analysis
Analysis
Security
Rules
Open Source
Vul DB
18 IBM Security
IDEs Automation
ASoC
DevOps – Automation
Intégration dans les outils / processus de développement existants
Static
Analyzer
Analytics
(IFA/ICA)
Client
IBM
Pen
Testing
Dynamic
Analyzer
Open
Source
Analyzer
Mobile
Analyzer
ASoC CLI/REST APIs
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents
IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation,in the United States, other countries
or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being
altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can
be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other
systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
Suivez nous sur :
Merci
20 IBM Security
https://www.youtube.com/watch?v=ldGnbh2yook
https://www.youtube.com/watch?v=rJe9dE-fHKA
21 IBM Security
En savoir plus sur IBM Application Security
Visit the
IBM Application Security Website
Watch the videos on the
IBM Application Security YouTube Channel
Read new Application Security blog posts
SecurityIntelligence.com
Follow us on Twitter
@ibmsecurity
Watch the AppScan Overview Video
How to Protect My Business from
Web and Mobile Application Attacks?

Contenu connexe

Similaire à IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source

Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
Serge Richard
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
facemeshfacemesh
 
20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM
LeClubQualiteLogicielle
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
Sébastien GIORIA
 
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
AGILLY
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
IBM France PME-ETI
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
Serge Richard
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
Patrick Guimonet
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
ITrust - Cybersecurity as a Service
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
Advens
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
Valdes Nzalli
 
Les antivirus
Les antivirusLes antivirus
Les antivirus
mickaelday
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
Techcare Tunisie
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
ITrust - Cybersecurity as a Service
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
ColloqueRISQ
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
 

Similaire à IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source (20)

Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
 
OWF12/Security and Free Software
OWF12/Security and Free SoftwareOWF12/Security and Free Software
OWF12/Security and Free Software
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
Les antivirus
Les antivirusLes antivirus
Les antivirus
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 

Plus de IBM France Lab

20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes
20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes
20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes
IBM France Lab
 
20200114 - IBM Cloud Paris Meetup - DevOps
20200114 - IBM Cloud Paris Meetup - DevOps20200114 - IBM Cloud Paris Meetup - DevOps
20200114 - IBM Cloud Paris Meetup - DevOps
IBM France Lab
 
20200128 - Meetup Nice Côte d'Azur - Agile Mindset
20200128 - Meetup Nice Côte d'Azur - Agile Mindset20200128 - Meetup Nice Côte d'Azur - Agile Mindset
20200128 - Meetup Nice Côte d'Azur - Agile Mindset
IBM France Lab
 
Défis de l'IA : droits, devoirs, enjeux économiques et éthiques
Défis de l'IA : droits, devoirs, enjeux économiques et éthiquesDéfis de l'IA : droits, devoirs, enjeux économiques et éthiques
Défis de l'IA : droits, devoirs, enjeux économiques et éthiques
IBM France Lab
 
Meetup ibm abakus banque postale
Meetup ibm abakus banque postaleMeetup ibm abakus banque postale
Meetup ibm abakus banque postale
IBM France Lab
 
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
IBM France Lab
 
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
IBM France Lab
 
IBM Watson IOT - Acoustic or Visual Insights
IBM Watson IOT - Acoustic or Visual InsightsIBM Watson IOT - Acoustic or Visual Insights
IBM Watson IOT - Acoustic or Visual Insights
IBM France Lab
 
Retour expérience Track & Trace - IBM using Sigfox.
Retour expérience Track & Trace - IBM using Sigfox.Retour expérience Track & Trace - IBM using Sigfox.
Retour expérience Track & Trace - IBM using Sigfox.
IBM France Lab
 
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
IBM France Lab
 
IBM Cloud Paris Meetup - 20190520 - IA & Power
IBM Cloud Paris Meetup - 20190520 - IA & PowerIBM Cloud Paris Meetup - 20190520 - IA & Power
IBM Cloud Paris Meetup - 20190520 - IA & Power
IBM France Lab
 
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - OptimisationIBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM France Lab
 
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - OptimisationIBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM France Lab
 
