SlideShare une entreprise Scribd logo
Modéliser les menaces
      d'une application web
      étude de cas


             Antonio Fontes
             antonio.fontes@owasp.org
             5 juin 2012

Décharge: aucun chat n'a été blessé ou importuné
durant la préparation de ce document.
Quelques questions…




                2
Quel interpréteur pourrait être la
 cible d'une tentative d'injection?
(une à plusieurs réponses possibles)
A. Interpréteur de requête XPath
B. Interpréteur de requête SQL
C. Interpréteur de requête LDAP
D. Interpréteur de nom de fichier
E. Interpréteur de session SMTP
F. Tous ceux mentionnés
G. Une injé…quoi??
                            3
La meilleure méthode pour
empêcher une injection SQL?
(une à plusieurs réponses possibles)
A. Validation de données
B. Canonisation puis validation de données
C. Encodage de données
D. Requête SQL paramétrée
E. Canonisation de données
F. Validation puis canonisation
G. Il faut tout faire!!!
                           4

Recommandé pour vous

La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing

Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible. Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information. La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique. La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.

securitecloud
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web

"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité 2020. Partir d’une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications. La présente formation hacking et sécurité 2020 se compose de 4 parties : • Méthodologies de Pentest, Reconnaissance Passive et Active • Les techniques d'OSINT - L'essentiel • Attaques Réseaux, Physiques et Clients • Attaques AD et Web Dans cette quatrième partie, nous découvrirons ensemble les principales techniques d’attaques dans les environnements active directory et applications web qui nous permettront d’acquérir les bases pour des formations plus avancées.

hacking et sécurité 2020attaques adweb
Web Application Firewall
Web Application FirewallWeb Application Firewall
Web Application Firewall

Web Application Firewalls (WAFs) like ModSecurity provide protection for web applications by filtering requests and blocking attacks, with ModSecurity being an open source WAF that uses rules to allow or deny content and protect against vulnerabilities. WAFs can operate in different modes like positive or negative models and be deployed in various configurations including as an appliance, cloud service, or reverse proxy. While effective, WAFs can cause false positives and reduce application performance if not configured properly.

firewall waf modsecurity
Qu'est-ce qui est plus grave?

(une réponse autorisée)
A. Une injection SQL. (A1)
B. Une référence directe non sécurisée. (A4)
C. Une clé de chiffrement à entropie basse
   (A9)




                          5
Qu'est-ce qui est plus grave?

(une réponse autorisée)
A. Une injection SQL…sur la page d'accueil du
   site web de la boucherie du village.
B. Une référence directe non sécurisée…sur le
   lien de consultation en ligne des factures
   d'un fournisseur national d'énergie.
C. Une clé de chiffrement de faible entropie,
   utilisée par la défense pour authentifier ses
   aéronefs alliés durant un conflit armé.
                          6
Que pensez-vous que votre
 organisation craint le plus?
A. Un déni de service par le groupe
   Anonymous
B. Une fuite de plusieurs dizaines de
   milliers (ou plus) d'enregistrements
   personnels
C. Un vol de données du département R&D
D. La publication d'un faux communiqué de
   presse sur le site officiel de la société
E. Un script remplaçant tous
   les '1,2' par '1,3' dans vos BDD.
                        7
La modélisation de menaces…
(choisir une réponse)
A. La mo…quoi?!?!?
B. Je connais mais je n'en vois pas l'utilité.
C. C'est sympa mais je n'ai pas le temps.
D. J'ai déjà documenté quelques modèles.
E. Au petit déj, avant le café!



                           8

Recommandé pour vous

Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information

inspiré du cours de olfa mechi se cours vous édifiera sur comment auditer un réseau informatique et le sécuriser

internetréseau informatiqueinformation security
OWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesOWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application Vulnerabilities

This document provides an overview of the OWASP Top 10 Risk Rating Methodology. It explains how risks are rated based on four factors: threat agent, attack vector, technical impact, and business impact. Each factor is given a rating of 1-3 (easy to difficult) and these ratings are multiplied together to calculate an overall weighted risk rating. An example of how this methodology would be applied to an SQL injection vulnerability is also provided.

sgce2012
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité

Cette conférence a été animée par Abdoul Karim GANAME, lors de la conférence PECB Insights 2017

conferenceconferencespecb insights
Premières conclusions (probables)

1. Nous ne sommes pas tous d'accord du
   même avis pour dire ce qui est "grave".
2. Nous ne sommes pas tous du même avis
   pour la définition d'une injection.
3. Nous ne sommes pas tous du même avis
   pour la méthode de prévention.
4. Nous ne sommes pas tous du même avis sur
   la MdM :)

                          9
Ego-slide

• Antonio Fontes
   • Genève
• Consultant Infosécurité
   • Sécurité des applications et dans le SDLC
   • Gestion du risque logiciel
• Cybercriminalité
   • http://cddb.ch
• OWASP:
   • Membre du Comité "OWASP Switzerland"
   • Leader de la section "OWASP Geneva"
   • https://www.owasp.org


                                           10
Agenda

Contexte & motivations
Un peu de théorie
Etude de cas
Conclusions & perspectives




05.juin.2012                 11
Agenda

Contexte & motivations
Un peu de théorie
Etude de cas
Conclusions & perspectives




05.juin.2012                 12

Recommandé pour vous

Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015

Rapport de l'atelier Web application Security dans le cadre des ateliers préparés pour le Securilight 2015

insatsecurinetsinformation security
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdf

The document discusses the cyber kill chain framework, which outlines the stages of a cyber attack: reconnaissance, weaponization, delivery, exploitation, installation, command and control, and actions on target. It describes how Panda Adaptive Defense addresses each stage of the cyber kill chain at the endpoint level to prevent, detect, and respond to threats throughout the attack lifecycle. Specifically, it uses techniques like known malware prevention, advanced malware detection, dynamic exploit detection, mitigation, remediation, and forensics to stop attacks across the various stages.

Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...

Auteur : Alain Stephane KENGNE Présenté à EOCON 2022 Vidéo de la présentation : https://youtu.be/iLhScgJ0Tj4

eoconthreatsrisk
Contexte (trop)dynamique

• Axe légal
• Axe technologique
• Axe organisationnel
• Axe économique
• Axe socioculturel / politique    Ding Wen, développeur
                                   d'applications iPhone, 9
                                   ans.




                              13
Une "menace" omniprésente

• Tout système informatique est désormais
  présenté sous menace constante:
  • Celles que l'on a oubliées…
  • Celles dont on peut s'accommoder…
  • Celles dont la presse nous parle…
  • Celles dont la loi nous oblige à tenir
    compte…


                          14
Pourquoi modéliser?

• Un modèle est une "vue" réglementée. Il peut
  être actualisé.
• L'information facilite la prise de décision
  informée:
  • Qu'accepte-t-on? Que n'accepte-t-on pas?
  • Que faut-il absolument faire avec nos moyens limités?
  • Quelles sont nos priorités?




                                  15
Agenda

Contexte & motivations
Un peu de théorie
Etude de cas
Conclusions & perspectives




05.juin.2012                 16

Recommandé pour vous

Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland

Le guide de survie en milieu IT. Pour plus d'infos : #AskComputerland. Nos experts répondent à vos questions. http://bit.ly/1fonxAz

drpcomputerlanddisaster recovery plan
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdf

Thick Client Penetration Testing You will learn how to do pentesting of Thick client applications on a local and network level, You will also learn how to analyze the internal communication between web services & API.

cybersecuritypentestingthickclient
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf

Généralités sur la sécurité informatique

« Actif »

“Quelque chose appartenant ou contrôlé par
  l'organisation, dont un bénéfice peut être obtenu.”


Particularité:
• disponibilité limitée
• générateur de valeur
• peut-être intangible



05.juin.2012                 17
Exemples:

Liquidités
Machines de production, outils
Connaissances, données
Systèmes
Méthodes
Savoir-faire
Etc.



05.juin.2012                18
« Vulnérabilité »

“Attribut d'un actif dont l'exercice intentionnel ou
  accidentel pourrait résulter en une infraction à la
  politique de sécurité ou une brèche de sécurité.”



Note: une fonctionnalité légitime d'un système peut
 devenir, sous certaines conditions, une
 vulnérabilité.



05.juin.2012                  19
Exemples

   Le papier peut être vulnérable au feu, à l'eau, aux
     ciseaux…
   Le corps humain peut être vulnérable à des objets
     perforants.
   Un système électrique peut être vulnérable aux
     surtensions…
   Une application hautement sécurisée peut être
     vulnérable à un tremblement de terre.
   Un mot de passe d'une entropie de
     4'096 bits est souvent vulnérable
     à une arme à feu pointée sur la
     bonne tempe.
05.juin.2012                   20

Recommandé pour vous

sqlmap internals
sqlmap internalssqlmap internals
sqlmap internals

These are the slides from a talk "sqlmap internals" held at Sec/Admin Resilience 2017 (Sevilla / Spain)

information securitysql injectionsqlmap
(Ab)Using GPOs for Active Directory Pwnage
(Ab)Using GPOs for Active Directory Pwnage(Ab)Using GPOs for Active Directory Pwnage
(Ab)Using GPOs for Active Directory Pwnage

Identifying privilege escalation paths within an Active Directory environment is crucial for a successful red team. Over the last few years, BloodHound has made it easier for red teamers to perform reconnaissance activities and identify these attacks paths. When evaluating BloodHound data, it is common to find ourselves having sufficient rights to modify a Group Policy Object (GPO). This level of access allows us to perform a number of attacks, targeting any computer or user object controlled by the vulnerable GPO. In this talk we will present previous research related to GPO abuses and share a number of misconfigurations we have found in the wild. We will also present a tool that allows red teamers to target users and computers controlled by a vulnerable GPO in order to escalate privileges and move laterally within the environment.

defconactive directorygpos
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II

Formation complète ici: http://www.alphorm.com/tutoriel/formation-en-ligne-certified-ethical-hacker-v9-2-4-reussir-ceh-v9 Faisant suite à la première formation CEH, votre MVP Hamza KONDAH vous a préparé la deuxième partie afin d’approfondir vos connaissances au monde en matière de piratage éthique. Avec cette formation CEH vous allez découvrir plus de 270 attaques techniques et plus de 140 labs, avec un accès à plus de 2200 outils de piratages. Dans cette formation CEH, vous allez comprendre le concept des trojan, Metasploit, des virus, et de Ver. Pendant cette formation CEH, Hamza vous apprendra le sniffing et le Social Engineering. Et aussi les contremesures avec DoS/DDoS.

certificationtutorielcehv9
« Agent de menace »

“Quelque chose (objet, événement, être vivant)
  pouvant exercer une action non autorisée ou
  indésirable sur un système donné."


L'agent requiert:
  ressource,
  compétence,
  accès à un
  système donné.
                         Ressource? Check
                         Compétence? Check.
                         Accès? Check.
05.juin.2012                21
Exemples

Evénements naturels: inondation, événement
 sismique, …
Caractéristiques physiques: poussière, érosion,
 corrosion, chaleur, …
Pannes matérielles: air conditionné, courant
 électrique, relais de télécommunications, …
Perturbations: ondes radio, …
Défaillances techniques: bug, saturation,
 disfonctionnement,…

05.juin.2012                22
Exemples
   Êtres vivants:
        Maladroits
        Distraits
        Incompétents
        Vengeurs masqués
        Robin des bois
        Collègue jaloux
        Pirate informatique
        Crime organisé
                             Suis-je une menace?
        Terroriste
        Développeur PHP corrompu
        Espionnage par un Etat ou une organisation
        Etc.

05.juin.2012                       23
« Impact »

“Réduction ou accroissement de la capacité d'une
  organisation ou d'un individu à atteindre ses
  objectifs.”


L'impact induit une perte ou un profit.
Ici, on s'intéresse en priorité aux impacts adverses
  (donc, générateurs de pertes)




05.juin.2012                 24

Recommandé pour vous

Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles

Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement. Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)

owaspsécurité applicativewhite hat
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)

During this presentation, we’ll talk about how to identify and triage the large volume of excessive access most standard Active Directory users have to common network shares. Over the course of hundreds of internal network penetration tests and audits one theme has stood out, vulnerability management programs do not adequately identify excessive share privileges. The excessive shares have become a risk for data exposure, ransomware attacks, and privilege escalation within enterprise environments. During this discussion, we will talk about why this gap exists, how to inventory excessive share across an entire Active Directory domain quickly, and how to triage those results to help reduce risk for your organization.

network sharesactive directoryexcessive privileges
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense

Session présentée le 17 février 2017 à SecureIT-VS (Sierre, Suisse)

securite webowaspsecurite
Exemples

Impacts génériques:
    Dommage à la réputation
    Diffusion d'information confidentielle ou stratégique
    Perte financière
    Perte ou dévaluation d'un savoir-faire ou d'une
     connaissance
    Perturbation de l'activité




05.juin.2012                  25
Exemples

Impacts spécifiques:
    Mise en danger d'autrui
    Responsabilité sociale
    Non-conformité
    Destruction matérielle
    …




05.juin.2012                  26
Impact financier ou pas?

Après extrapolation, tout impact est
 nécessairement financier.


Pour conserver la capacité de diagnostic et de
 traitement du risque -> impacts catégorisés.
 L'impact "financier" a lieu lors d'une perte
 directe nette (vol à l'automate,
 fraude, transactions, etc.)

                          27
« Scenario de menace »

“Enchaînement spécifique d'actions par un ou
  plusieurs agents de menace menant à l'atteinte,
  intentionnelle ou accidentelle d'un état ou d'un
  événement indésirable pour l'organisation.”




05.juin.2012                28

Recommandé pour vous

Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
symfony2
IT Security Days - Threat Modeling
IT Security Days - Threat ModelingIT Security Days - Threat Modeling
IT Security Days - Threat Modeling

Learning threat modeling by doing: the case study of a local business owner in the medical field, willing to create his own first

threat modelingsecurityappsec
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager

Optimisez et sécurisez vos infrastructures Cloud, VDI & Mobilité avec F5 Networks | Partie II – ASM Application Security Manager

Exemple
Scénario:
  Un pirate cherche des vulnérabilités dans l'app. X.
  Le pirate trouve la vulnérabilité 'V'.
  Le pirate exploite la vulnérabilité V et exfiltre des données
  confidentielles.
  Le pirate revend ces données à un concurrent.
Quelles conséquences? Quel Impact?
  Perte de données?
  Vol de données?
  Dommage à la réputation?
  Dommage financier?


