SlideShare une entreprise Scribd logo
La sécurité des applications 
des entreprises du Forbes 2000 
ont été victimes d’incidents 
Les applications 
concentrent 
90% 
des vulnérabilités. 
Pourtant 80 % 
des budgets sécurité 
sont consacrés 
aux infrastructures 
Design 
Security 
Pattern 
(Conception 
de framework 
de sécurité) 
92 % 
Méthodologie de 
développement sécurisé 
Formation des 
développeurs 
Mitigation 
d'attaques 
DOS 
Firewall 
NG Sandboxing 
Virtual 
patching IPS 
WAF 
Pourquoi et comment ? 
Contrôle régulier 
des applications 
LES MENACES 
EXPLOSENT 
Vérification des 
traces applicatives 
Fuzzer 
Scanner de 
vulnérabilités 
Scanner passif 
Analyseur 
comportementale 
d'application 
SIEM 
Test 
d'intrusion 
Revue 
de code 
Contrôle 
qualité 
Scanner 
automatisé 
de vulnérabilité 
Analyseur statique 
de code 
Analyseur 
dynamique de code 
Modélisation 
des attaques 
(threat 
Modeling) 
API 
Framework 
de sécurité 
Bugtracker 
CONTRÔLE 
CONCEPTION 
DÉTECTION 
PROTECTION 
# { 
</> 
TECHNIQUES TECHNOLOGIES 
99 % 
des applications 
Web sont 
vulnérables 
Une 
application 
contient 
13 
failles en 
moyenne 
3 ,61 $ 
par ligne de code, 
c’est le coût 
de la non 
qualité/sécurité 
dans un 
développement 
Sources : NetCraft 2014, Gartner. 
Sources : Ponemon Institute 2013, Cenzic 2013, Castsoftware 2012. 
COMMENT MIEUX SÉCURISER 
LES APPLICATIONS ? 
LES TECHNIQUES 
ET TECHNOLOGIES 
DE SÉCURISATION 
Sensibilisation 
des intervenants 
sur leur rôle en 
sécurité 
Référentiel 
de sécurité 
REJOIGNEZ L’APPLICATION 
SECURITY ACADEMY 
Formation des 
intervenants 
Méthodologie de 
développement 
sécurisé 
Prérequis contractuels 
dans les achats 
Indicateurs et 
tableaux de bord 
Responsable 
sécurité 
applicative 
Analyse de risques 
Sécurité dans phase 
d’exigences 
fonctionnelles 
Conception d’une 
architecture de 
sécurité applicative 
Mise en place 
des frameworks 
de sécurité 
Cartographie 
des applications 
Tests d’intrusion 
Applicatifs ciblés 
Tests d’intrusion 
Applicatifs 
réguliers 
Vérification 
continue des 
environnements 
Revue de code 
Cellule 
d’homologation 
applicative 
Revue de 
la conception 
Environnements 
sécurisés 
Bouclier virtuel 
Intégrité 
des applications 
déployées 
Gestion 
opérationnelle 
de l’architecture 
de sécurité 
Documentation 
des projets, 
des mises à jour 
POUR CONTINUER 
À AVANCER SUR CE SUJET 
JE DÉBUTE 
JE PROTÈGE MES 
APPLICATIONS 
EN PRODUCTION 
J’INTÈGRE 
LA SÉCURITÉ DANS 
LES PROJETS 
J’INDUSTRIALISE 
MA DÉMARCHE 
Saison 1 5 épisodes de 30 mn chacun 
A visionner sur www.advens.fr/ApplicationSecurityAcademy 
GOUVERNANCE 
CONCEPTION 
VÉRIFICATION 
DÉPLOIEMENT 
Environnements 
maintenus à jour 
APPLICATIONS 
WEB 
1 milliard 
de sites web 
sur la planète 
en février 
2014 
APPLICATIONS 
INDUSTRIELLES 
OBJETS 
CONNECTÉS 
212 
milliards 
en 2020 
APPLICATIONS 
CLIENT-SERVEUR 
APPLICATIONS 
MOBILES 
102 
milliards 
d’applications 
téléchargées 
en 2013 
Elles se comptent par centaines. La liste 
ci-dessous est non exhaustive, les choix 
dépendent des objectifs, de l’existant et 
de règlementations en vigueur. 
LA RÉVOLUTION 
EN MARCHE 
Formation 
aux bases du 
développement 
sécurisé