IBM Cloud Bordeaux Meetup - 20190325 - Software Factory
IBM Cloud Bordeaux Meetup - 20190325 - Software FactoryIBM Cloud Bordeaux Meetup - 20190325 - Software Factory
IBM Cloud Bordeaux Meetup - 20190325 - Software Factory
IBM France Lab
 
IBM Cloud Paris Meetup - 20190129 - Assima
IBM Cloud Paris Meetup - 20190129 - AssimaIBM Cloud Paris Meetup - 20190129 - Assima
IBM Cloud Paris Meetup - 20190129 - Assima
IBM France Lab
 
IBM Cloud Paris Meetup - 20190129 - Myrtea
IBM Cloud Paris Meetup - 20190129 - MyrteaIBM Cloud Paris Meetup - 20190129 - Myrtea
IBM Cloud Paris Meetup - 20190129 - Myrtea
IBM France Lab
 
IBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelle
IBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelleIBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelle
IBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelle
IBM France Lab
 
IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes & Rule-based Sm...
IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes &  Rule-based Sm...IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes &  Rule-based Sm...
IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes & Rule-based Sm...
IBM France Lab
 
IBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger Workshop
IBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger WorkshopIBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger Workshop
IBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger Workshop
IBM France Lab
 
IBM Cloud Paris Meetup - 20180911 - Common Ledger for Public Administration
IBM Cloud Paris Meetup - 20180911 - Common Ledger for Public AdministrationIBM Cloud Paris Meetup - 20180911 - Common Ledger for Public Administration
IBM Cloud Paris Meetup - 20180911 - Common Ledger for Public Administration
IBM France Lab
 

Plus de IBM France Lab (20)

20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes
20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes
20200113 - IBM Cloud Côte d'Azur - DeepDive Kubernetes
 
20200114 - IBM Cloud Paris Meetup - DevOps
20200114 - IBM Cloud Paris Meetup - DevOps20200114 - IBM Cloud Paris Meetup - DevOps
20200114 - IBM Cloud Paris Meetup - DevOps
 
20200128 - Meetup Nice Côte d'Azur - Agile Mindset
20200128 - Meetup Nice Côte d'Azur - Agile Mindset20200128 - Meetup Nice Côte d'Azur - Agile Mindset
20200128 - Meetup Nice Côte d'Azur - Agile Mindset
 
Défis de l'IA : droits, devoirs, enjeux économiques et éthiques
Défis de l'IA : droits, devoirs, enjeux économiques et éthiquesDéfis de l'IA : droits, devoirs, enjeux économiques et éthiques
Défis de l'IA : droits, devoirs, enjeux économiques et éthiques
 
Meetup ibm abakus banque postale
Meetup ibm abakus banque postaleMeetup ibm abakus banque postale
Meetup ibm abakus banque postale
 
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
 
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
20190613 - IBM Cloud Côte d'Azur meetup - "Cloud & Containers"
 
IBM Watson IOT - Acoustic or Visual Insights
IBM Watson IOT - Acoustic or Visual InsightsIBM Watson IOT - Acoustic or Visual Insights
IBM Watson IOT - Acoustic or Visual Insights
 
Retour expérience Track & Trace - IBM using Sigfox.
Retour expérience Track & Trace - IBM using Sigfox.Retour expérience Track & Trace - IBM using Sigfox.
Retour expérience Track & Trace - IBM using Sigfox.
 
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
 
IBM Cloud Paris Meetup - 20190520 - IA & Power
IBM Cloud Paris Meetup - 20190520 - IA & PowerIBM Cloud Paris Meetup - 20190520 - IA & Power
IBM Cloud Paris Meetup - 20190520 - IA & Power
 
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - OptimisationIBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
 
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - OptimisationIBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
IBM Cloud Côte d'Azur Meetup - 20190328 - Optimisation
 
IBM Cloud Bordeaux Meetup - 20190325 - Software Factory
IBM Cloud Bordeaux Meetup - 20190325 - Software FactoryIBM Cloud Bordeaux Meetup - 20190325 - Software Factory
IBM Cloud Bordeaux Meetup - 20190325 - Software Factory
 
IBM Cloud Paris Meetup - 20190129 - Assima
IBM Cloud Paris Meetup - 20190129 - AssimaIBM Cloud Paris Meetup - 20190129 - Assima
IBM Cloud Paris Meetup - 20190129 - Assima
 