05.juin.2012                       29
“Risque”

“Possibilité qu'une menace donnée exploite les
  vulnérabilités d'un actif ou d'un groupe d'actifs, et
  nuise donc à l'organisation.” (ISO27005)


Un risque se caractérise par:
    Une conséquence (impact)
     (plus ou moins élevé)
                                     R= p x i
    Une probabilité
     (plus ou moins haute)



05.juin.2012                    30
“Risque”
                        OPENOPENOPEN
                        OPENOPENOPEN!!
   Quel/Qui est
     l'agent de menace?
   L'oiseau est-il
     vulnérable?
   Quel scénario a-t-on
     à l'esprit?
   Quel serait l'impact?
   Le chat est-il un
     risque pour cet oiseau?
          A: Oui B: Non C: ça dépend

05.juin.2012                 31
Risque != Danger

Le danger suggère la certitude sur deux éléments de
  l'équation:
   - l'imminence d'une
   menace (probabilité
   proche de 1)
   - la gravité
   (conséquence
   proche de la fatalité)

               Conclusion:
               sachons rester zen!
05.juin.2012                         32

Recommandé pour vous

Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de données

L'infrastructure de la base de données d'une entreprise est sujette à un grand nombre de menaces. Ce document vise à aider les entreprises à mieux appréhender les menaces les plus critiques. Ce document fournit une liste des 10 principales menaces, identifiées par notre centre d’experts. Pour chacune de ces menaces, ce document décrit les informations de base, les principales stratégies de limitation des risques, ainsi que le dispositif de protection de la base de données fournies par la solution Imperva.

data securitydatabase threatdatabase security
Revista Regio nr.30 iulie 2014
Revista Regio nr.30 iulie 2014Revista Regio nr.30 iulie 2014
Revista Regio nr.30 iulie 2014

Proiecte cu finanţare Regio în domeniul sănătăţii

reabilitareambulatoriisanatate
Ancianos
AncianosAncianos
Ancianos

Este documento presenta un programa de formación para convertir a padres y apoderados en "ancianos sabios" mediante un diplomado. El objetivo es que estos ancianos enseñen las tradiciones originarias y el arte de vivir a los niños y jóvenes de sus comunidades. El programa incluye materias como sabiduría védica, yoga y organización de eventos artísticos. Los ancianos formados podrán trabajar en escuelas y ofrecer turismo cultural en sus comunidades.

sabiduríaancianosindoamérica
Qu'est-ce qu'une application web
 sécurisée?
"Une application qui ne va pas nous mettre dans la
  #@!!()/!"
"Une application qui ne met pas en retard le
  planning!"
"La mienne! :)"
"Une application sans failles d'injection!"
"Une application invulnérable aux attaques!"
"Une application communiquant
  avec SSL!"
         …
05.juin.2012                  33
Qu'est-ce qu'une application
 sécurisée?
        1. Elle se protège, elle et les systèmes et
           interlocuteurs avec lesquels elle interagit, contre
           toute action non autorisée de lecture, écriture ou
           exécution.
        2. Ses performances ne peuvent être dégradées
           pour une autre raison que la rançon du succès.
        3. Ses utilisateurs et interlocuteurs ne peuvent nier
           leurs actions.
        4. Elle est un garant des lois et
           des conformités auxquelles elle
           est sujette.

05.juin.2012                        34
Qu'est-ce qu'une application
 sécurisée?
        1. Elle se protège, elle et les systèmes et
           interlocuteurs avec lesquels elle interagit, contre
           toute action non autorisée de lecture, écriture ou
                         Confidentialité           Intégrité
           exécution.
        2. Ses performances ne peuvent être dégradées
                     Disponibilité
           pour une autre raison que la rançon du succès.
        3. Ses utilisateurs et interlocuteurs ne peuvent nier
                     Non-répudiation
           leurs actions.
        4. Elle est un garant des lois et
                  Conformité
           des conformités auxquelles elle
           est sujette.

05.juin.2012                        35
« Application sécurisée »?
Chaque organisation a sa propre notion de sécurité.
    Plateforme de commerce électronique
    Infrastructure critique
    Campagne promotionnelle/marketing
    Plateforme d'échange entre entreprises
    Communauté, réseau social
    Banque en ligne
    Administration en ligne
    Site web vitrine
    Etc.

05.juin.2012                      36

Recommandé pour vous

Danteyladivinacomedia 120702121455-phpapp01
Danteyladivinacomedia 120702121455-phpapp01Danteyladivinacomedia 120702121455-phpapp01
Danteyladivinacomedia 120702121455-phpapp01

El documento resume la Divina Comedia escrita por Dante Alighieri entre 1304 y 1321. La obra está dividida en tres partes (Infierno, Purgatorio y Paraíso) y consta de 100 cantos escritos en tercetos encadenados de versos endecasílabos. Narra el viaje de Dante a través del infierno, el purgatorio y el paraíso, guiado por Virgilio y Beatriz, y utiliza alegorías y símbolos religiosos para reflejar temas teológicos y filosóficos.

dante divina comedia
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...

Many small businesses and organizations find themselves seeking the right strategies to make their marketing efforts as effective as possible. But with so many different marketing activities that they could focus on, they often miss some of the important marketing concepts! In this workshop we will discuss Top Business Building Tools and Programs that can make your business most profitable and systematic for growth! Take a look as we look at some of the most common tools in today's market! We will compare and determine which sources are right for your business budget and rapid expansion. Our expert Sandra Flores will show you the system and help you with planning to achieve your next 30, 60 & 90 day goals!

social mediagoogleconstant contact
Instituto Universitario de Posgrado
Instituto Universitario de PosgradoInstituto Universitario de Posgrado
Instituto Universitario de Posgrado

Maestrías en línea para profesionistas: En el Instituto Universitario de Posgrado los alumnos aprenden de la mano de los mejores profesionales procedentes del mundo universitario y empresarial, a través de nuestras maestrías a distancia con triple titulación internacional emitida por la Universidad de Alicante, la Universidad Autónoma de Barcelona y la Universidad Carlos III de Madrid.

maestriaslineaposgrados
Le challenge:
• Identifier et comprendre la menace: qui peut
  présenter un comportement adverse et sous quelle
  forme?
• Identifier les mesures les plus efficientes: comment
  empêche-t-on ce comportement? Comment le
  détecter? En atténuer l'effet?
• Positionner l'organisation: permettre la prise de
  décision éclairée.




05.juin.2012                  37
Agenda

Contexte & motivations
Un peu de théorie
Etude de cas
Conclusions & perspectives




05.juin.2012                 38
Etude de cas: PLCM

(Planificateur en ligne pour
  consultation médicale)
Mission:
     1. Alléger les activités de secrétariat pour
        un groupe de pédiatres actifs dans
        plusieurs villages.
     2. Permettre la planification en ligne 24/24 de consultations
     3. Améliorer le mécanisme de triage
        (symptômes -> urgences)




05.juin.2012                         39
PLCM: le concept

Cas d'utilisation:
    Patients:
         Recherche d'un slot disponible et
          réservation d'une consultation.
         Annulation d'une consultation
    Cabinet:
         Recherche de cas urgents
         Pré-diagnostic de patients au moyen
          d'un questionnaire en ligne.
         Modification des rendez-vous



05.juin.2012                           40

Recommandé pour vous

Progettare antifurto a norme Cei 79 3 Diakron
Progettare antifurto a norme Cei 79 3 DiakronProgettare antifurto a norme Cei 79 3 Diakron
Progettare antifurto a norme Cei 79 3 Diakron

Analisi del rischio, grado prestazionale, grado di sicurezza, classe ambientale. Progettare gli impianti d' allarme

sicurezzamonzacei 79 3
Ayudas para la mejora de la producción y comercialización de la miel en la Co...
Ayudas para la mejora de la producción y comercialización de la miel en la Co...Ayudas para la mejora de la producción y comercialización de la miel en la Co...
Ayudas para la mejora de la producción y comercialización de la miel en la Co...

Este documento convoca ayudas para mejorar la producción y comercialización de la miel en Castilla y León en 2015. Las ayudas se concederán a apicultores, cooperativas apícolas y laboratorios, y cubrirán actividades como asistencia técnica, formación, lucha contra la varroasis, racionalización de la trashumancia e información sobre la avispa asiática. El presupuesto total es de 1,5 millones de euros, financiados en un 50% por la UE.

HOW CAN I SPY ON SOMEONES FACEBOOK
HOW CAN I SPY ON SOMEONES FACEBOOK HOW CAN I SPY ON SOMEONES FACEBOOK
HOW CAN I SPY ON SOMEONES FACEBOOK

This document describes a cell phone tracking software called 1TopSpy that allows users to spy on another person's phone activities. It claims 1TopSpy can track location, read texts, messages from apps like Facebook, and more. The summary describes how to install 1TopSpy by downloading it on the target phone and then accessing the monitoring from another device. Customer testimonials praise how 1TopSpy allows monitoring employees and children.

PLCM: le concept

Cas d'utilisation:
    Assurances:
         Rapport statistique mensuel et
          anonymisé




05.juin.2012                              41
PLCM: le concept

Vision:
    Une application web
    Les patients réguliers ont un compte
       permettant la réservation j+1
    De l'hébergement de pro
         Mais le moins cher possible...




05.juin.2012                              42
PLCM: le client

Le pédiatre contacte une
  agence web

                           Pouvez-vous
                            me faire ce
                              site?


                  Challenge
                  accepted!




05.juin.2012                  43
PLCM: le client

Le client achète régulièrement son
  journal dans la rue…
   et voit des trucs bizarres

                                               Hé! Mr.
                                               Sécurité, tu
                                               penses quoi
                                               de mon
                                               projet??



           Photo volée sans scrupules sur le
           mur Facebook de @SPoint
05.juin.2012                                     44

Recommandé pour vous

Planeacion quimicayentorno
Planeacion quimicayentornoPlaneacion quimicayentorno
Planeacion quimicayentorno

El documento presenta la planeación didáctica para el curso de Química y Entorno del segundo semestre. El curso tiene una carga de 5 horas semanales, con 4 horas teóricas y 1 hora práctica. El plan de estudios describe 3 módulos principales sobre química, la tabla periódica y los cambios químicos, así como los objetivos, temas, actividades y criterios de evaluación para cada módulo.

Manual tecnico primer parcial
Manual tecnico primer parcialManual tecnico primer parcial
Manual tecnico primer parcial

Este documento describe los componentes básicos de una computadora. Explica que la computadora está compuesta por hardware y software. El hardware incluye dispositivos de entrada, salida y procesamiento como el teclado, monitor, microprocesador y tarjeta madre. El software incluye sistemas operativos y programas de aplicaciones. Además, detalla la evolución histórica de los primeros dispositivos de cálculo hasta las computadoras modernas.

Bs25999 2 advisory board
Bs25999 2 advisory boardBs25999 2 advisory board
Bs25999 2 advisory board

This document discusses various business continuity and management systems standards, including BS25999, ISO standards, and other emerging standards. It addresses the benefits of standards, guidance on different standards levels, and challenges around complexity and ensuring consistency across standards. It also provides an overview of the development and positioning of key standards like BS25999 and emerging international standards.

risk managementbusiness continuityrisk
PLCM: le client

The customer comes to Confoo
 and attends the “web security”
 talk….

                         - Hey
                         security guy!
                         What do you
                         think?



05.juin.2012               45
Réputation!!!
    Script kiddies Contournement de     Entropie
Code review             l'authentification
  Espionnage!                           cryptographique
             Injection SQL Revue deCross-Site
                                          code
                                source faible
                              Encodage Scripting!!!
     Vol de données         Hackers!
                              vulnérable Stockage
                  Patients VIP
Validation                                 vulnérable de
   Attaques web modèle Test d'intrusion
        Il faut un
défaillante
                            Configuration
                    Injection LDAP
        de menaces! vulnérable mot de passe
Références                       Données patient
directes non de Non-conformité
              Vol     mot de         Données sur
                                 médical
sécurisées passe                     des enfants
  Données
  personnelles         ANONYMOUS!!!
05.juin.2012                  46
Modèle de menaces (MdM)

               (threat analysis and modeling)


Un processus, pour identifier et documenter les
 menaces auxquelles un système est exposé et les
 mesures à mettre en œuvre pour les contrer, les
 détecter ou les atténuer.




05.juin.2012                   47
Qu'est-ce que le MdM?

Un processus que l'on peut répéter et améliorer.
Une activité qui a lieu tôt dans le cycle de
  développement:
    Durant la conception
    Optimise le traitement du risque avant la production de
       code
Un processus simple:
    table, chaises, papier,
        crayon, pizzas, [remplacer
        ici par la boisson qui convient]

05.juin.2012                       48

Recommandé pour vous

Catálogo Productos-piscina.com
Catálogo Productos-piscina.comCatálogo Productos-piscina.com
Catálogo Productos-piscina.com

Este documento presenta un índice de productos de la compañía FIBERPOOL, incluyendo filtros para piscinas públicas y privadas, bombas, iluminación, equipos de limpieza, accesorios y más. Proporciona detalles técnicos como conexiones, caudales, volúmenes, pesos y precios de los diferentes productos.

bomba piscinaproductos pisicna
Decreto de consagracion del ecuador
Decreto de consagracion del ecuadorDecreto de consagracion del ecuador
Decreto de consagracion del ecuador

El documento describe la consagración del Ecuador al Sagrado Corazón de Jesús hace más de cien años, liderada por el presidente Gabriel García Moreno. Luego proporciona una breve biografía de García Moreno, destacando su devoción católica y su liderazgo como presidente que buscó restaurar la religión católica como religión oficial del estado ecuatoriano. Finalmente, detalla los esfuerzos de García Moreno para firmar un concordato con el Papa Pío IX que reconociera plenamente la libertad e independ

OAuth 2.0 und OpenId Connect
OAuth 2.0 und OpenId ConnectOAuth 2.0 und OpenId Connect
OAuth 2.0 und OpenId Connect

OAuth 2.0 und OpenId Connect

oauth 2.0identityserveroauth2
Ce que le MdM n'est pas?

Ce n'est pas la solution à tous les maux:
    Ne compense pas l'absence de bonnes pratiques à
       chaque phase du cycle de développement
       (conception, implémentation, intégration, maintenance)


Ce n'est pas une science exacte:
    1 livre couvre officiellement le sujet.
    Il a été publié en 2004. Par Microsoft.
    Chacun imagine un modèle différent.


05.juin.2012                        49
Qu'est-ce que l'on obtient?

Le processus vise à livrer:
    Les menaces, s'exerçant sur l'application
    Les scenarios, pouvant résulter en un dommage
    Les mesures, nécessaires pour bloquer, détecter ou
       atténuer la survenance de ces scénarios.


Globalement: le MdM aide à prioriser les efforts de
   sécurité



05.juin.2012                     50
Contenu typique d'un MdM

Description du système et de ses actifs de haute
  valeur (assets)
Description des agents de menace (threat sources)
Description des scénarios de menace (threat
  scenarios)
Enumération des contrôles/mesures de sécurité
  (controls / countermeasures)




05.juin.2012                51
Processus

1. Décrire le système et identifier ses actifs
2. Identifier les agents de menace
3. Identifier les scénarios de menace
4. Identifier les contremesures
5. Documenter/mettre à jour le modèle
6. Diffuser le modèle




05.juin.2012                  52

Recommandé pour vous

Célèbres pannes du génie logiciel
Célèbres pannes du génie logicielCélèbres pannes du génie logiciel
Célèbres pannes du génie logiciel

Une présentation d\'un ensemble de pannes célèbre du génie logiciel

pannesgénie logiciel
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces

Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation

cybersécuritésécurité des systèmes d'informationsécurité informatique
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]

La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc. Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia : Les tendances des nouvelles technologies de l’information, Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.

cybersécuritémontrealtechnologies de l'information
1. Description du système

Quels sont les objectifs du système?
Quelles sont ses besoins/contraintes de sécurité?
    (quand les choses sont bien faites, cette étape est déjà
       documentée!)
Illustrer le système (technique dite "DFD")




05.juin.2012                      53
1. Description du système

DEMO
Diagrammes de flux DFD (dataflow diagram)




05.juin.2012              54
1. Description du système




05.juin.2012       55
1. Description du système

                 Source de
                 données
                 (datastore)




05.juin.2012         56

Recommandé pour vous

Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...

Conférence Abilways 2021

#sécurité#gdpr#incident
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes

Centrale Nantes - Conférence du 08 Octobre 2015 Présentation sur les enjeux et les évolutions de la sécurité informatique. Comment passer d'une vision de la sécurité informatique qui préserve la valeur, à une vision génératrice de valeur ajoutée pour l'entreprise ?

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT

Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ? Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.

patch managementinternet des objetsvulnerability management
1. Description du système


                        Processus/
                        programme
                        (process)




05.juin.2012       57
1. Description du système



               Acteur
               (actor)




05.juin.2012             58
1. Description du système




                Flux
                (flow)
05.juin.2012       59
1. Description du système


                        Limite de
                        confiance
                        (trust boundary)




05.juin.2012       60

Recommandé pour vous

Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure

Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous exposons ici nos remarques concernant les cas connus de malware détectés par les systèmes de renseignement anti-menace. Nous identifions par ailleurs plusieurs évolutions et tendances clés dans ce domaine.

 
par NRC
antivirusinternet securitysecurity
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation

Conférence sur l'E-réputation et la cyber sécurité organisée à Limoges en février 2018.

siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf

Cybersécurité

1. Description du système
                                                   Délimiteur
Identifier les actifs de haute valeur:            de confiance
   (high-value assets)
    Est-ce que l'on fait confiance aux administrateurs de cette
       zone?
    Est-ce que l'on fait confiance aux autres hôtes de cette
       zone?
    Peut-on intercepter les communications dans cette zone?
    Etc.




