Agile tour Paris - Novembre 2017 - Philippe PAULUS - @ppagile Conférence sur la sécurité applicative dans un environnement agile.

1. LES HACKERS SONT AUSSI DES UTILISATEURS
DE VOTRE APPLICATION
Agile Tour Novembre 2017
Philippe PAULUS
@ppagile

2. 2
Merci aux sponsors ;-)

3. 3
En tant que coach agile et responsable de la cellule APPSEC
Je souhaite l’autonomie et l’excellence technique des équipes
Afin que les produits créés puissent apporter un maximum de valeur
aux utilisateurs avec un minimum de risques
#APPSEC #AGILE
ppagilePhilippe PAULUS

4. 4
Et vous?
#APPSEC #AGILE

5. 5
Pourquoi cette présentation ?

6. 6
Avoir le sourire

7. 7
2 types d’organisations/entreprises

8. 8
L‘art de la guerre – Sun Tzu – 6ème siècle avant JC
Qui ne réfléchit pas
et méprise l’ennemi
sera vaincu

9. 9
Source http://map.norsecorp.com
Je (ne) suis (pas) sur internet ?

10. 10
Interconnexion des applications

11. 11 70 % des attaques viennent de l’intérieur

12. 12
C’est un sujet !
La sécurité applicative

13. 13
Ma définition
Application security
VulnérabilitéAttaque Incident
On peut diminuer cela ☺
On ne peut rien faire
Et donc cela!

14. 14 C’est compliqué ?

15. 15
C’est compliqué ?

16. 16
C’est un sujet !
Compliqué
La sécurité applicative

17. 17
100 % des applications auditées ont
au moins 1 vulnérabilité majeure

18. 18 Alors qu’est-ce qui cloche?

19. 19
La différence est faible entre un code sain et un code vulnérable

20. 20
En sécurité informatique, un hacker (ou hackeur) est
un spécialiste qui recherche les moyens de contourner
les protections logicielles et matérielles.
wikipedia

21. 21 État d’esprit « hacker »

22. 22
C’est un sujet !
Compliqué
État d’esprit
La sécurité applicative

23. 23
Le contexte

24. 24
Agilité ?

25. 25
Agilité

26. 26
Apporter de la valeur aux utilisateurs

27. 27
Scrum est une réponse pour la vitesse et la valeur

28. 28
De nouveaux éléments à prendre en compte
dans la valeur apportée aux utilisateurs
[D]isponibilité
[I]ntégrité
[C]onfidentialité
[P]reuve

29. 29
Alors on fait comment ?

30. 30
Expert sécurité

31. 31
Apprendre à penser comme un hacker
…pour construire des systèmes plus sécurisés

32. 32
Tout le monde !

33. 33
L‘art de la guerre – Sun Tzu – 6ème siècle avant JC
Une armée est victorieuse
si elle cherche à vaincre
avant de combattre ;
elle est vaincue
si elle cherche à combattre
avant de vaincre

34. 34
Transparence
Tout cela doit être accessible à tout moment par tous
sponsors, parties prenantes, PO, SM, équipe
Politique de sécurité / démarche d’homologation de sécurité (totale,
partielle, refus) / engagements contractuels (OWASP TOP 10, SANS 25,..)

35. 35 Une ville à visiter sur votre chemin
Application Security
Verification Standard

36. 36 Formation

37. 37
L‘art de la guerre – Sun Tzu – 6ème siècle avant JC
Qui connaît son ennemi
comme il se connaît
en cent combats ne sera point défait

38. 38
Jouons au mêmes jeux

39. 39
Source https://www.ssi.gouv.fr/guide/integrer-la-securite-numerique-dans-une-demarche-agile/
Un peu de lecture

40. 40 De nouveaux personnas ☺

41. 41
User story
Abuser story
Un risque est décrit sous la forme d’un « abuser story »
[D]isponibilité
[I]ntégrité
[C]onfidentialité
[P]reuve

42. Canvas pour l’atelier d’analyse et de traitement des risques
À chaque itération42

43. 43
Pas de garantie possible mais des preuves
Audits / revues réalisés
Documentation produit
Rapports des outils
Tags dans le code
Tests / pentest réalisés

44. 44
Ca va trop vite pour avoir la possibilité de ne pas s’en occuper
et de laisser cela à des spécialistes, on l’intègre dans le cycle
AATR
AUS
Preuve

45. 45
C’est un sujet !
Nouvelle culture
Compliqué
État d’esprit
La sécurité applicative

46. 46
Les outils

47. 47
Grille d’audit

48. 48 Revue de code

49. 49
Exemple outil de surveillance des dépendances vulnérables

50. 51
Next step > DevSecOps
Culture >> Processus >> Outils

51. 52
Mise en garde outillage

52. 53
C’est un sujet !
Nouvelle culture
Outils
Compliqué
État d’esprit
La sécurité applicative

53. 54 Le cœur de l’agilité

54. 55
Collaboration
PO Dev team

55. 56 Tout cela est une chance !

56. 57
Abuser story
Pratiquer / former
transParence
outilS
Esprit hacker
Chance
#APPSEC

57. 58
C’est un sujet !
Nouvelle culture
Outils
Compliqué
État d’esprit
La sécurité applicative
C’est une change
pour l’agilité

58. 59 Ai-je réussi ?

59. 60 Je vous ai hacké ☺
Merci