IBM Cloud Paris Meetup - 20190129 - Myrtea
IBM Cloud Paris Meetup - 20190129 - MyrteaIBM Cloud Paris Meetup - 20190129 - Myrtea
IBM Cloud Paris Meetup - 20190129 - Myrtea
 
IBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelle
IBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelleIBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelle
IBM Cloud Paris Meetup - 20181016 - L'agilité à l'échelle
 
IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes & Rule-based Sm...
IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes &  Rule-based Sm...IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes &  Rule-based Sm...
IBM Cloud Côte d'Azur Meetup - Blockchain Business Processes & Rule-based Sm...
 
IBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger Workshop
IBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger WorkshopIBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger Workshop
IBM Cloud Côte D'Azur Meetup - 20181004 - Blockchain Hyperledger Workshop
 
IBM Cloud Paris Meetup - 20180911 - Common Ledger for Public Administration
IBM Cloud Paris Meetup - 20180911 - Common Ledger for Public AdministrationIBM Cloud Paris Meetup - 20180911 - Common Ledger for Public Administration
IBM Cloud Paris Meetup - 20180911 - Common Ledger for Public Administration
 

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source

  • 1. Sécurité des applications: développements internes & Open Source Kamel Moulaoui kamel.moulaoui@fr.ibm.com MeeetUp Mars, 2018
  • 2. 2 IBM Security Nous utilisons un scanner de vulnérabilité réseau Le mythe et les croyances subsistent Nous réalisons de l’analyse de code Nous auditons une fois par an une application par des testeurs Nos développeurs ont suivi une formation sur la sécurité des applications
  • 3. 3 IBM Security Les menaces de sécurité des applications
  • 4. 4 IBM Security Les menaces de sécurité des applications
  • 5. 5 IBM Security Anatomie d’une application et les différentes contributions Développements internes Réutilisation de code existant Développements sous-traités Composants et librairies tiers
  • 6. 6 IBM Security Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Open Source Et l’Open Source dans ces contributions ? Introduit par les développeurs Embarqué dans le code existant Introduit dans le code sous-traité Composants et librairies tiers provenant de l’Opens Source Composants et librairies tiers provenant d’éditeurs Forrester: How To Leverage DevOps Trends To Strengthen Applications Dec. 2016 “Approximately 80% to 90% of the code in modern applications is from open source components, and open source components that are at least two years old have three times the number of vulnerabilities. Even when developers are diligent about using newer third- party libraries, these libraries often use other libraries of their own, resulting in latent vulnerabilities that expose themselves at a later date.
  • 7. 7 IBM Security Facile de créer des applications Les composants Open Source représentent en moyenne 60% à 80% du code d’une application
  • 8. 8 IBM Security Quelle stratégie adopter ? Faut-il privilégier les tests statiques ou dynamiques ? Une seule technique est elle suffisante ? Qui va réaliser les tests ? Faut-il automatiser les tests ? Faut-il réaliser des tests sur toutes les applications Comment gérer la sécurité du code Open Source embarqué ? Quel effort organisationnel pour la réalisation des tests ? Comment communiquer les résultats des tests aux développeurs ? Nos applications sont-elles conformes aux règlementations ? Les Tests de sécurité dans DevOps ?
  • 9. 9 IBM Security Le Constat: Étude: Comment faire de la sécurité des applications une discipline gérée stratégiquement Indépendamment menée par Ponemon Institute LLC - Mars 2016 Résultats complets du sondage Seulement "11% des sondés affirement que leur programme est mature et que le sujet est pleinement maitrisé"
  • 10. L’approche et les innovations IBM