05.juin.2012                      61
1. Description du système




05.juin.2012       62
1. Description du système

Identifier les actifs de haute valeur:             Sources de
   (high-value assets)                             données

    Que souhaiterait-on voler? (confidentialité)
    Que souhaiterait-on acheter?
    Que souhaiterait-on lire?
    Que souhaiterait-on détruire? (intégrité)
    Que souhaiterait-on modifier?
    Quelles lois ou réglementations s'appliquent-elles?
         Les données sortiront-elles du système?



05.juin.2012                           63
1. Description du système




05.juin.2012       64

Recommandé pour vous

Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!

RISQ - Colloque 2018 16h00 Bertrand Milot

Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?

Midi de l'info du Plenesses Club

1. Description du système

Identifier les actifs de haute valeur:            Programme
   (high-value assets)
    Quel agent souhaiteront-on usurper?
    Dans quel agent souhaiteront-on modifier la logique?
    Quel agent a le droit d'accéder à d'autres agents?
      Des agents de contrôle? Critique? Physique?
      Des autres organisations? (relais)
      Un système transactionnel interne?
    Est-ce grave si l'agent s'arrête?


05.juin.2012                     65
1. Description du système




05.juin.2012       66
1. Description du système

Identifier les actifs de haute valeur:
   (high-value assets)                             Acteur

    Souhaiterait-on usurper un utilisateur? Lequel?
      Pourquoi? Pour consulter? Pour modifier?
    Un acteur a-t-il intérêt à pouvoir nier ses actes?
    Un acteur se connecte-t-il depuis un équipement
       probablement compromis?
    Un acteur se connecte-t-il depuis un équipement que
       certains souhaiteraient
       compromettre?


05.juin.2012                       67
1. Description du système




05.juin.2012       68

Recommandé pour vous

Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.

Conférence sur les "défis de la sécurité informatique en 2012". Animé par Jérôme Saiz - SecurityVibes, le 7 février 2012. Conférence organisé par le Club IES - IAE de Paris alumni.

jerome bondujérôme saizsecurityvibes
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise

Sécuriser ses données informatiques est devenu essentiel dans la pérennité de son activité...

sécurité informatiquefichier clientdonnées
1. Description du système

   Identifier les actifs de haute valeur:             Flux
      (high-value assets)
        Obtient-on quelque chose en interceptant ce trafic?
               des informations?
               un mot de passe?
        Est-ce intéressant de pouvoir modifier ce trafic?
               Pour affecter des transactions?
        Quelle est la direction du flux?
               Est-ce une porte d'entrée
                   dans notre système? (validation)
               Est-ce un vecteur d'entrée
                   chez un tiers? (encodage)
05.juin.2012                               69
1. Description du système




05.juin.2012       70
1. Description du système

Identifier les actifs de haute valeur:
   (high-value assets)
    On refait l'exercice une seconde fois: il y a des choses que
       l'on n'avait probablement pas compris au premier
       passage.




05.juin.2012                      71
1. Description du système

HVAs:
    Des mots de passe vont
     probablement transiter par les flux.
    L'application alimente le S.I. d'une
      compagnie d'assurance.
    Les données sont soumise à réglementation.
    Pas d'interception de trafic dans le cabinet. Mais on ne
     sait pas trop si les systèmes sont propres.
         Quid d'un cheval de Troie?




05.juin.2012                          72

Recommandé pour vous

Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés

Jeudi Afai - Internet des objets - Mazars

iotinternet des objetsia
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir

Face à l’intensification des attaques malveillantes, la cybersécurité soulève des questions de plus en plus pressantes pour les DSI, directeurs métiers et autres membres du Comex. Découvrez comment ils appréhendent ces questions avec la 19e édition de l'étude EY sur la sécurité de l'information. Plus d'informations : http://www.ey.com/fr/fr/services/advisory/ey-etude-mondiale-sur-la-securite-de-l-information-cap-su-la-cyberresilience-anticiper-resister-reagir

 
par EY
cybersécuritédigitalinformatique
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All

Swiss Grade Security - 3 octobre 2017 - Lausanne Si, depuis quelques années, les types d’attaque n’ont pas vraiment évolué, les compromissions sont de plus en plus fréquentes et faciles à réaliser, ou à faire réaliser contre compensation. Les pirates informatiques ont des profils de plus en plus diversifiés, et des motivations diverses, même si la majorité des attaques sont opportunistes. On ne se protège bien que contre ce que l’on connaît !

menaces informatiquesswiss grade securitysécurité informatique
1. Description du système

HVAs:
    2 flux entrants critiques -->
      Accroître la validation!
    3 flux sortants critiques -->
      Veiller au traitement d'erreurs et messages
    2 acteurs dont le client est à compromettre -->
      veiller à l'encodage des données!
    2 sources de données hautement réglementées -->
      veiller à respecter les contraintes
    2 flux hautement réglementés -->
       veiller à respecter les contraintes

05.juin.2012                        73
1. Pourquoi utiliser le 'DFD'?

Réponse pragmatique: c'est simple à comprendre.

                          Source de
   Acteur                 données                Flux           Programme
  - User                 - Database           - Call           - Service
  - other system         server               - Network link   - Executable
  -Partner/supplier      - Config file        - RPC            - DLL
  -…                     - Registry           -…               - Component
                         - Memory                              - Web service
                         - Queue / stack                       - Assembly
                         -…                                    -…

                                       Process boundary
                      Frontière de     File system
                       confiance       Network
                                       …


05.juin.2012                                    74
Processus

1. Décrire le système et identifier ses actifs
2. Identifier les agents de menace
3. Identifier les scénarios de menace
4. Identifier les contremesures
5. Documenter/mettre à jour le modèle
6. Diffuser le modèle




05.juin.2012                  75
2. Agents de menace

Utiliser une liste d'agents formalisée
    La Direction est censée la connaître (1% des cas).
    La Direction en ignore l'existence (99% des cas)
    Souvent, il faut improviser (en se tenant au courant)
    Un agent est caractérisé par:
         Son importance (nombre), sa motivation (moyens), l'étendue de
            son accès au système, sa démarche (ciblée ou opportuniste)




05.juin.2012                          76

Recommandé pour vous

Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces

Il faut trouver des solutions pour faire face à la menace de plus en plus forte que font peser les attaques, à la pénurie de talents et aux défis de l’optimisation des coûts en matière de cybersécurité. La tendance actuelle consiste à s’appuyer sur l’automatisation et l’orchestration des opérations de sécurité. Or l’automatisation des SecOps conduit à devoir gérer des alertes de sécurité en plus grand nombre. L’inconvénient de cette approche est qu’on est potentiellement confronté chaque jour à une foule de nouvelles alertes. Et avec des centaines de vulnérabilités de gravité critique ou élevée à gérer, c’est à un sapin de Nöel tout illuminé que ressemble le rapport de sécurité quotidien. Cela peut bel et bien conduire à l’épuisement des équipes ou, pire encore, à de mauvaises décisions en matière de gestion des vulnérabilités. Bien évidemment, il n’est pas réaliste d’espérer corriger toutes les failles. Les chefs d’entreprise doivent donc définir une limite en accord avec les équipes de sécurité. La hiérarchisation est un facteur de réussite essentiel si l’on veut renforcer l’efficacité et continuer à assurer un service approprié et de haute qualité en matière de réponse aux incidents de sécurité et de gestion des vulnérabilités. Le score CVSS ne suffit pas. Quelles sont donc les métriques pertinentes ? Comment les mesurer ? Quelle décision prendre ? Comment analyser l’efficacité de ce processus et comment l’adapter ? Cette conférence a pour but d’échanger des idées sur une méthodologie de gestion des vulnérabilités basée sur le risque à l’aide de solutions open source comme PatrowlHears. Cette approche est rendue possible par un juste équilibre entre automatisation des SecOps (pour être informés des vulnérabilités, failles et autres menaces) et hiérarchisation basée sur les métriques de vulnérabilité, l’actualité des menaces et la criticité des ressources. Nous verrons également des exemples d’événements qui devraient nous conduire à envisager une redéfinition des priorités en matière de vulnérabilités.

Tour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationTour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’information

Présentation effectuée par M. Hervé Michelland lors de l'inauguration des #SecurityTuesday en région PACA le mardi 10 juin à Antibes. #STRPACA

competitiveintelligence infosec social engineeringosintcybersecurity
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles

Les cyberattaques touchent de plus en plus d'entreprises et sont toujours plus sophistiquées. Comment gérer ces risques? Comment développer une culture du secret informationnel dans mon entreprise.

sécurité des donnéesprotection patrimoine immatérielintelligence economique
2. Agents de menace (générique)

   Type           Source                   Intensité   Exposition Remarque
                  Sources                  Élevée
                  automatisées (vers)

   Opportuniste   Outils automatisés       Élevée
                  (amateurs)
                  Conformité / Loi         Modérée

                  Concurrence              Faible

                  “Anonymous”              Faible
   Ciblé          Interne                  Faible

                  Espionnage               Faible
                  industriel / étatique
05.juin.2012                              77
2. Agents de menace (spécifique)
     Type           Source            Intensité   Exposition   Remarque
                    Systèmes clients Elevée
                    compromis

     Opportuniste   Enfants           Elevée

                    Autres cabinets   Faible

                    “Anonymous”       Faible

                    Tricheurs         Faible
     Ciblé
                    Espionnage        Faible
                    économique
                    Conformité        Faible
                    Loi
05.juin.2012                            78
2. Agents de menace (spécifique)
     Type         Source             Intensité   Exposition   Remarque

                  Systèmes clients   Elevée      Elevée       Connecté
                  compromis                                   au web

     Opportuniste Enfants            Elevée      Elevée       Connecté
                                                              au web
                  Autres cabinets    Faible      Elevée       Connecté
                                                              au web
                  “Anonymous”        Faible      Elevée       Connecté
                                                              au web
                  Tricheurs          Faible      Elevée       Connecté
     Ciblé                                                    au web
                  Espionnage         Faible      Elevée       Connecté
                  économique                                  au web
                  Conformité         Faible      Modérée      Données
                  Loi                                         privées +
                                                              patient
05.juin.2012                           79
Processus

1. Décrire le système et identifier ses actifs
2. Identifier les agents de menace
3. Identifier les scénarios de menace
4. Identifier les contremesures
5. Documenter/mettre à jour le modèle
6. Diffuser le modèle




05.juin.2012                  80

Recommandé pour vous

Owasp ottawa training-day_2012-secure_design-final
Owasp ottawa training-day_2012-secure_design-finalOwasp ottawa training-day_2012-secure_design-final
Owasp ottawa training-day_2012-secure_design-final

This document summarizes an OWASP training session on integrating security and privacy into web application projects. It discusses what OWASP is and its goals of open web application security. It then outlines the agenda and modules to be covered in the training, which include security best practices for the inception, design, coding, and post-coding phases of a web application project. The training aims to help participants understand security risk management and how to incorporate security and privacy into each phase of the development lifecycle.

owasptrainingdesign review
Securing your web apps before they hurt the organization
Securing your web apps before they hurt the organizationSecuring your web apps before they hurt the organization
Securing your web apps before they hurt the organization

This document summarizes a presentation on securing web projects. It discusses how vulnerabilities commonly occur during design, implementation, and deployment phases due to issues like incomplete specifications, lack of security requirements analysis, coding mistakes, and insecure default configurations. The presentation covers common web attacks, secure development principles, and steps organizations can take to move from a reactive to proactive security posture.

sdlc iwc12 security application webapp owasp opens
Trouvez la faille! - Confoo 2012
Trouvez la faille! - Confoo 2012Trouvez la faille! - Confoo 2012
Trouvez la faille! - Confoo 2012

Source code security review challenge at Confoo 2012 - Montreal (confoo.ca) The audience was challenged in attempting to spot security vulnerabilities in a series of source code examples.

développementapplications webweb security
3. Quels scénarios?

Rappel:
     Le modèle de menaces n'est pas un substitut à
     la démarche de développement sécurisé!
Objectif:
     Identifier et documenter les pires scénarios
     (doomsday scenarios)




05.juin.2012                  81
3. Scenarios "doomsday"

Un peu d'aide: (Evaluer pour chaque agent de menace)
    Veut-il/elle voler vos données? Les revendre?
    Veut-il/elle modifier les données?
    Veut-il/elle entrer dans le réseau interne?
    Veut-il/elle entrer chez un tiers grâce à votre réseau?
    Veut-il/elle ralentir ou paralyser votre activité?
    Veut-il/elle nier ses actions?
    Veut-il/elle éviter de payer?
    Veut-il/elle retirer de l'argent?
    Veut-il/elle porter atteinte à votre réputation?
    Veut-il/elle vous dénoncer aux autorités?

05.juin.2012                             82
3. Scenarios "doomsday"

Un peu d'aide: (Evaluer pour chaque agent de menace)
    Veut-il/elle s'amuser avec des programmes de hack?
    Veut-il/elle accéder à votre système avec un client compromis?
    …à compléter




05.juin.2012                          83
3. Scenarios "doomsday"

Décrire le scénario:
    Qui déclenche le scénario? (agent)
         Quelle est son intensité et l'exposition du système?
    Quel serait l'impact?
         Vol? Perte? Corruption? Perturbation? Financier?
            Légal? Réputation? Productivité? Santé?
    Comment le scénario se déroule-t-il?
         Décrire ce qu'il se passe quand on crie
            "Attaque!!" --> l'arbre d'intrusion


05.juin.2012                            84

Recommandé pour vous

Confoo 2012 - Web security keynote
Confoo 2012 - Web security keynoteConfoo 2012 - Web security keynote
Confoo 2012 - Web security keynote

This document summarizes a presentation on web security given at the Confoo Conference in 2012. The presentation was given by Antonio Fontes from L7 and David Mirza from Subgraph. They discussed the history of web attacks moving from host/network intrusion to modern vulnerabilities like XSS and SQL injection. They explained that all business logic and data is now on the web, making it the main target for attacks. The motivations for these attacks include money, ideology, fame, and supporting other criminal activities. They outlined the impacts such as financial costs, reputation damage, and legal/compliance issues. Finally, they provided recommendations on technical controls like web application testing and process controls like secure development practices and training to help address these ongoing

web securityconfoo
Threat Modeling web applications (2012 update)
Threat Modeling web applications (2012 update)Threat Modeling web applications (2012 update)
Threat Modeling web applications (2012 update)

Threat Modeling (2012) Case study of a web application Antonio Fontes Confoo 2012 Conference - Montreal (CA)

threat modelingsecurityconfoo
Rapid Threat Modeling : case study
Rapid Threat Modeling : case studyRapid Threat Modeling : case study
Rapid Threat Modeling : case study

Rapid Threat Modeling: doctor's case study September 6th. 2011 Securitybyte Conference Bangalore, India

threat modelingrisk managementowasp
3. Scenarios "doomsday"

      Scénario   ???

      Scénario   ???

      Scénario   …

      Scénario   …




05.juin.2012           85
3. Scenarios "doomsday"

      Scénario   La liste des patients est volée

      Scénario   La liste des mots de passe est diffusée sur Internet

      Scénario   Un patient substitue son rdv avec celui d'un autre

      Scénario   Un cheval de Troie est injecté dans le réseau de la
                 compagnie d'assurances

      Scénario   Le compte d'accès du médecin est volé et discrètement
                 surveillé par une agence de renseignement.