Contenu connexe

En vedette

Angel ron junto a banco popular ganan 325,3 millones € en 2013
Angel ron junto a banco popular ganan 325,3 millones € en 2013Angel ron junto a banco popular ganan 325,3 millones € en 2013
Angel ron junto a banco popular ganan 325,3 millones € en 2013
Banco Popular
 
Sales present
Sales presentSales present
Sales present
Gary Yang
 
Matrice présentation groupement la ruche
Matrice présentation groupement la rucheMatrice présentation groupement la ruche
Matrice présentation groupement la rucheLarucheasso
 
Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...
Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...
Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...Diane Le Hénaff
 
Riesgos
RiesgosRiesgos
Riesgos
ggarcas
 
Sonidos Para Ver el Mundo
Sonidos Para Ver el MundoSonidos Para Ver el Mundo
Sonidos Para Ver el Mundo
Biblioteca EPM
 
Analisis del presupuesto del congreso de Baja California 2010 2013
Analisis del presupuesto del congreso de Baja California 2010 2013Analisis del presupuesto del congreso de Baja California 2010 2013
Analisis del presupuesto del congreso de Baja California 2010 2013
Ricardo Meza
 
Introduccion a AVA
Introduccion a AVA Introduccion a AVA
Introduccion a AVA
Proyecto AVA
 
Boletínuna herida abierta avance 24 enero 2013
Boletínuna herida abierta avance 24 enero 2013Boletínuna herida abierta avance 24 enero 2013
Boletínuna herida abierta avance 24 enero 2013
jhony
 
Juego del Ahorcado
Juego del AhorcadoJuego del Ahorcado
Juego del Ahorcado
Jugar Con Juegos
 
Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?
Microsoft Ideas
 
Collaboration et Innovation
Collaboration et InnovationCollaboration et Innovation
Collaboration et Innovation
Sylvain Carle
 
Utilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-Ouest
Utilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-OuestUtilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-Ouest
Utilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-OuestAudray Bélanger
 
Normas apa
Normas apa Normas apa
Normas apa
Vivi Fienco
 
Juego Bicicleta de Pokemon
Juego Bicicleta de PokemonJuego Bicicleta de Pokemon
Juego Bicicleta de Pokemon
Jugar Con Juegos
 
Grupo 1
Grupo 1Grupo 1

En vedette (18)

Projet carrieres is
Projet carrieres isProjet carrieres is
Projet carrieres is
 
Angel ron junto a banco popular ganan 325,3 millones € en 2013
Angel ron junto a banco popular ganan 325,3 millones € en 2013Angel ron junto a banco popular ganan 325,3 millones € en 2013
Angel ron junto a banco popular ganan 325,3 millones € en 2013
 
Sales present
Sales presentSales present
Sales present
 
Matrice présentation groupement la ruche
Matrice présentation groupement la rucheMatrice présentation groupement la ruche
Matrice présentation groupement la ruche
 
Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...
Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...
Presentation de Prodinra à l'INIST dans le cadre de l'étude de faisabilité de...
 
Premiers pas
Premiers pasPremiers pas
Premiers pas
 
Riesgos
RiesgosRiesgos
Riesgos
 
Sonidos Para Ver el Mundo
Sonidos Para Ver el MundoSonidos Para Ver el Mundo
Sonidos Para Ver el Mundo
 
Analisis del presupuesto del congreso de Baja California 2010 2013
Analisis del presupuesto del congreso de Baja California 2010 2013Analisis del presupuesto del congreso de Baja California 2010 2013
Analisis del presupuesto del congreso de Baja California 2010 2013
 
Introduccion a AVA
Introduccion a AVA Introduccion a AVA
Introduccion a AVA
 
Boletínuna herida abierta avance 24 enero 2013
Boletínuna herida abierta avance 24 enero 2013Boletínuna herida abierta avance 24 enero 2013
Boletínuna herida abierta avance 24 enero 2013
 
Juego del Ahorcado
Juego del AhorcadoJuego del Ahorcado
Juego del Ahorcado
 
Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?
 