  • 11. 11 IBM Security Une gamme complète de techniques d'évaluation des applications pour fournir une analyse de sécurité approfondie Analyse Statique - Analyse de Code Source - En phase de développement - Analyse par Taint / Pattern Matching Analyse Dynamique - Corrélation des tests statiques et dynamiques - Assistance à la correction par identification des lignes de code Analyse Hybride 11 - Analyse en ligne de l’application - En phase de test - Test d’intrusion par altération des requêtes http Analyse de code Coté Client - Analyse du code javascript téléchargé et exécuté coté client Analyse Run-Time - Combine l’analyse dynamique et instrumentation du serveur d’application - Plus de résultats, meilleur précision Failles de sécurité potentielles Applications Analyse Open Source - Génère un manifeste d'utilisation d'une application Open Source - Vérifie les vulnérabilités Open Source
  • 12. 12 IBM Security Framework IBM pour la Sécurité des Applications Utiliser efficacement les ressources pour identifier et atténuer les risques Gestion de la sécurité des applications Surveillance D’activité de DBs Firewall d'application WebSIEM Protection Application Mobile Surveillance et protection des applications déployées Analyse Statique Analyse Dynamique Analyse des Applications pour Mobiles Analyse Open Source Intrusion Prevention Test des Applications Evaluatation des impacts métier Inventaire des applications Décision et état de Conformité Indicateurs d’état et de Progression Hiérarchisation Des Vulnérabilités
  • 13. 13 IBM Security Les capacités cognitives au service des tests de sécurité des applications  Intelligent Code Analytics Étend la couverture de l'analyse et élimine les faux négatifs en générant des règles de sécurité pour TOUT framework utilisé par l’application pendant l'analyse.  Intelligent Findings Analytics Réduit les faux positifs jusqu'à 99% et élimine les longues procédures de revue manuelle en fournissant une revue entièrement automatisée des résultats des tests de sécurité des applications.  Simple Fix Group recommendations Fournit des recommandations de correction qui aident les équipes de développement à résoudre plusieurs vulnérabilités avec une seule correction de code. AppScan Cognitive Application Security Advisor
  • 14. 14 IBM Security ICA - Intelligent Code Analysis La Sécurité du code scanné nécessite de comprendre ces APIs pour pouvoir réaliser une bonne couverture. Les APIs non connues laissent des angles morts Le moteur de Sécurité Cognitive ICA inspectera tout framework utilisé dans votre application pour une analyse complète du code développé et du framework.  Plus d’angle mort  100% de couverture : code développé et framework quelque soit son langage
  • 15. 15 IBM Security  Réduit les faux positifs  Minimise les “scenarios d’attaques improbables”  Fournit des recommandations de “correction” permettant de résoudre plusieurs vulnérabilités • Patents pending IFA - Intelligent Findings Analytics Machine learning with Intelligent Findings Analytics* Résultats enrichisIntelligent Findings Analytics • Construit avec Watson Machine Learning • Entrainé par les experts IBM Security • Totalement automatisé Résultats des scans
  • 16. 16 IBM Security IBM Open Source Analyzer Ghost (GNU C) Heartbleed Shellshock (Bash) Poodle ASoC Open Source Analyzer • Génère un manifeste d'utilisation d'une application Open Source • Vérifie les vulnérabilités Open Source • Référentiel leader de l'industrie avec plus de 230k vulnérabilités • Proposition d’instructions de correction sur la version OSS vers laquelle il faut migrer • Intégré dans l’environnement de test de sécurité des applications
  • 17. 17 IBM Security IBM Application Security on Cloud: Static Analyzer/Open Source Analyzer Findings IRX Static Analyzer Analytics (IFA) Analytics (ICA) Findings Fix Groups Open Source Analyzer IDEs Build CI/CD ASoC CLI Open Source Manifest Analysis Analysis Security Rules Open Source Vul DB
  • 18. 18 IBM Security IDEs Automation ASoC DevOps – Automation Intégration dans les outils / processus de développement existants Static Analyzer Analytics (IFA/ICA) Client IBM Pen Testing Dynamic Analyzer Open Source Analyzer Mobile Analyzer ASoC CLI/REST APIs
  • 19. ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions © Copyright IBM Corporation2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation,in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. Suivez nous sur : Merci
  • 21. 21 IBM Security En savoir plus sur IBM Application Security Visit the IBM Application Security Website Watch the videos on the IBM Application Security YouTube Channel Read new Application Security blog posts SecurityIntelligence.com Follow us on Twitter @ibmsecurity Watch the AppScan Overview Video How to Protect My Business from Web and Mobile Application Attacks?