      Scénario   …

      Scénario   …


05.juin.2012                            86
3. Scenarios "doomsday"

    Description   La liste des patients est volée
    Source(s)     Un autre cabinet ou une autre société intéressée par
                  ces données
                  (intensité faible; exposition élevée)
    Impact        Financier: impact élevé si un autre cabinet l'obtient.
                  Réputation: impact moyen si cela se sait.

    Chemin        La BDD est obtenue grâce à une injection de code:
    d'intrusion   - un paramètre n'a pas été validé correctement
    #1            - l'injection déclenche une exécution de script côté
                  BDD
                  - les données sont retournées à l'attaquant (soit en
                  ligne directe, soit après écriture dans un fichier temp.)


05.juin.2012                             87
3. Scenarios "doomsday"

     Chemin          La BDD est obtenue depuis l'intérieur du réseau
     d'intrusion     d'hébergement:
     #2              - L'attaquant s'authentifie dans le système.
                     - L'attaquant copie les données sur un support externe
                     ou les envoie à travers le réseau
     Chemin          L'attaquant obtient l'accès au compte du médecin:
     d'intrusion     -Le mot de passe est deviné ou cassé en force brute
     #3              - Le mot de passe est intercepté depuis le réseau
                     - Le mot de passe est intercepté depuis le poste
Repeat with        the other scenarios…
                     d'accès




05.juin.2012                             88

Recommandé pour vous

Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...

Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS) Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011

owaspgenvescurit
Meet the OWASP
Meet the OWASPMeet the OWASP
Meet the OWASP

Web security track - opening talk: OWASP & OWASP Switzerland Swiss Cyber Storm 3 (Rapperswil, May 2011) Original powerpoint slides can be downloaded and re-used under following conditions: - you're free to copy, distribute and transmit the work - you're free to adapt the work - if you alter, transform, or build upon this work, you may distribute the resulting work under the same or similar rights to this one

owaspsecurityscs
Threat modeling web application: a case study
Threat modeling web application: a case studyThreat modeling web application: a case study
Threat modeling web application: a case study

Threat modeling is a technique to identify security risks in a web application before development. The speaker conducted a threat modeling exercise for a newspaper company developing a new paid electronic edition feature. He identified threats such as unauthorized access to paid content and financial data theft. Controls like access control, authentication, encryption, and logging were recommended to address these threats. The threat modeling process and results were documented in a report to guide secure development of the new feature.

security owasp threat modeling confoo confoo2011
3. Scenarios "doomsday"
                                                                    Attack trees
       Chemin            La BDD est obtenue grâce à une injection de code:
       d'intrusion #1    - un paramètre n'a pas été validé correctement
                         - l'injection déclenche une exécution de script côté BDD
                         - les données sont retournées à l'attaquant (soit en ligne
                         directe à travers les messages d'erreur, soit après écriture
                         dans un fichier temp.)
    Paramètre
    non-validé


      Injection de
          code

          Message
                        Fichier temp
          d'erreur
                         accessible
           lisible

                                       Vol de la BDD
                                          patients


05.juin.2012                                   89
3. Scenarios "doomsday"
                                                                    Attack trees
       Chemin              La BDD est obtenue depuis l'intérieur du réseau
       d'intrusion #2      d'hébergement:
                           - L'attaquant s'authentifie dans le système.
                           - L'attaquant copie les données sur un support externe ou
                   Par     les envoie à travers le réseau
                                  Par
                 cassage    interception

                      Mdp local            Accès
                       obtenu             physique
    Paramètre                     Intrusion
    non-validé                      locale

          Injection de
                                   Vol local
              code

                                           Vol de la BDD
                                              patients


05.juin.2012                                         90
3. Scenarios "doomsday"
                                                                                 Attack trees
       Chemin                L'attaquant obtient l'accès au compte du médecin:
       d'intrusion           -Le mot de passe est deviné ou cassé en force brute
       #3                    - Le mot de passe est intercepté depuis le réseau
                             - Le mot de passe est intercepté depuis le poste d'accès
                  Par             Par           Interception Mdp
                cassage      interception           email   envoyé en
                                                                clair       Malware
                                                                                       Mdp faible
                       Mdp local            Accès      Interception
                        obtenu             physique       de trafic
   Vulnerable                                                                            Force brute
                                   Intrusion                         Vol
   parameter                                                    d'identifiants
                                     locale

                 Code                                                             Mdp obtenu
                                    Vol local           Mdp volé
               injection

                                                Vol de la BDD
                                                   patients


05.juin.2012                                            91
3. Scenarios "doomsday"
                                                                                   Arbre
      Simple                                                                  d'intrusion #1
     password                  Network sniffing
                                                               Traffic                     Weak
                                                            interception   Malware       password
      Known local                  Physical
       password                    intrusion         Hacked
                                                      email                                 Bruteforce
                                                                                              attack
                         Local
                       intrusion                               Stolen
                                                             credentials   Bruteforced
   Vulnerable                                                              or Guessed
   parameter
                                    Local
                 Code              stealing            Got cabinet
               injection                                password


                                               Vol de la BDD
                                                  patients


05.juin.2012                                           92

Recommandé pour vous

The top 10 web application intrusion techniques
The top 10 web application intrusion techniquesThe top 10 web application intrusion techniques
The top 10 web application intrusion techniques

The document discusses the top 10 attack techniques used by hackers to compromise web applications, as presented by Antonio Fontes at the Confoo 2011 conference. The techniques are: 1) Injecting code inside the system, 2) Attacking client systems, 3) Attacking authentication and session systems, 4) Exploiting direct object references, 5) Controlling a 3rd party browser, 6) Exploiting an insecure configuration, 7) Breaking weak cryptography. For each technique, the objective, strategy, and potential impacts are described, along with examples and checks developers can perform to prevent attacks.

security owasp top10 web confoo confoo2011 applica
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au point

Mise au point sur le contexte et les motivations autour des cyberattaques dont il est fait référence dans la presse. Audience: juridique (avocats, juristes, etc.) Niveau technique: faible Lieu: 2 décembre 2010, faculté de Droit à l'Université de Genève Infos: http://lexgva.ch/index.php?subaction=showfull&id=1290112460

securite cybercrime internet ddos
Web application security: how to start?
Web application security: how to start?Web application security: how to start?
Web application security: how to start?

You want to start integrating security in your web application project but you don't know where to start and don't have access to software security professionals. What are the "cheapest" while very efficient activities that you can already do by yourself? Agenda: -Understanding the need for information security and privacy -Secure design: key principles -Threat modeling and analysis: building your first threat model and identifying the major risks in your web application - Testing the security of your web application - Understanding the big picture: what is a secure SDLC - Cheap and efficient security activities that might be started immediatly in your SDLC

confoo owasp security appsec web sdlc testing thre
Processus

1. Décrire le système
2. Identifier les agents de menace
3. Identifier les scénarios de menace
4. Identifier les contremesures
5. Documenter/mettre à jour le modèle
6. Diffuser le modèle




05.juin.2012                 93
4. Identifier les contrôles
                                                                                Attack tree for
      Simple                                                                     scenario #1
     password                  Network sniffing
                                                                 Traffic                     Weak
                                                              interception   Malware       password
      Known local                  Physical
       password                    intrusion          Hacked
                                                       email                                  Bruteforce
                            Analyse des contremesures                                           attack
                         Local
                       intrusion                                 Stolen
                                                               credentials   Bruteforced
   Vulnerable                                                                or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                             94
4. Identifier les contrôles
                                                                                Attack tree for
      Simple                                                                     scenario #1
     password                  Network sniffing
                                               - ???             Traffic                     Weak
                                                              interception   Malware       password
      Known local                  Physical
       password                    intrusion          Hacked
                                                       email                                  Bruteforce
                                                                                                attack
                         Local
                       intrusion                                 Stolen
                                                               credentials   Bruteforced
   Vulnerable                                                                or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                             95
4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                            Traffic                          Weak
                                                              interception   Malware       password
      Known local                  Physical
       password                    intrusion          Hacked
                                                       email                                  Bruteforce
                                                                                                attack
                         Local
                       intrusion                                 Stolen
                                                               credentials   Bruteforced
   Vulnerable                                                                or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                             96

Recommandé pour vous

Owasp Top10 2010 rc1
Owasp Top10 2010 rc1Owasp Top10 2010 rc1
Owasp Top10 2010 rc1

Within end of March, the OWASP foundation will release the 2010 version of its major documentation project, the "Top 10 security risks in web applications." Agenda: - The 10 most common web application attacks - Discovering the OWASP Top 10 document - Integrating the Top 10 within an existing SDLC, as a software vendor, or a software buyer.

top10 owasp confoo security appsec web
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...

"TRANSFORMATION DIGITALE - Initiez-vous à l'informatique et à l'utilisation de l'IA" est un guide destiné à ceux qui souhaitent se familiariser avec les bases de l'informatique et découvrir les outils de l'intelligence artificielle. Divisé en sections couvrant les suites Microsoft et Google, ainsi que des outils d'IA innovants, cet ebook offre des explications claires et des tutoriels pratiques pour aider les lecteurs à maîtriser ces technologies essentielles. Que vous soyez débutant ou que vous cherchiez à améliorer vos compétences, cet ouvrage est conçu pour vous accompagner pas à pas dans votre parcours d'apprentissage numérique.

procede de fabrication mecanique et industriel
procede de fabrication mecanique et industrielprocede de fabrication mecanique et industriel
procede de fabrication mecanique et industriel

procede de fabrication mecanique

4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                              Traffic                       Weak
                                                        - ???
                                                           interception Malware           password
      Known local                  Physical
       password                    intrusion          Hacked
                                                       email                                 Bruteforce
                                                                                               attack
                         Local
                       intrusion                                Stolen
                                                              credentials   Bruteforced
   Vulnerable                                                               or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                             97
4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                             Traffic              Weak
                                                        - Gestion des Malware à password
                                                          interception mises jour
      Known local                  Physical             - Hardening du système
       password                    intrusion          Hacked
                                                       email                              Bruteforce
                                                                                            attack
                         Local
                       intrusion                                Stolen
                                                              credentials   Bruteforced
   Vulnerable                                                               or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                             98
4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                             Traffic              Weak
                                                        - Gestion des Malware à password
                                                          interception mises jour
      Known local                  Physical             - Hardening du système
       password                    intrusion          Hacked
                                                        - Contrôle d'accès physique
                                                       email                       Bruteforce
                                                                                          attack
                         Local
                       intrusion                                Stolen
                                                              credentials   Bruteforced
   Vulnerable                                                               or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                             99
4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                              Traffic             Weak
                                                        - Gestion des Malware à password
                                                           interception mises jour
      Known local                  Physical             - Hardening du système
       password                    intrusion          Hacked
                                                        - Contrôle d'accès physique
                                                       email                       Bruteforce
                                                        - ???                        attack
                         Local
                       intrusion                                Stolen
                                                              credentials   Bruteforced
   Vulnerable                                                               or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                            100

Recommandé pour vous

Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdfTutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf

Le tutoriel interactif d’ingénierie rapide d’Anthropic. Ce cours est destiné à vous fournir une compréhension complète, étape par étape, de la façon de concevoir des invites optimales dans Claude. Après avoir terminé ce cours, vous serez en mesure de : Maîtriser la structure de base d’une bonne invite Reconnaître les modes de défaillance courants et apprendre les techniques « 80/20 » pour y remédier Comprendre les forces et les faiblesses de Claude Créez des invites puissantes à partir de zéro pour les cas d’utilisation courants Ce tutoriel existe également sur Google Sheets en utilisant l’extension Claude for Sheets d’Anthropic. Nous vous recommandons d’utiliser cette version car elle est plus conviviale. Lorsque vous êtes prêt à commencer, allez à pour continuer.01_Basic Prompt Structure

claudec35ssonnet
Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)

Ansible, Terraform, CloudFormation, [insert your favorite tech here]… Les solutions d’infra-as-code sont pléthores. Alors, pourquoi parler du dernier rejeton à la mode porté par le CNCF ? Allez, spoilons un peu l'affaire ! Bâti sur Kubernetes, Crossplane permet lui de faire converger le delivery d’une app containerisée avec toutes les autres ressources requises hors de votre cluster K8S préféré, et dont elle aura toutefois grand besoin pour fonctionner correctement : un bucket S3, une base de donnée managée, etc.. Vous orchestrez ainsi le cycle de vie de votre application complète avec une seule et même perspective. Ajoutez à cela un multicloud facilité, ou encore une vrai capacité à s’inscrire dans une démarche GitOps, et vous obtenez là une solution très efficace pour organiser vos prochains déploiements !

crossplanekubernetesplatform
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...

Vision de Claude 3.5 SONNET La famille de modèles Claude 3 est dotée de nouvelles capacités de vision qui permettent à Claude de comprendre et d’analyser des images, ouvrant ainsi des possibilités passionnantes pour l’interaction multimodale. https://www.ugaia.eu/2024/07/claude-35.html Ce guide décrit comment utiliser des images dans Claude, y compris les meilleures pratiques, les exemples de code et les limitations à garder à l’esprit. Comment utiliser la vision Utilisez les capacités de vision de Claude via : • claude.ai. Téléchargez une image comme vous le feriez pour un fichier, ou faites glisser et déposez une image directement dans la fenêtre de discussion. • L’établi de la console. Si vous sélectionnez un modèle qui accepte les images (modèles Claude 3 uniquement), un bouton pour ajouter des images apparaît en haut à droite de chaque bloc de message Utilisateur. Demande d’API. Voir les exemples dans ce guide.

claudesonnetc35s
4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                              Traffic             Weak
                                                        - Gestion des Malware à password
                                                           interception mises jour
      Known local                  Physical             - Hardening du système
       password                    intrusion          Hacked
                                                        - Contrôle d'accès physique
                                                       email                       Bruteforce
                                                        - Politique de mdp           attack
                         Local                          complexe
                       intrusion                               Stolen
                                                              credentials   Bruteforced
   Vulnerable                                                               or Guessed
   parameter
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                            101
4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                               Traffic               Weak
                                                        - Gestion des Malware à password
                                                           interception  mises jour
      Known local                  Physical             - Hardening du système
       password                    intrusion          Hacked
                                                        - Contrôle d'accès physique
                                                       email                          Bruteforce
                                                        - Politique de mdp              attack
                         Local                          complexe
                       intrusion                                Stolen
                                                                         Bruteforced
   Vulnerable                                           - Accès distant via protocole
                                                             credentials
                                                                         or Guessed
   parameter                                            chiffré
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                            102
4. Identifier les contrôles
                                                                         Attack tree for
      Simple
                               Network sniffing
                                                        - Valider les données à tous #1
                                                                          scenario
     password
                                                        les points d'entrée.
                                                               Traffic               Weak
                                                        - Gestion des Malware à password
                                                           interception  mises jour
      Known local                  Physical             - Hardening du système
       password                    intrusion          Hacked
                                                        - Contrôle d'accès physique
                                                       email                          Bruteforce
                                                        - Politique de mdp              attack
                         Local                          complexe
                       intrusion                                Stolen
                                                                         Bruteforced
   Vulnerable                                           - Accès distant via protocole
                                                             credentials
                                                                         or Guessed
   parameter                                            chiffré
                                    Local
                 Code              stealing             Got cabinet
               injection                                 password


                                               Patient database
                                                   is stolen


05.juin.2012                                            103
4. Identifier les contrôles
                                                            Attack tree for
                                                             scenario #1
- Valider les données à tous                 Traffic                     Weak
les points d'entrée.                      interception   Malware       password
- Gestion des mises à jour
                                  Hacked
- Hardening du système             email                                  Bruteforce
- Contrôle d'accès physique                                                 attack
- Politique de mdp                           Stolen
complexe                                   credentials   Bruteforced
                                                         or Guessed
- Accès distant via protocole
chiffré                             Got cabinet
                                     password