Collaboration et Innovation
Collaboration et InnovationCollaboration et Innovation
Collaboration et Innovation
 
Utilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-Ouest
Utilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-OuestUtilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-Ouest
Utilisation du web pour le Centre de Pédiatrie Sociale de la Matawinie-Ouest
 
Normas apa
Normas apa Normas apa
Normas apa
 
Juego Bicicleta de Pokemon
Juego Bicicleta de PokemonJuego Bicicleta de Pokemon
Juego Bicicleta de Pokemon
 
Grupo 1
Grupo 1Grupo 1
Grupo 1
 

Similaire à [Infographie] Sécurité des applications : pourquoi et comment ?

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
Microsoft
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
Microsoft Technet France
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Vumetric
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
facemeshfacemesh
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Thierry Matusiak
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational_France
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
Aymeric Lagier
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM France Lab
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
Techcare Tunisie
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
IBM France PME-ETI
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
ITrust - Cybersecurity as a Service
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
IBM France PME-ETI
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 

Similaire à [Infographie] Sécurité des applications : pourquoi et comment ? (20)

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
 

Dernier

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (6)

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

[Infographie] Sécurité des applications : pourquoi et comment ?

  • 1. La sécurité des applications des entreprises du Forbes 2000 ont été victimes d’incidents Les applications concentrent 90% des vulnérabilités. Pourtant 80 % des budgets sécurité sont consacrés aux infrastructures Design Security Pattern (Conception de framework de sécurité) 92 % Méthodologie de développement sécurisé Formation des développeurs Mitigation d'attaques DOS Firewall NG Sandboxing Virtual patching IPS WAF Pourquoi et comment ? Contrôle régulier des applications LES MENACES EXPLOSENT Vérification des traces applicatives Fuzzer Scanner de vulnérabilités Scanner passif Analyseur comportementale d'application SIEM Test d'intrusion Revue de code Contrôle qualité Scanner automatisé de vulnérabilité Analyseur statique de code Analyseur dynamique de code Modélisation des attaques (threat Modeling) API Framework de sécurité Bugtracker CONTRÔLE CONCEPTION DÉTECTION PROTECTION # { </> TECHNIQUES TECHNOLOGIES 99 % des applications Web sont vulnérables Une application contient 13 failles en moyenne 3 ,61 $ par ligne de code, c’est le coût de la non qualité/sécurité dans un développement Sources : NetCraft 2014, Gartner. Sources : Ponemon Institute 2013, Cenzic 2013, Castsoftware 2012. COMMENT MIEUX SÉCURISER LES APPLICATIONS ? LES TECHNIQUES ET TECHNOLOGIES DE SÉCURISATION Sensibilisation des intervenants sur leur rôle en sécurité Référentiel de sécurité REJOIGNEZ L’APPLICATION SECURITY ACADEMY Formation des intervenants Méthodologie de développement sécurisé Prérequis contractuels dans les achats Indicateurs et tableaux de bord Responsable sécurité applicative Analyse de risques Sécurité dans phase d’exigences fonctionnelles Conception d’une architecture de sécurité applicative Mise en place des frameworks de sécurité Cartographie des applications Tests d’intrusion Applicatifs ciblés Tests d’intrusion Applicatifs réguliers Vérification continue des environnements Revue de code Cellule d’homologation applicative Revue de la conception Environnements sécurisés Bouclier virtuel Intégrité des applications déployées Gestion opérationnelle de l’architecture de sécurité Documentation des projets, des mises à jour POUR CONTINUER À AVANCER SUR CE SUJET JE DÉBUTE JE PROTÈGE MES APPLICATIONS EN PRODUCTION J’INTÈGRE LA SÉCURITÉ DANS LES PROJETS J’INDUSTRIALISE MA DÉMARCHE Saison 1 5 épisodes de 30 mn chacun A visionner sur www.advens.fr/ApplicationSecurityAcademy GOUVERNANCE CONCEPTION VÉRIFICATION DÉPLOIEMENT Environnements maintenus à jour APPLICATIONS WEB 1 milliard de sites web sur la planète en février 2014 APPLICATIONS INDUSTRIELLES OBJETS CONNECTÉS 212 milliards en 2020 APPLICATIONS CLIENT-SERVEUR APPLICATIONS MOBILES 102 milliards d’applications téléchargées en 2013 Elles se comptent par centaines. La liste ci-dessous est non exhaustive, les choix dépendent des objectifs, de l’existant et de règlementations en vigueur. LA RÉVOLUTION EN MARCHE Formation aux bases du développement sécurisé