                           Patient database
                               is stolen


05.juin.2012                        104

Recommandé pour vous

CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usagesCLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages

Présentation de Claude 3.5 Sonnet La famille de modèles Claude 3 est dotée de nouvelles capacités de vision qui permettent à Claude de comprendre et d’analyser des images, ouvrant ainsi des possibilités passionnantes pour l’interaction multimodale. Les artefacts : une nouvelle façon d’utiliser Claude voir aussi sur mon blog : www.ugaia.eu

aiiaclaude
Meetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances LiferayMeetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances Liferay

Retrouvez toute la communauté Liferay francophone pour un meetup virtuel (100% remote) pendant la pause déjeuner du jeudi 4 juillet. Ce meetup sera l'occasion de vous présenter 5 sujets auxquels consacrer un peu de veille technique entre deux siestes sur la plage cet été. Pour chaque sujet on vous fait un petit résumé, on en discute ensemble et bien sur on vous donne tous les pointeurs utiles pour vous occuper un peu les jours de pluie cet été (rares bien entendu). Au programme : HTMX, Alpine.js, animation.css, N8N, Sentry, GlitchTip Et bien sur les traditionnels échanges libres ne seront pas oubliés !

htmxalpine.jsanimation.css
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptxCours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx

L'intelligence artificielle est un domaine de l'informatique qui se concentre sur la création de systèmes et de technologies capables de simuler des processus cognitifs humains tels que l'apprentissage, la résolution de problèmes, la reconnaissance de formes, et la prise de décision. Ce cours vise à explorer les différentes techniques et méthodes utilisées pour développer et améliorer les capacités des machines à penser et agir de manière autonome. L'une des principales composantes de l'intelligence artificielle est l'apprentissage automatique, qui consiste à utiliser des algorithmes pour permettre aux machines d'apprendre à partir de données et de s'améliorer progressivement sans intervention humaine. Cette approche est utilisée dans de nombreux domaines tels que la reconnaissance faciale, la recommandation de produits, la traduction automatique, et la conduite autonome. Au cours de ce cours, les étudiants sont initiés aux concepts fondamentaux de l'intelligence artificielle, tels que les réseaux de neurones, l'apprentissage supervisé et non supervisé, les processus de décision Markov, et les algorithmes de traitement automatique du langage naturel. Ils apprennent également à mettre en œuvre ces concepts en utilisant des langages de programmation tels que Python et des bibliothèques logicielles telles que TensorFlow et scikit-learn. En plus d'explorer les techniques de base de l'intelligence artificielle, ce cours aborde également des sujets avancés tels que l'apprentissage en profondeur, les réseaux de neurones convolutifs, et les réseaux générateurs adverses. Les étudiants sont encouragés à participer à des projets pratiques qui leur permettent d'appliquer les connaissances acquises et de développer leurs compétences en matière de résolution de problèmes. En conclusion, ce cours de l'intelligence artificielle vise à former les étudiants aux concepts et aux technologies de pointe dans le domaine en pleine expansion de l'intelligence artificielle. Grâce à une combinaison de théorie et de pratique, les étudiants acquièrent les compétences nécessaires pour relever les défis de l'avenir et contribuer au développement de systèmes intelligents et autonomes. Jacques KIZA DIMANDJA

1. intelligence artificielle 2apprentissage automatiqueréseaux de neurones
4. Identifier les contrôles
                                                                         Attack tree for
                                                                          scenario #1
- Valider les données à tous les
points d'entrée.                                          Traffic                     Weak
                                                       interception   Malware       password
- Gestion des mises à jour
- Hardening du système
                                               Hacked
- Contrôle d'accès physique
                                                email                                  Bruteforce
- Politique de mdp complexe                                                              attack
- Accès distant via protocole chiffré
- Politique de mdp complexe                               Stolen
(webapp)                                                credentials   Bruteforced
- Pas d'envoi du mdp par email                                        or Guessed
- SSL/TLS
- Authentification forte                         Got cabinet
- Protection contre force brute                   password


                                        Patient database
                                            is stolen


05.juin.2012                                     105
4. Identifier les contrôles
                                                                         Attack tree for
                                                                          scenario #1
- Valider les données à tous les
points d'entrée.                                          Traffic                     Weak
                                                       interception   Malware       password
- Gestion des mises à jour
- Hardening du système
                                               Hacked
- Contrôle d'accès physique
                                                email                                  Bruteforce
- Politique de mdp complexe                                                              attack
- Accès distant via protocole chiffré
- Politique de mdp complexe                               Stolen
(webapp)                                                credentials   Bruteforced
- Pas d'envoi du mdp par email                                        or Guessed
- SSL/TLS
- Authentification forte                         Got cabinet
- Protection contre force brute                   password


                                        Patient database
                                            is stolen


05.juin.2012                                     106
4. Identifier les contrôles

                                     Vol de la BDD
                                        patients



  Contremesures        - Valider les données dans les points d'injection
  arbre d'attaque #1

  Contremesures        - Maintenir le système à jour et le renforcer
  arbre d'attaque #2   - Protéger l'accès physique au système
                       - Politique de mdp locaux complexe
                       - Accès distant via protocole chiffré
  Contremesures        - Politique de mdp complexe
  arbre d'attaque #3   - Pas d'envoi du mdp par email, short lifetime recovery link
                       - SSL/TLS
                       - Authentification forte
                       - Mécanisme anti-force brute

05.juin.2012                               107
4. Identifier les contrôles

      Scénario   La liste des patients est volée

      Scénario   La liste des mots de passe est diffusée sur Internet

      Scénario   Un patient substitue son rdv avec celui d'un autre

      Scénario   Un cheval de Troie est injecté dans le réseau de la
                 compagnie d'assurances

      Scénario   Le compte d'accès du médecin est volé et discrètement
                 surveillé par une agence de renseignement.

      Scénario   …

      Scénario   …


05.juin.2012                           108
Processus

1. Décrire le système
2. Identifier les agents de menace
3. Identifier les scénarios de menace
4. Identifier les contremesures
5. Documenter/mettre à jour le modèle
6. Diffuser le modèle




05.juin.2012                109
5. Documenter/mettre à jour le
 modèle de menace
Proposition:
     1. Contexte
     2. Description du système
         1.    Diagramme(s) DFD
         2.    Actifs de haute valeur
     3. Agents de menace
     4. Scénarios d'intrusion
     5. Liste des contremesures
     6. Plan d'action


05.juin.2012                            110
Processus

1. Décrire le système
2. Identifier les agents de menace
3. Identifier les scénarios de menace
4. Identifier les contremesures
5. Documenter/mettre à jour le modèle
6. Diffuser le modèle




05.juin.2012                111
6. Diffuser le modèle                     ?????

En général, un document infosécurité
 s'adresse à des professionnels
 de l'infosécurité.
Même si l'on espère très souvent
 le contraire…
A retenir: les destinataires ne
  comprendront pas le modèle de menace:
    Présenter les résultats en personne.
    Parler la bonne langue.
    Discuter les contrôles proposés:
         coût vs. Impact sur le scénario
05.juin.2012                       112
6. Diffuser le modèle

Pour accroître l'adoption de la méthode:
    Le plan d'action doit être acceptable. Votre vision est
     probablement fausse, consultez le client!


Ne pas en faire trop:
 garder une vision globale
 du risque à l'esprit!
L'objectif est d'améliorer
  avec les moyens du bord,
  pas de dénoncer les
  manquements!

05.juin.2012                      113
6. Diffuser le modèle en interne

Quels destinataires?
    Les architectes: certaines recommandations les guideront
      dans la conception de l'application. Identifiez-les!
    Les développeurs: pour les curieux uniquement. Pour les
      autres, ils ont déjà assez à faire.
    L'équipe sécurité: elle va probablement devoir traduire le
      document dans la bonne langue-> pour le management
      (coût/durée), pour les développeurs (tâches)
    L'équipe qualité: le modèle va pouvoir lui servir de plan de test.




05.juin.2012                        114
6. Diffuser le modèle à l'éditeur

Le modèle de menace formalise la préoccupation du
  client et ses enjeux stratégiques.
Il peut être inclus dans le critère d'acceptation des
   livrables à différentes étapes:
    • Spécification fonctionnelle de l'application
    • Contrainte de conformité: "l'application ne doit pas être
      vulnérable aux attaques suivantes"
    • Contrainte pour le plan d'assurance qualité: "le plan de test
      doit évaluer la résistance aux
      attaques décrites dans le MdM"
    • Etc.

05.juin.2012                       115
Agenda

Contexte & motivations
Un peu de théorie
Etude de cas
Conclusions & perspectives




05.juin.2012                 116
Aller plus loin…

Approche "attaquant":
    Basée sur le profil de sophistication et mode opératoire des
     attaquants potentiels.
Approche "actifs":
    Basée sur les actifs de haute valeur du système.
Approche "systématique":
    Application systématique et exhaustive de l'outil STRIDE sur
     chaque composant de l'architecture.




05.juin.2012                       117
Aller plus loin…

Varier le niveau de détail des DFDs selon
 le risque:
    Application web? Application web + serveur web? Application web +
      serveur web + système d'exploitation? Application web + serveur web +
      système d'exploitation + hardware? Etc.
Essayer l'approche systématique:
    Application exhaustive du modèle STRIDE + Outil TAM tool
Ajuster le positionnement de l'organisation:
    Niveau 1: Conformité
    Niveau 2: Défense what we did
    Niveau 3: Défense et détection
    Niveau 4: Défense, détection, contremesure
05.juin.2012                           118
Aller plus loin…
                          Points d'injection
                          serveur




05.juin.2012        119
Aller plus loin…
                          Points d'injection
                          client




05.juin.2012        120
Aller plus loin…
                          Points de fuite




05.juin.2012        121
Aller plus loin…
                          Configuration
                          cryptographique




05.juin.2012        122
Aller plus loin…
                          Menaces
                          technologiques




05.juin.2012        123
Aller plus loin…


      Inception   Design    Implementation     Verification   Release   Operations



       Stratégie "Prévention":
       - Conception et architectures sécurisées
       - Définition des besoins de sécurité
       - Sensibilisation/formation à la sécurité des applications web
       Stratégie "Détection":
       - Validation de la spécification/cahier des charges
       - Validation du concept/architecture
       - Revue de sécurité du code source
       - Test d'intrusion




05.juin.2012                                 124
Aller plus loin…

STRIDE threat identification tool
   http://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx

DREAD severity assessment tool
   http://en.wikipedia.org/wiki/DREAD:_Risk_assessment_model

OWASP threat risk modeling
   https://www.owasp.org/index.php/Threat_Risk_Modeling

Microsoft SDL design phase activities + TAM tool
   http://www.microsoft.com/security/sdl/discover/design.aspx




05.juin.2012                            125
Conclusion

Le modèle de menaces est une opportunité pour traiter
  le risque au plus tôt:
    Pas de code source requis
    Les menaces et contremesures sont aujourd'hui bien
      identifiées.




05.juin.2012                     126
Conclusion                              ???


Le modèle de menaces est une
  opportunité pour améliorer la
  conception:
    Les recommandations peuvent être
      transmises à un architecte et incluses
      comme part entière du cahier
      des charges de l'application.
    Le client n'a pas nécessairement besoin
      de le comprendre. En revanche, l'expert
      sécurité doit avoir compris le besoin
      du client…



05.juin.2012                       127
Conclusion

Le modèle de menaces risque de nous éloigner des
  préoccupations principales.
    Garder un œil sur la vue d'ensemble: de quoi veut-on se
     protéger et
     pourquoi?


    Rester simple,
     et modeste.




05.juin.2012                      128
Suivez l'OWASP près de chez vous
 (et c'est en VF!)

  France
      https://www.owasp.org/index.php/France
      http://lists.owasp.org/mailman/listinfo/owasp-france

  Belgique
      https://www.owasp.org/index.php/Belgium
      http://lists.owasp.org/mailman/listinfo/owasp-belgium
  Suisse
      https://www.owasp.org/index.php/Geneva
      http://lists.owasp.org/mailman/listinfo/owasp-geneva




05.juin.2012                           129
Merci!

               Pour me contacter:
                 email: antonio.fontes@owasp.org
                 twitter: @starbuck3000

               Newsletter CDDB
               Cybermenaces et sécurité Internet:
                 http://cddb.ch

               Ce support sera publié sur slideshare.net:
                  http://www.slideshare.net/starbuck3000




05.juin.2012                    130

Contenu connexe

Tendances

Welcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat IntelligenceWelcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat Intelligence
Andreas Sfakianakis
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
Leandre Cof's Yeboue
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
diopsamba2
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
Tactika inc.
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm
 
Web Application Firewall
Web Application FirewallWeb Application Firewall
Web Application Firewall
Chandrapal Badshah
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
OWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesOWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application Vulnerabilities
Software Guru
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015
Hamza Ben Marzouk
 
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdf
slametarrokhim1
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
EyesOpen Association
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Patricia NENZI
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdf
SouvikRoy114738
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
sqlmap internals
sqlmap internalssqlmap internals
sqlmap internals
Miroslav Stampar
 
(Ab)Using GPOs for Active Directory Pwnage
(Ab)Using GPOs for Active Directory Pwnage(Ab)Using GPOs for Active Directory Pwnage
(Ab)Using GPOs for Active Directory Pwnage
Petros Koutroumpis
 
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II
Alphorm
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress
 
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
Scott Sutherland
 

Tendances (20)

Welcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat IntelligenceWelcome to the world of Cyber Threat Intelligence
Welcome to the world of Cyber Threat Intelligence
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
 
Web Application Firewall
Web Application FirewallWeb Application Firewall
Web Application Firewall
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
OWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application VulnerabilitiesOWASP Top 10 Web Application Vulnerabilities
OWASP Top 10 Web Application Vulnerabilities
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015
 
Understanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdfUnderstanding Cyber Attack - Cyber Kill Chain.pdf
Understanding Cyber Attack - Cyber Kill Chain.pdf
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdf
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
sqlmap internals
sqlmap internalssqlmap internals
sqlmap internals
 
(Ab)Using GPOs for Active Directory Pwnage
(Ab)Using GPOs for Active Directory Pwnage(Ab)Using GPOs for Active Directory Pwnage
(Ab)Using GPOs for Active Directory Pwnage
 
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
Into the Abyss: Evaluating Active Directory SMB Shares on Scale (Secure360)
 

En vedette

Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Sofien Benrhouma
 
IT Security Days - Threat Modeling
IT Security Days - Threat ModelingIT Security Days - Threat Modeling
IT Security Days - Threat Modeling
Antonio Fontes
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
e-Xpert Solutions SA
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de données
Imperva
 
Revista Regio nr.30 iulie 2014
Revista Regio nr.30 iulie 2014Revista Regio nr.30 iulie 2014
Revista Regio nr.30 iulie 2014
Programul Operational Regional
 
Ancianos
AncianosAncianos
Ancianos
Lila Avatar das
 
Danteyladivinacomedia 120702121455-phpapp01
Danteyladivinacomedia 120702121455-phpapp01Danteyladivinacomedia 120702121455-phpapp01
Danteyladivinacomedia 120702121455-phpapp01
Aldo Martín Livia Reyes
 
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
We Coach The Pros
 
Instituto Universitario de Posgrado
Instituto Universitario de PosgradoInstituto Universitario de Posgrado
Instituto Universitario de Posgrado
guest428e034d
 
Progettare antifurto a norme Cei 79 3 Diakron
Progettare antifurto a norme Cei 79 3 DiakronProgettare antifurto a norme Cei 79 3 Diakron
Progettare antifurto a norme Cei 79 3 Diakron
Assistenza Tecnoalarm Aritech Milano Monza
 
Ayudas para la mejora de la producción y comercialización de la miel en la Co...
Ayudas para la mejora de la producción y comercialización de la miel en la Co...Ayudas para la mejora de la producción y comercialización de la miel en la Co...
Ayudas para la mejora de la producción y comercialización de la miel en la Co...
CEDER Merindades
 
HOW CAN I SPY ON SOMEONES FACEBOOK
HOW CAN I SPY ON SOMEONES FACEBOOK HOW CAN I SPY ON SOMEONES FACEBOOK
HOW CAN I SPY ON SOMEONES FACEBOOK
Jane_Robert
 
Planeacion quimicayentorno
Planeacion quimicayentornoPlaneacion quimicayentorno
Planeacion quimicayentorno
blognms
 
Manual tecnico primer parcial
Manual tecnico primer parcialManual tecnico primer parcial
Manual tecnico primer parcial
Damaris Raquel
 
Bs25999 2 advisory board
Bs25999 2 advisory boardBs25999 2 advisory board
Bs25999 2 advisory board
chrisggreen
 
Catálogo Productos-piscina.com
Catálogo Productos-piscina.comCatálogo Productos-piscina.com
Catálogo Productos-piscina.com
Productos piscina
 
Decreto de consagracion del ecuador
Decreto de consagracion del ecuadorDecreto de consagracion del ecuador
Decreto de consagracion del ecuador
Mary Cecily
 
OAuth 2.0 und OpenId Connect
OAuth 2.0 und OpenId ConnectOAuth 2.0 und OpenId Connect
OAuth 2.0 und OpenId Connect
Manfred Steyer
 
Célèbres pannes du génie logiciel
Célèbres pannes du génie logicielCélèbres pannes du génie logiciel
Célèbres pannes du génie logiciel
Nassim Bahri
 

En vedette (20)

Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
 
IT Security Days - Threat Modeling
IT Security Days - Threat ModelingIT Security Days - Threat Modeling
IT Security Days - Threat Modeling
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de données
 
Revista Regio nr.30 iulie 2014
Revista Regio nr.30 iulie 2014Revista Regio nr.30 iulie 2014
Revista Regio nr.30 iulie 2014
 
Ancianos
AncianosAncianos
Ancianos
 
Danteyladivinacomedia 120702121455-phpapp01
Danteyladivinacomedia 120702121455-phpapp01Danteyladivinacomedia 120702121455-phpapp01
Danteyladivinacomedia 120702121455-phpapp01
 
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
Your Marketing Toolkit:Low-Cost/No Cost Business Tools That Will Make You Mor...
 
Instituto Universitario de Posgrado
Instituto Universitario de PosgradoInstituto Universitario de Posgrado
Instituto Universitario de Posgrado
 
Progettare antifurto a norme Cei 79 3 Diakron
Progettare antifurto a norme Cei 79 3 DiakronProgettare antifurto a norme Cei 79 3 Diakron
Progettare antifurto a norme Cei 79 3 Diakron
 
Ayudas para la mejora de la producción y comercialización de la miel en la Co...
Ayudas para la mejora de la producción y comercialización de la miel en la Co...Ayudas para la mejora de la producción y comercialización de la miel en la Co...
Ayudas para la mejora de la producción y comercialización de la miel en la Co...
 
HOW CAN I SPY ON SOMEONES FACEBOOK
HOW CAN I SPY ON SOMEONES FACEBOOK HOW CAN I SPY ON SOMEONES FACEBOOK
HOW CAN I SPY ON SOMEONES FACEBOOK
 
Planeacion quimicayentorno
Planeacion quimicayentornoPlaneacion quimicayentorno
Planeacion quimicayentorno
 
Manual tecnico primer parcial
Manual tecnico primer parcialManual tecnico primer parcial
Manual tecnico primer parcial
 
Bs25999 2 advisory board
Bs25999 2 advisory boardBs25999 2 advisory board
Bs25999 2 advisory board
 
Catálogo Productos-piscina.com
Catálogo Productos-piscina.comCatálogo Productos-piscina.com
Catálogo Productos-piscina.com
 
Decreto de consagracion del ecuador
Decreto de consagracion del ecuadorDecreto de consagracion del ecuador
Decreto de consagracion del ecuador
 
OAuth 2.0 und OpenId Connect
OAuth 2.0 und OpenId ConnectOAuth 2.0 und OpenId Connect
OAuth 2.0 und OpenId Connect
 
Célèbres pannes du génie logiciel
Célèbres pannes du génie logicielCélèbres pannes du génie logiciel
Célèbres pannes du génie logiciel
 

Similaire à Modéliser les menaces d'une application web

Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Alain EJZYN
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Maxime ALAY-EDDINE
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
NRC
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
Agoralink
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
ColloqueRISQ
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
Cédric Lefebvre
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.
Inter-Ligere
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
COMPETITIC
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
Antoine Vigneron
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
EY
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
Net4All
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
Open Source Experience
 
Tour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationTour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’information
ISSA France Security Tuesday
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
COMPETITIC
 

Similaire à Modéliser les menaces d'une application web (20)

Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Club ies 2012
Club ies 2012Club ies 2012
Club ies 2012
 
Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
 
Tour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationTour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’information
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
 

Plus de Antonio Fontes

Owasp ottawa training-day_2012-secure_design-final
Owasp ottawa training-day_2012-secure_design-finalOwasp ottawa training-day_2012-secure_design-final
Owasp ottawa training-day_2012-secure_design-final
Antonio Fontes
 
Securing your web apps before they hurt the organization
Securing your web apps before they hurt the organizationSecuring your web apps before they hurt the organization
Securing your web apps before they hurt the organization
Antonio Fontes
 
Trouvez la faille! - Confoo 2012
Trouvez la faille! - Confoo 2012Trouvez la faille! - Confoo 2012
Trouvez la faille! - Confoo 2012
Antonio Fontes
 
Confoo 2012 - Web security keynote
Confoo 2012 - Web security keynoteConfoo 2012 - Web security keynote
Confoo 2012 - Web security keynote
Antonio Fontes
 
Threat Modeling web applications (2012 update)
Threat Modeling web applications (2012 update)Threat Modeling web applications (2012 update)
Threat Modeling web applications (2012 update)
Antonio Fontes
 
Rapid Threat Modeling : case study
Rapid Threat Modeling : case studyRapid Threat Modeling : case study
Rapid Threat Modeling : case study
Antonio Fontes
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 
Meet the OWASP
Meet the OWASPMeet the OWASP
Meet the OWASP
Antonio Fontes
 
Threat modeling web application: a case study
Threat modeling web application: a case studyThreat modeling web application: a case study
Threat modeling web application: a case study
Antonio Fontes
 
The top 10 web application intrusion techniques
The top 10 web application intrusion techniquesThe top 10 web application intrusion techniques
The top 10 web application intrusion techniques
Antonio Fontes
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au point
Antonio Fontes
 
Web application security: how to start?
Web application security: how to start?Web application security: how to start?
Web application security: how to start?
Antonio Fontes
 
Owasp Top10 2010 rc1
Owasp Top10 2010 rc1Owasp Top10 2010 rc1
Owasp Top10 2010 rc1
Antonio Fontes
 

Plus de Antonio Fontes (13)

Owasp ottawa training-day_2012-secure_design-final
Owasp ottawa training-day_2012-secure_design-finalOwasp ottawa training-day_2012-secure_design-final
Owasp ottawa training-day_2012-secure_design-final
 
Securing your web apps before they hurt the organization
Securing your web apps before they hurt the organizationSecuring your web apps before they hurt the organization
Securing your web apps before they hurt the organization
 
Trouvez la faille! - Confoo 2012
Trouvez la faille! - Confoo 2012Trouvez la faille! - Confoo 2012
Trouvez la faille! - Confoo 2012
 
Confoo 2012 - Web security keynote
Confoo 2012 - Web security keynoteConfoo 2012 - Web security keynote
Confoo 2012 - Web security keynote
 
Threat Modeling web applications (2012 update)
Threat Modeling web applications (2012 update)Threat Modeling web applications (2012 update)
Threat Modeling web applications (2012 update)
 
Rapid Threat Modeling : case study
Rapid Threat Modeling : case studyRapid Threat Modeling : case study
Rapid Threat Modeling : case study
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Meet the OWASP
Meet the OWASPMeet the OWASP
Meet the OWASP
 
Threat modeling web application: a case study
Threat modeling web application: a case studyThreat modeling web application: a case study
Threat modeling web application: a case study
 
The top 10 web application intrusion techniques
The top 10 web application intrusion techniquesThe top 10 web application intrusion techniques
The top 10 web application intrusion techniques
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au point
 
Web application security: how to start?
Web application security: how to start?Web application security: how to start?
Web application security: how to start?
 
Owasp Top10 2010 rc1
Owasp Top10 2010 rc1Owasp Top10 2010 rc1
Owasp Top10 2010 rc1
 

Dernier

Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Maalik Jallo
 
procede de fabrication mecanique et industriel
procede de fabrication mecanique et industrielprocede de fabrication mecanique et industriel
procede de fabrication mecanique et industriel
saadbellaari
 
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdfTutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Erol GIRAUDY
 
Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)
Adrien Blind
 
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Erol GIRAUDY
 
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usagesCLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
Erol GIRAUDY
 
Meetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances LiferayMeetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances Liferay
Sébastien Le Marchand
 
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptxCours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Jacques KIZA DIMANDJA
 

Dernier (8)

Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
Transformation Digitale - Initiez-vous à l'informatique et à l'utilisation de...
 
procede de fabrication mecanique et industriel
procede de fabrication mecanique et industrielprocede de fabrication mecanique et industriel
procede de fabrication mecanique et industriel
 
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdfTutoriel interactif d’ingénierie rapide d’Anthropic.pdf
Tutoriel interactif d’ingénierie rapide d’Anthropic.pdf
 
Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)Introduction à Crossplane (Talk Devoxx 2023)
Introduction à Crossplane (Talk Devoxx 2023)
 
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
Vision de Claude 3.5 SONNET Comment utiliser la vision Utilisez les capacités...
 
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usagesCLAUDE 3.5 SONNET EXPLICATIONS sur les usages
CLAUDE 3.5 SONNET EXPLICATIONS sur les usages
 
Meetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances LiferayMeetup LFUG : Cahier de vacances Liferay
Meetup LFUG : Cahier de vacances Liferay
 
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptxCours d'Intelligence Artificielle et Apprentissage Automatique.pptx
Cours d'Intelligence Artificielle et Apprentissage Automatique.pptx
 

Modéliser les menaces d'une application web

  • 1. Modéliser les menaces d'une application web étude de cas Antonio Fontes antonio.fontes@owasp.org 5 juin 2012 Décharge: aucun chat n'a été blessé ou importuné durant la préparation de ce document.
  • 3. Quel interpréteur pourrait être la cible d'une tentative d'injection? (une à plusieurs réponses possibles) A. Interpréteur de requête XPath B. Interpréteur de requête SQL C. Interpréteur de requête LDAP D. Interpréteur de nom de fichier E. Interpréteur de session SMTP F. Tous ceux mentionnés G. Une injé…quoi?? 3
  • 4. La meilleure méthode pour empêcher une injection SQL? (une à plusieurs réponses possibles) A. Validation de données B. Canonisation puis validation de données C. Encodage de données D. Requête SQL paramétrée E. Canonisation de données F. Validation puis canonisation G. Il faut tout faire!!! 4
  • 5. Qu'est-ce qui est plus grave? (une réponse autorisée) A. Une injection SQL. (A1) B. Une référence directe non sécurisée. (A4) C. Une clé de chiffrement à entropie basse (A9) 5
  • 6. Qu'est-ce qui est plus grave? (une réponse autorisée) A. Une injection SQL…sur la page d'accueil du site web de la boucherie du village. B. Une référence directe non sécurisée…sur le lien de consultation en ligne des factures d'un fournisseur national d'énergie. C. Une clé de chiffrement de faible entropie, utilisée par la défense pour authentifier ses aéronefs alliés durant un conflit armé. 6
  • 7. Que pensez-vous que votre organisation craint le plus? A. Un déni de service par le groupe Anonymous B. Une fuite de plusieurs dizaines de milliers (ou plus) d'enregistrements personnels C. Un vol de données du département R&D D. La publication d'un faux communiqué de presse sur le site officiel de la société E. Un script remplaçant tous les '1,2' par '1,3' dans vos BDD. 7
  • 8. La modélisation de menaces… (choisir une réponse) A. La mo…quoi?!?!? B. Je connais mais je n'en vois pas l'utilité. C. C'est sympa mais je n'ai pas le temps. D. J'ai déjà documenté quelques modèles. E. Au petit déj, avant le café! 8
  • 9. Premières conclusions (probables) 1. Nous ne sommes pas tous d'accord du même avis pour dire ce qui est "grave". 2. Nous ne sommes pas tous du même avis pour la définition d'une injection. 3. Nous ne sommes pas tous du même avis pour la méthode de prévention. 4. Nous ne sommes pas tous du même avis sur la MdM :) 9
  • 10. Ego-slide • Antonio Fontes • Genève • Consultant Infosécurité • Sécurité des applications et dans le SDLC • Gestion du risque logiciel • Cybercriminalité • http://cddb.ch • OWASP: • Membre du Comité "OWASP Switzerland" • Leader de la section "OWASP Geneva" • https://www.owasp.org 10
  • 11. Agenda Contexte & motivations Un peu de théorie Etude de cas Conclusions & perspectives 05.juin.2012 11
  • 12. Agenda Contexte & motivations Un peu de théorie Etude de cas Conclusions & perspectives 05.juin.2012 12
  • 13. Contexte (trop)dynamique • Axe légal • Axe technologique • Axe organisationnel • Axe économique • Axe socioculturel / politique Ding Wen, développeur d'applications iPhone, 9 ans. 13
  • 14. Une "menace" omniprésente • Tout système informatique est désormais présenté sous menace constante: • Celles que l'on a oubliées… • Celles dont on peut s'accommoder… • Celles dont la presse nous parle… • Celles dont la loi nous oblige à tenir compte… 14
  • 15. Pourquoi modéliser? • Un modèle est une "vue" réglementée. Il peut être actualisé. • L'information facilite la prise de décision informée: • Qu'accepte-t-on? Que n'accepte-t-on pas? • Que faut-il absolument faire avec nos moyens limités? • Quelles sont nos priorités? 15
  • 16. Agenda Contexte & motivations Un peu de théorie Etude de cas Conclusions & perspectives 05.juin.2012 16
  • 17. « Actif » “Quelque chose appartenant ou contrôlé par l'organisation, dont un bénéfice peut être obtenu.” Particularité: • disponibilité limitée • générateur de valeur • peut-être intangible 05.juin.2012 17
  • 18. Exemples: Liquidités Machines de production, outils Connaissances, données Systèmes Méthodes Savoir-faire Etc. 05.juin.2012 18
  • 19. « Vulnérabilité » “Attribut d'un actif dont l'exercice intentionnel ou accidentel pourrait résulter en une infraction à la politique de sécurité ou une brèche de sécurité.” Note: une fonctionnalité légitime d'un système peut devenir, sous certaines conditions, une vulnérabilité. 05.juin.2012 19
  • 20. Exemples Le papier peut être vulnérable au feu, à l'eau, aux ciseaux… Le corps humain peut être vulnérable à des objets perforants. Un système électrique peut être vulnérable aux surtensions… Une application hautement sécurisée peut être vulnérable à un tremblement de terre. Un mot de passe d'une entropie de 4'096 bits est souvent vulnérable à une arme à feu pointée sur la bonne tempe. 05.juin.2012 20
  • 21. « Agent de menace » “Quelque chose (objet, événement, être vivant) pouvant exercer une action non autorisée ou indésirable sur un système donné." L'agent requiert: ressource, compétence, accès à un système donné. Ressource? Check Compétence? Check. Accès? Check. 05.juin.2012 21
  • 22. Exemples Evénements naturels: inondation, événement sismique, … Caractéristiques physiques: poussière, érosion, corrosion, chaleur, … Pannes matérielles: air conditionné, courant électrique, relais de télécommunications, … Perturbations: ondes radio, … Défaillances techniques: bug, saturation, disfonctionnement,… 05.juin.2012 22
  • 23. Exemples Êtres vivants: Maladroits Distraits Incompétents Vengeurs masqués Robin des bois Collègue jaloux Pirate informatique Crime organisé Suis-je une menace? Terroriste Développeur PHP corrompu Espionnage par un Etat ou une organisation Etc. 05.juin.2012 23
  • 24. « Impact » “Réduction ou accroissement de la capacité d'une organisation ou d'un individu à atteindre ses objectifs.” L'impact induit une perte ou un profit. Ici, on s'intéresse en priorité aux impacts adverses (donc, générateurs de pertes) 05.juin.2012 24
  • 25. Exemples Impacts génériques: Dommage à la réputation Diffusion d'information confidentielle ou stratégique Perte financière Perte ou dévaluation d'un savoir-faire ou d'une connaissance Perturbation de l'activité 05.juin.2012 25
  • 26. Exemples Impacts spécifiques: Mise en danger d'autrui Responsabilité sociale Non-conformité Destruction matérielle … 05.juin.2012 26
  • 27. Impact financier ou pas? Après extrapolation, tout impact est nécessairement financier. Pour conserver la capacité de diagnostic et de traitement du risque -> impacts catégorisés. L'impact "financier" a lieu lors d'une perte directe nette (vol à l'automate, fraude, transactions, etc.) 27
  • 28. « Scenario de menace » “Enchaînement spécifique d'actions par un ou plusieurs agents de menace menant à l'atteinte, intentionnelle ou accidentelle d'un état ou d'un événement indésirable pour l'organisation.” 05.juin.2012 28
  • 29. Exemple Scénario: Un pirate cherche des vulnérabilités dans l'app. X. Le pirate trouve la vulnérabilité 'V'. Le pirate exploite la vulnérabilité V et exfiltre des données confidentielles. Le pirate revend ces données à un concurrent. Quelles conséquences? Quel Impact? Perte de données? Vol de données? Dommage à la réputation? Dommage financier? 05.juin.2012 29
  • 30. “Risque” “Possibilité qu'une menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs, et nuise donc à l'organisation.” (ISO27005) Un risque se caractérise par: Une conséquence (impact) (plus ou moins élevé) R= p x i Une probabilité (plus ou moins haute) 05.juin.2012 30
  • 31. “Risque” OPENOPENOPEN OPENOPENOPEN!! Quel/Qui est l'agent de menace? L'oiseau est-il vulnérable? Quel scénario a-t-on à l'esprit? Quel serait l'impact? Le chat est-il un risque pour cet oiseau? A: Oui B: Non C: ça dépend 05.juin.2012 31
  • 32. Risque != Danger Le danger suggère la certitude sur deux éléments de l'équation: - l'imminence d'une menace (probabilité proche de 1) - la gravité (conséquence proche de la fatalité) Conclusion: sachons rester zen! 05.juin.2012 32
  • 33. Qu'est-ce qu'une application web sécurisée? "Une application qui ne va pas nous mettre dans la #@!!()/!" "Une application qui ne met pas en retard le planning!" "La mienne! :)" "Une application sans failles d'injection!" "Une application invulnérable aux attaques!" "Une application communiquant avec SSL!" … 05.juin.2012 33
  • 34. Qu'est-ce qu'une application sécurisée? 1. Elle se protège, elle et les systèmes et interlocuteurs avec lesquels elle interagit, contre toute action non autorisée de lecture, écriture ou exécution. 2. Ses performances ne peuvent être dégradées pour une autre raison que la rançon du succès. 3. Ses utilisateurs et interlocuteurs ne peuvent nier leurs actions. 4. Elle est un garant des lois et des conformités auxquelles elle est sujette. 05.juin.2012 34
  • 35. Qu'est-ce qu'une application sécurisée? 1. Elle se protège, elle et les systèmes et interlocuteurs avec lesquels elle interagit, contre toute action non autorisée de lecture, écriture ou Confidentialité Intégrité exécution. 2. Ses performances ne peuvent être dégradées Disponibilité pour une autre raison que la rançon du succès. 3. Ses utilisateurs et interlocuteurs ne peuvent nier Non-répudiation leurs actions. 4. Elle est un garant des lois et Conformité des conformités auxquelles elle est sujette. 05.juin.2012 35
  • 36. « Application sécurisée »? Chaque organisation a sa propre notion de sécurité. Plateforme de commerce électronique Infrastructure critique Campagne promotionnelle/marketing Plateforme d'échange entre entreprises Communauté, réseau social Banque en ligne Administration en ligne Site web vitrine Etc. 05.juin.2012 36
  • 37. Le challenge: • Identifier et comprendre la menace: qui peut présenter un comportement adverse et sous quelle forme? • Identifier les mesures les plus efficientes: comment empêche-t-on ce comportement? Comment le détecter? En atténuer l'effet? • Positionner l'organisation: permettre la prise de décision éclairée. 05.juin.2012 37
  • 38. Agenda Contexte & motivations Un peu de théorie Etude de cas Conclusions & perspectives 05.juin.2012 38
  • 39. Etude de cas: PLCM (Planificateur en ligne pour consultation médicale) Mission: 1. Alléger les activités de secrétariat pour un groupe de pédiatres actifs dans plusieurs villages. 2. Permettre la planification en ligne 24/24 de consultations 3. Améliorer le mécanisme de triage (symptômes -> urgences) 05.juin.2012 39
  • 40. PLCM: le concept Cas d'utilisation: Patients: Recherche d'un slot disponible et réservation d'une consultation. Annulation d'une consultation Cabinet: Recherche de cas urgents Pré-diagnostic de patients au moyen d'un questionnaire en ligne. Modification des rendez-vous 05.juin.2012 40
  • 41. PLCM: le concept Cas d'utilisation: Assurances: Rapport statistique mensuel et anonymisé 05.juin.2012 41
  • 42. PLCM: le concept Vision: Une application web Les patients réguliers ont un compte permettant la réservation j+1 De l'hébergement de pro Mais le moins cher possible... 05.juin.2012 42
  • 43. PLCM: le client Le pédiatre contacte une agence web Pouvez-vous me faire ce site? Challenge accepted! 05.juin.2012 43
  • 44. PLCM: le client Le client achète régulièrement son journal dans la rue… et voit des trucs bizarres Hé! Mr. Sécurité, tu penses quoi de mon projet?? Photo volée sans scrupules sur le mur Facebook de @SPoint 05.juin.2012 44
  • 45. PLCM: le client The customer comes to Confoo and attends the “web security” talk…. - Hey security guy! What do you think? 05.juin.2012 45
  • 46. Réputation!!! Script kiddies Contournement de Entropie Code review l'authentification Espionnage! cryptographique Injection SQL Revue deCross-Site code source faible Encodage Scripting!!! Vol de données Hackers! vulnérable Stockage Patients VIP Validation vulnérable de Attaques web modèle Test d'intrusion Il faut un défaillante Configuration Injection LDAP de menaces! vulnérable mot de passe Références Données patient directes non de Non-conformité Vol mot de Données sur médical sécurisées passe des enfants Données personnelles ANONYMOUS!!! 05.juin.2012 46
  • 47. Modèle de menaces (MdM) (threat analysis and modeling) Un processus, pour identifier et documenter les menaces auxquelles un système est exposé et les mesures à mettre en œuvre pour les contrer, les détecter ou les atténuer. 05.juin.2012 47
  • 48. Qu'est-ce que le MdM? Un processus que l'on peut répéter et améliorer. Une activité qui a lieu tôt dans le cycle de développement: Durant la conception Optimise le traitement du risque avant la production de code Un processus simple: table, chaises, papier, crayon, pizzas, [remplacer ici par la boisson qui convient] 05.juin.2012 48
  • 49. Ce que le MdM n'est pas? Ce n'est pas la solution à tous les maux: Ne compense pas l'absence de bonnes pratiques à chaque phase du cycle de développement (conception, implémentation, intégration, maintenance) Ce n'est pas une science exacte: 1 livre couvre officiellement le sujet. Il a été publié en 2004. Par Microsoft. Chacun imagine un modèle différent. 05.juin.2012 49
  • 50. Qu'est-ce que l'on obtient? Le processus vise à livrer: Les menaces, s'exerçant sur l'application Les scenarios, pouvant résulter en un dommage Les mesures, nécessaires pour bloquer, détecter ou atténuer la survenance de ces scénarios. Globalement: le MdM aide à prioriser les efforts de sécurité 05.juin.2012 50
  • 51. Contenu typique d'un MdM Description du système et de ses actifs de haute valeur (assets) Description des agents de menace (threat sources) Description des scénarios de menace (threat scenarios) Enumération des contrôles/mesures de sécurité (controls / countermeasures) 05.juin.2012 51
  • 52. Processus 1. Décrire le système et identifier ses actifs 2. Identifier les agents de menace 3. Identifier les scénarios de menace 4. Identifier les contremesures 5. Documenter/mettre à jour le modèle 6. Diffuser le modèle 05.juin.2012 52
  • 53. 1. Description du système Quels sont les objectifs du système? Quelles sont ses besoins/contraintes de sécurité? (quand les choses sont bien faites, cette étape est déjà documentée!) Illustrer le système (technique dite "DFD") 05.juin.2012 53
  • 54. 1. Description du système DEMO Diagrammes de flux DFD (dataflow diagram) 05.juin.2012 54
  • 55. 1. Description du système 05.juin.2012 55
  • 56. 1. Description du système Source de données (datastore) 05.juin.2012 56
  • 57. 1. Description du système Processus/ programme (process) 05.juin.2012 57
  • 58. 1. Description du système Acteur (actor) 05.juin.2012 58
  • 59. 1. Description du système Flux (flow) 05.juin.2012 59
  • 60. 1. Description du système Limite de confiance (trust boundary) 05.juin.2012 60
  • 61. 1. Description du système Délimiteur Identifier les actifs de haute valeur: de confiance (high-value assets) Est-ce que l'on fait confiance aux administrateurs de cette zone? Est-ce que l'on fait confiance aux autres hôtes de cette zone? Peut-on intercepter les communications dans cette zone? Etc. 05.juin.2012 61
  • 62. 1. Description du système 05.juin.2012 62
  • 63. 1. Description du système Identifier les actifs de haute valeur: Sources de (high-value assets) données Que souhaiterait-on voler? (confidentialité) Que souhaiterait-on acheter? Que souhaiterait-on lire? Que souhaiterait-on détruire? (intégrité) Que souhaiterait-on modifier? Quelles lois ou réglementations s'appliquent-elles? Les données sortiront-elles du système? 05.juin.2012 63
  • 64. 1. Description du système 05.juin.2012 64
  • 65. 1. Description du système Identifier les actifs de haute valeur: Programme (high-value assets) Quel agent souhaiteront-on usurper? Dans quel agent souhaiteront-on modifier la logique? Quel agent a le droit d'accéder à d'autres agents? Des agents de contrôle? Critique? Physique? Des autres organisations? (relais) Un système transactionnel interne? Est-ce grave si l'agent s'arrête? 05.juin.2012 65
  • 66. 1. Description du système 05.juin.2012 66
  • 67. 1. Description du système Identifier les actifs de haute valeur: (high-value assets) Acteur Souhaiterait-on usurper un utilisateur? Lequel? Pourquoi? Pour consulter? Pour modifier? Un acteur a-t-il intérêt à pouvoir nier ses actes? Un acteur se connecte-t-il depuis un équipement probablement compromis? Un acteur se connecte-t-il depuis un équipement que certains souhaiteraient compromettre? 05.juin.2012 67
  • 68. 1. Description du système 05.juin.2012 68
  • 69. 1. Description du système Identifier les actifs de haute valeur: Flux (high-value assets) Obtient-on quelque chose en interceptant ce trafic? des informations? un mot de passe? Est-ce intéressant de pouvoir modifier ce trafic? Pour affecter des transactions? Quelle est la direction du flux? Est-ce une porte d'entrée dans notre système? (validation) Est-ce un vecteur d'entrée chez un tiers? (encodage) 05.juin.2012 69
  • 70. 1. Description du système 05.juin.2012 70
  • 71. 1. Description du système Identifier les actifs de haute valeur: (high-value assets) On refait l'exercice une seconde fois: il y a des choses que l'on n'avait probablement pas compris au premier passage. 05.juin.2012 71
  • 72. 1. Description du système HVAs: Des mots de passe vont probablement transiter par les flux. L'application alimente le S.I. d'une compagnie d'assurance. Les données sont soumise à réglementation. Pas d'interception de trafic dans le cabinet. Mais on ne sait pas trop si les systèmes sont propres. Quid d'un cheval de Troie? 05.juin.2012 72
  • 73. 1. Description du système HVAs: 2 flux entrants critiques --> Accroître la validation! 3 flux sortants critiques --> Veiller au traitement d'erreurs et messages 2 acteurs dont le client est à compromettre --> veiller à l'encodage des données! 2 sources de données hautement réglementées --> veiller à respecter les contraintes 2 flux hautement réglementés --> veiller à respecter les contraintes 05.juin.2012 73
  • 74. 1. Pourquoi utiliser le 'DFD'? Réponse pragmatique: c'est simple à comprendre. Source de Acteur données Flux Programme - User - Database - Call - Service - other system server - Network link - Executable -Partner/supplier - Config file - RPC - DLL -… - Registry -… - Component - Memory - Web service - Queue / stack - Assembly -… -… Process boundary Frontière de File system confiance Network … 05.juin.2012 74
  • 75. Processus 1. Décrire le système et identifier ses actifs 2. Identifier les agents de menace 3. Identifier les scénarios de menace 4. Identifier les contremesures 5. Documenter/mettre à jour le modèle 6. Diffuser le modèle 05.juin.2012 75
  • 76. 2. Agents de menace Utiliser une liste d'agents formalisée La Direction est censée la connaître (1% des cas). La Direction en ignore l'existence (99% des cas) Souvent, il faut improviser (en se tenant au courant) Un agent est caractérisé par: Son importance (nombre), sa motivation (moyens), l'étendue de son accès au système, sa démarche (ciblée ou opportuniste) 05.juin.2012 76
  • 77. 2. Agents de menace (générique) Type Source Intensité Exposition Remarque Sources Élevée automatisées (vers) Opportuniste Outils automatisés Élevée (amateurs) Conformité / Loi Modérée Concurrence Faible “Anonymous” Faible Ciblé Interne Faible Espionnage Faible industriel / étatique 05.juin.2012 77
  • 78. 2. Agents de menace (spécifique) Type Source Intensité Exposition Remarque Systèmes clients Elevée compromis Opportuniste Enfants Elevée Autres cabinets Faible “Anonymous” Faible Tricheurs Faible Ciblé Espionnage Faible économique Conformité Faible Loi 05.juin.2012 78
  • 79. 2. Agents de menace (spécifique) Type Source Intensité Exposition Remarque Systèmes clients Elevée Elevée Connecté compromis au web Opportuniste Enfants Elevée Elevée Connecté au web Autres cabinets Faible Elevée Connecté au web “Anonymous” Faible Elevée Connecté au web Tricheurs Faible Elevée Connecté Ciblé au web Espionnage Faible Elevée Connecté économique au web Conformité Faible Modérée Données Loi privées + patient 05.juin.2012 79
  • 80. Processus 1. Décrire le système et identifier ses actifs 2. Identifier les agents de menace 3. Identifier les scénarios de menace 4. Identifier les contremesures 5. Documenter/mettre à jour le modèle 6. Diffuser le modèle 05.juin.2012 80
  • 81. 3. Quels scénarios? Rappel: Le modèle de menaces n'est pas un substitut à la démarche de développement sécurisé! Objectif: Identifier et documenter les pires scénarios (doomsday scenarios) 05.juin.2012 81
  • 82. 3. Scenarios "doomsday" Un peu d'aide: (Evaluer pour chaque agent de menace) Veut-il/elle voler vos données? Les revendre? Veut-il/elle modifier les données? Veut-il/elle entrer dans le réseau interne? Veut-il/elle entrer chez un tiers grâce à votre réseau? Veut-il/elle ralentir ou paralyser votre activité? Veut-il/elle nier ses actions? Veut-il/elle éviter de payer? Veut-il/elle retirer de l'argent? Veut-il/elle porter atteinte à votre réputation? Veut-il/elle vous dénoncer aux autorités? 05.juin.2012 82
  • 83. 3. Scenarios "doomsday" Un peu d'aide: (Evaluer pour chaque agent de menace) Veut-il/elle s'amuser avec des programmes de hack? Veut-il/elle accéder à votre système avec un client compromis? …à compléter 05.juin.2012 83
  • 84. 3. Scenarios "doomsday" Décrire le scénario: Qui déclenche le scénario? (agent) Quelle est son intensité et l'exposition du système? Quel serait l'impact? Vol? Perte? Corruption? Perturbation? Financier? Légal? Réputation? Productivité? Santé? Comment le scénario se déroule-t-il? Décrire ce qu'il se passe quand on crie "Attaque!!" --> l'arbre d'intrusion 05.juin.2012 84
  • 85. 3. Scenarios "doomsday" Scénario ??? Scénario ??? Scénario … Scénario … 05.juin.2012 85
  • 86. 3. Scenarios "doomsday" Scénario La liste des patients est volée Scénario La liste des mots de passe est diffusée sur Internet Scénario Un patient substitue son rdv avec celui d'un autre Scénario Un cheval de Troie est injecté dans le réseau de la compagnie d'assurances Scénario Le compte d'accès du médecin est volé et discrètement surveillé par une agence de renseignement. Scénario … Scénario … 05.juin.2012 86
  • 87. 3. Scenarios "doomsday" Description La liste des patients est volée Source(s) Un autre cabinet ou une autre société intéressée par ces données (intensité faible; exposition élevée) Impact Financier: impact élevé si un autre cabinet l'obtient. Réputation: impact moyen si cela se sait. Chemin La BDD est obtenue grâce à une injection de code: d'intrusion - un paramètre n'a pas été validé correctement #1 - l'injection déclenche une exécution de script côté BDD - les données sont retournées à l'attaquant (soit en ligne directe, soit après écriture dans un fichier temp.) 05.juin.2012 87
  • 88. 3. Scenarios "doomsday" Chemin La BDD est obtenue depuis l'intérieur du réseau d'intrusion d'hébergement: #2 - L'attaquant s'authentifie dans le système. - L'attaquant copie les données sur un support externe ou les envoie à travers le réseau Chemin L'attaquant obtient l'accès au compte du médecin: d'intrusion -Le mot de passe est deviné ou cassé en force brute #3 - Le mot de passe est intercepté depuis le réseau - Le mot de passe est intercepté depuis le poste Repeat with the other scenarios… d'accès 05.juin.2012 88
  • 89. 3. Scenarios "doomsday" Attack trees Chemin La BDD est obtenue grâce à une injection de code: d'intrusion #1 - un paramètre n'a pas été validé correctement - l'injection déclenche une exécution de script côté BDD - les données sont retournées à l'attaquant (soit en ligne directe à travers les messages d'erreur, soit après écriture dans un fichier temp.) Paramètre non-validé Injection de code Message Fichier temp d'erreur accessible lisible Vol de la BDD patients 05.juin.2012 89
  • 90. 3. Scenarios "doomsday" Attack trees Chemin La BDD est obtenue depuis l'intérieur du réseau d'intrusion #2 d'hébergement: - L'attaquant s'authentifie dans le système. - L'attaquant copie les données sur un support externe ou Par les envoie à travers le réseau Par cassage interception Mdp local Accès obtenu physique Paramètre Intrusion non-validé locale Injection de Vol local code Vol de la BDD patients 05.juin.2012 90
  • 91. 3. Scenarios "doomsday" Attack trees Chemin L'attaquant obtient l'accès au compte du médecin: d'intrusion -Le mot de passe est deviné ou cassé en force brute #3 - Le mot de passe est intercepté depuis le réseau - Le mot de passe est intercepté depuis le poste d'accès Par Par Interception Mdp cassage interception email envoyé en clair Malware Mdp faible Mdp local Accès Interception obtenu physique de trafic Vulnerable Force brute Intrusion Vol parameter d'identifiants locale Code Mdp obtenu Vol local Mdp volé injection Vol de la BDD patients 05.juin.2012 91
  • 92. 3. Scenarios "doomsday" Arbre Simple d'intrusion #1 password Network sniffing Traffic Weak interception Malware password Known local Physical password intrusion Hacked email Bruteforce attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Vol de la BDD patients 05.juin.2012 92
  • 93. Processus 1. Décrire le système 2. Identifier les agents de menace 3. Identifier les scénarios de menace 4. Identifier les contremesures 5. Documenter/mettre à jour le modèle 6. Diffuser le modèle 05.juin.2012 93
  • 94. 4. Identifier les contrôles Attack tree for Simple scenario #1 password Network sniffing Traffic Weak interception Malware password Known local Physical password intrusion Hacked email Bruteforce Analyse des contremesures attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 94
  • 95. 4. Identifier les contrôles Attack tree for Simple scenario #1 password Network sniffing - ??? Traffic Weak interception Malware password Known local Physical password intrusion Hacked email Bruteforce attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 95
  • 96. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak interception Malware password Known local Physical password intrusion Hacked email Bruteforce attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 96
  • 97. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak - ??? interception Malware password Known local Physical password intrusion Hacked email Bruteforce attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 97
  • 98. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak - Gestion des Malware à password interception mises jour Known local Physical - Hardening du système password intrusion Hacked email Bruteforce attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 98
  • 99. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak - Gestion des Malware à password interception mises jour Known local Physical - Hardening du système password intrusion Hacked - Contrôle d'accès physique email Bruteforce attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 99
  • 100. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak - Gestion des Malware à password interception mises jour Known local Physical - Hardening du système password intrusion Hacked - Contrôle d'accès physique email Bruteforce - ??? attack Local intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 100
  • 101. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak - Gestion des Malware à password interception mises jour Known local Physical - Hardening du système password intrusion Hacked - Contrôle d'accès physique email Bruteforce - Politique de mdp attack Local complexe intrusion Stolen credentials Bruteforced Vulnerable or Guessed parameter Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 101
  • 102. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak - Gestion des Malware à password interception mises jour Known local Physical - Hardening du système password intrusion Hacked - Contrôle d'accès physique email Bruteforce - Politique de mdp attack Local complexe intrusion Stolen Bruteforced Vulnerable - Accès distant via protocole credentials or Guessed parameter chiffré Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 102
  • 103. 4. Identifier les contrôles Attack tree for Simple Network sniffing - Valider les données à tous #1 scenario password les points d'entrée. Traffic Weak - Gestion des Malware à password interception mises jour Known local Physical - Hardening du système password intrusion Hacked - Contrôle d'accès physique email Bruteforce - Politique de mdp attack Local complexe intrusion Stolen Bruteforced Vulnerable - Accès distant via protocole credentials or Guessed parameter chiffré Local Code stealing Got cabinet injection password Patient database is stolen 05.juin.2012 103
  • 104. 4. Identifier les contrôles Attack tree for scenario #1 - Valider les données à tous Traffic Weak les points d'entrée. interception Malware password - Gestion des mises à jour Hacked - Hardening du système email Bruteforce - Contrôle d'accès physique attack - Politique de mdp Stolen complexe credentials Bruteforced or Guessed - Accès distant via protocole chiffré Got cabinet password Patient database is stolen 05.juin.2012 104
  • 105. 4. Identifier les contrôles Attack tree for scenario #1 - Valider les données à tous les points d'entrée. Traffic Weak interception Malware password - Gestion des mises à jour - Hardening du système Hacked - Contrôle d'accès physique email Bruteforce - Politique de mdp complexe attack - Accès distant via protocole chiffré - Politique de mdp complexe Stolen (webapp) credentials Bruteforced - Pas d'envoi du mdp par email or Guessed - SSL/TLS - Authentification forte Got cabinet - Protection contre force brute password Patient database is stolen 05.juin.2012 105
  • 106. 4. Identifier les contrôles Attack tree for scenario #1 - Valider les données à tous les points d'entrée. Traffic Weak interception Malware password - Gestion des mises à jour - Hardening du système Hacked - Contrôle d'accès physique email Bruteforce - Politique de mdp complexe attack - Accès distant via protocole chiffré - Politique de mdp complexe Stolen (webapp) credentials Bruteforced - Pas d'envoi du mdp par email or Guessed - SSL/TLS - Authentification forte Got cabinet - Protection contre force brute password Patient database is stolen 05.juin.2012 106
  • 107. 4. Identifier les contrôles Vol de la BDD patients Contremesures - Valider les données dans les points d'injection arbre d'attaque #1 Contremesures - Maintenir le système à jour et le renforcer arbre d'attaque #2 - Protéger l'accès physique au système - Politique de mdp locaux complexe - Accès distant via protocole chiffré Contremesures - Politique de mdp complexe arbre d'attaque #3 - Pas d'envoi du mdp par email, short lifetime recovery link - SSL/TLS - Authentification forte - Mécanisme anti-force brute 05.juin.2012 107
  • 108. 4. Identifier les contrôles Scénario La liste des patients est volée Scénario La liste des mots de passe est diffusée sur Internet Scénario Un patient substitue son rdv avec celui d'un autre Scénario Un cheval de Troie est injecté dans le réseau de la compagnie d'assurances Scénario Le compte d'accès du médecin est volé et discrètement surveillé par une agence de renseignement. Scénario … Scénario … 05.juin.2012 108
  • 109. Processus 1. Décrire le système 2. Identifier les agents de menace 3. Identifier les scénarios de menace 4. Identifier les contremesures 5. Documenter/mettre à jour le modèle 6. Diffuser le modèle 05.juin.2012 109
  • 110. 5. Documenter/mettre à jour le modèle de menace Proposition: 1. Contexte 2. Description du système 1. Diagramme(s) DFD 2. Actifs de haute valeur 3. Agents de menace 4. Scénarios d'intrusion 5. Liste des contremesures 6. Plan d'action 05.juin.2012 110
  • 111. Processus 1. Décrire le système 2. Identifier les agents de menace 3. Identifier les scénarios de menace 4. Identifier les contremesures 5. Documenter/mettre à jour le modèle 6. Diffuser le modèle 05.juin.2012 111
  • 112. 6. Diffuser le modèle ????? En général, un document infosécurité s'adresse à des professionnels de l'infosécurité. Même si l'on espère très souvent le contraire… A retenir: les destinataires ne comprendront pas le modèle de menace: Présenter les résultats en personne. Parler la bonne langue. Discuter les contrôles proposés: coût vs. Impact sur le scénario 05.juin.2012 112
  • 113. 6. Diffuser le modèle Pour accroître l'adoption de la méthode: Le plan d'action doit être acceptable. Votre vision est probablement fausse, consultez le client! Ne pas en faire trop: garder une vision globale du risque à l'esprit! L'objectif est d'améliorer avec les moyens du bord, pas de dénoncer les manquements! 05.juin.2012 113
  • 114. 6. Diffuser le modèle en interne Quels destinataires? Les architectes: certaines recommandations les guideront dans la conception de l'application. Identifiez-les! Les développeurs: pour les curieux uniquement. Pour les autres, ils ont déjà assez à faire. L'équipe sécurité: elle va probablement devoir traduire le document dans la bonne langue-> pour le management (coût/durée), pour les développeurs (tâches) L'équipe qualité: le modèle va pouvoir lui servir de plan de test. 05.juin.2012 114
  • 115. 6. Diffuser le modèle à l'éditeur Le modèle de menace formalise la préoccupation du client et ses enjeux stratégiques. Il peut être inclus dans le critère d'acceptation des livrables à différentes étapes: • Spécification fonctionnelle de l'application • Contrainte de conformité: "l'application ne doit pas être vulnérable aux attaques suivantes" • Contrainte pour le plan d'assurance qualité: "le plan de test doit évaluer la résistance aux attaques décrites dans le MdM" • Etc. 05.juin.2012 115
  • 116. Agenda Contexte & motivations Un peu de théorie Etude de cas Conclusions & perspectives 05.juin.2012 116
  • 117. Aller plus loin… Approche "attaquant": Basée sur le profil de sophistication et mode opératoire des attaquants potentiels. Approche "actifs": Basée sur les actifs de haute valeur du système. Approche "systématique": Application systématique et exhaustive de l'outil STRIDE sur chaque composant de l'architecture. 05.juin.2012 117
  • 118. Aller plus loin… Varier le niveau de détail des DFDs selon le risque: Application web? Application web + serveur web? Application web + serveur web + système d'exploitation? Application web + serveur web + système d'exploitation + hardware? Etc. Essayer l'approche systématique: Application exhaustive du modèle STRIDE + Outil TAM tool Ajuster le positionnement de l'organisation: Niveau 1: Conformité Niveau 2: Défense what we did Niveau 3: Défense et détection Niveau 4: Défense, détection, contremesure 05.juin.2012 118
  • 119. Aller plus loin… Points d'injection serveur 05.juin.2012 119
  • 120. Aller plus loin… Points d'injection client 05.juin.2012 120
  • 121. Aller plus loin… Points de fuite 05.juin.2012 121
  • 122. Aller plus loin… Configuration cryptographique 05.juin.2012 122
  • 123. Aller plus loin… Menaces technologiques 05.juin.2012 123
  • 124. Aller plus loin… Inception Design Implementation Verification Release Operations Stratégie "Prévention": - Conception et architectures sécurisées - Définition des besoins de sécurité - Sensibilisation/formation à la sécurité des applications web Stratégie "Détection": - Validation de la spécification/cahier des charges - Validation du concept/architecture - Revue de sécurité du code source - Test d'intrusion 05.juin.2012 124
  • 125. Aller plus loin… STRIDE threat identification tool http://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx DREAD severity assessment tool http://en.wikipedia.org/wiki/DREAD:_Risk_assessment_model OWASP threat risk modeling https://www.owasp.org/index.php/Threat_Risk_Modeling Microsoft SDL design phase activities + TAM tool http://www.microsoft.com/security/sdl/discover/design.aspx 05.juin.2012 125
  • 126. Conclusion Le modèle de menaces est une opportunité pour traiter le risque au plus tôt: Pas de code source requis Les menaces et contremesures sont aujourd'hui bien identifiées. 05.juin.2012 126
  • 127. Conclusion ??? Le modèle de menaces est une opportunité pour améliorer la conception: Les recommandations peuvent être transmises à un architecte et incluses comme part entière du cahier des charges de l'application. Le client n'a pas nécessairement besoin de le comprendre. En revanche, l'expert sécurité doit avoir compris le besoin du client… 05.juin.2012 127
  • 128. Conclusion Le modèle de menaces risque de nous éloigner des préoccupations principales. Garder un œil sur la vue d'ensemble: de quoi veut-on se protéger et pourquoi? Rester simple, et modeste. 05.juin.2012 128
  • 129. Suivez l'OWASP près de chez vous (et c'est en VF!) France https://www.owasp.org/index.php/France http://lists.owasp.org/mailman/listinfo/owasp-france Belgique https://www.owasp.org/index.php/Belgium http://lists.owasp.org/mailman/listinfo/owasp-belgium Suisse https://www.owasp.org/index.php/Geneva http://lists.owasp.org/mailman/listinfo/owasp-geneva 05.juin.2012 129
  • 130. Merci! Pour me contacter: email: antonio.fontes@owasp.org twitter: @starbuck3000 Newsletter CDDB Cybermenaces et sécurité Internet: http://cddb.ch Ce support sera publié sur slideshare.net: http://www.slideshare.net/starbuck3000 05.juin.2012 130