SlideShare une entreprise Scribd logo

Sécurité des Développements Webs et Mobiles

Télécharger en tant que PPTX, PDF
P
Phonesec
Technologie
1  sur  47
Risques et menaces IT La sécurité, pourquoi et à quel prix Membre OWASP
Conseil • GOUVERNANCE • Analyse de risque • Pssi • Pca / Pra • SMSI • IAM • Lutte contre la fraude • R & D • Guides de développement • Développement • GESTION DE CRISE • Fuite d’information • Crise Réputationnelle • Fraude Audit • SSI • Applications Client • Infra & Réseaux • Vulnérabilités • Code Source • FRAUDE • Fraude en ligne • Fraude interne • CONFORMITE • Iso 27x • Pci Dss • Cnil Veille • ETUDE • Etat de l’art • Benchmark • HACKING IT • BAD E-REPUTATION Formation • SENSIBILISATION • Collaborateur • Direction • GOUVERNANCE • Rssi • Cnil / Cil • Bad buzz • Ingénierie Sociale • TECHNIQUE • Développements Sécurisés (OWASP) • Tests d’intrusion • Forensic Pôle de compétences PHONESEC – Tout secteur d’activité Domaines d’activité Membre OWASP
Quand tout s’emballe !! Membre OWASP
Le prix de la sécurité Membre OWASP Impacts liés à la sécurité Impact fonctionnel Limitation de l’expérience utilisateur Impact financier sur le model éco
Facteurs d’exposition Membre OWASP SécuritéNature des données Volume des données Actualité (contexte) Dissuasion faible Notoriété Malchance, fatalité, destin…
Le prix de l’insécurité 2,86 Millions d’euros Cost Of Data Breach – Symantec / Ponemon Institute Estimation des coûts pour une entreprise à chaque incident de vol de données en France Membre OWASP
Aimez vous les paris ? Economies de sécurité Aucune attaque J’ai de la chance Economies de sécurité Attaque majeure $$$$$$$ €€€€€€€ Membre OWASP
Le prix du risque Membre OWASP Conception Développement production Sécurité à la conception Recette sécurité Gestion de crise IMAPCTENCASD’ATTAQUE PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE
Comment améliorer la sécurité des développements de services mobiles Membre OWASP
Focus 2013 Membre OWASP
Weak Server Side Controls Membre OWASP • Différence de sémantique: parle plus de vulnérabilité que de risque • Précisions • M5 et M9 sont traités ensemble • M7 et M8 de même
Weak Server Side Controls Membre OWASP • Sécurité du backend: le web service • Présentation des services mobiles • Suis-je vulnérable ? • Test d’intrusion, audit de code, surface d’attaque … • Comment m’en prémunir ? • Secure Coding ! (Cf. présentation Tarik)
Insecure Storage Membre OWASP • Stockage sur les terminaux non sécurisé • Rappel sur les applications mobiles • Suis-je vulnérable ? • SharedPreference, SQLite, … • Comment m’en prémunir ? • Dépend de la plateforme des solutions existent
Insufficient Transport Layer Protection Membre OWASP • Communication en clair • HTTPS/SSL: les apports • Suis-je vulnérable ? • Mon application communique-t-elle des données sensibles ? • Comment m’en prémunir ? • Analyse de risque sur les données; • Valider que le réseau est sûr, les contrôles bien effectués, ….
Unintended Data Leakage Membre OWASP • Rétention de données • Les caches et autres mécanisme cachés; • Suis-je vulnérable ? • Web, Copier/Coller, … • Comment m’en prémunir ? • Vider les caches, …
Poor Authorization and Authentication – Improper Session Handling Membre OWASP • Authentification et Autorisation • La problématique de l’authentification et de l’autorisation; • Suis-je vulnérable ? • Dois je authentifier /autoriser des utilisateurs ou des terminaux sur mon application ? • Comment m’en prémunir ? • Contrôler coté serveur; • Choisir les bons mécanismes.
Broken Cryptography Membre OWASP • Défaut de chiffrement • Qu’est ce que le chiffrement ? • Suis-je vulnérable ? • L’application chiffre ou hache des données; • Comment m’en prémunir ? • S’appuyer sur des méthodes de chiffrement connues et reconnues.
Client Side Injection – Security Decisions Via Untrusted Inputs Membre OWASP • Injection dans l’application • Les différents canaux d’accès à une application: web, URLs, Intent, … • Suis-je vulnérable ? • Webview; • URL Scheme; • Intent. • Comment m’en prémunir ? • Dépend de la plateforme; • Contrôler les données en entrée sur l’application.
Lack of Binary Protections Membre OWASP • Manque de protection de l’application • Chiffrement, obfuscation, … • Suis-je vulnérable ? • Par défaut, aucune protection n’est offerte; • Comment m’en prémunir ? • Chiffrer; • Obfusquer; • Protéger.
Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM
Comment améliorer la sécurité des développements Web Membre OWASP
Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
Introduction Membre OWASP Desktop Transport Network Web Applications Antivirus Protection Encryption (SSL) Firewalls / IDS / IPS Firewall Web Servers Databases Backend Server Application Servers Panorama de la SSI
Facteurs d’exposition Membre OWASP Fonctionnalité volontaire Fonctionnalité involontaire Fonctionnalité actuelle
Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
OWASP Top 10 Membre OWASP
Sécurité Développement Web Membre OWASP
Injection Membre OWASP
Violation de Gestion d’Authentification et de Session Membre OWASP
Cross-Site Scripting (XSS) Membre OWASP
Références directes non sécurisées à un objet Membre OWASP
Mauvaise Configuration Sécurité Membre OWASP
Exposition de données sensibles Membre OWASP
Manque de contrôle d’accès au niveau fonctionnel Membre OWASP
Falsification de requête intersite (CSRF) Membre OWASP
Utilisation de composants avec des vulnérabilités connues Membre OWASP
Redirections et Renvois non Validés Membre OWASP
Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
Paradigme Membre OWASP Sensibilisations / Formations Guidelines Revue de code Tests d’intrusions Sécurité dans les contrats Sécurité dans les projets
Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
Vision de l’OWASP - Avant, Pendant et Après Membre OWASP
Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
Obstacles diagnostiqués Membre OWASP • Déni de la réalité • La sécurité n’est pas considérée comme une fonctionnalité • Approche réactive • Communication inexistante • Résistance au changement • Plusieurs types de logiciels • Développements de plus en plus externalisés • ERP …
Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
Conclusion – Pour les développeurs Membre OWASP
Conclusion – Pour les entreprises Membre OWASP
Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM

Recommandé

OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 

Recommandé

OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécuritéGuillaume Harry
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
It project
It projectIt project
It projectlucsau0554
 

Contenu connexe

Tendances

Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 

Tendances (20)

Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécurité
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
 

En vedette

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Commerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligneCommerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligneCEFRIO
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Profasser
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesImperva
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activitéExam PM
 
The 7 Pillars Of Ecommerce
The 7 Pillars Of EcommerceThe 7 Pillars Of Ecommerce
The 7 Pillars Of EcommerceFadi Shuman
 
Sécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaSécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaAtelier51
 
AngularJS - Présentation (french)
AngularJS - Présentation (french)AngularJS - Présentation (french)
AngularJS - Présentation (french)Yacine Rezgui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
exposé de E- commerce
exposé de E- commerceexposé de E- commerce
exposé de E- commerceAndery Ivan
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesJCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesAfnic
 
PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activitéChristophe Casalegno
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
comprendre angularJS en 10 minutes
comprendre angularJS en 10 minutescomprendre angularJS en 10 minutes
comprendre angularJS en 10 minutesDavid Bo
 

En vedette (20)

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
It project
It projectIt project
It project
 
Commerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligneCommerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligne
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSL
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Les 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de donnéesLes 10 principales menaces de sécurité des bases de données
Les 10 principales menaces de sécurité des bases de données
 
Plan de reprise d’activité
Plan de reprise d’activitéPlan de reprise d’activité
Plan de reprise d’activité
 
The 7 Pillars Of Ecommerce
The 7 Pillars Of EcommerceThe 7 Pillars Of Ecommerce
The 7 Pillars Of Ecommerce
 
Sécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaSécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour Joomla
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécurité
 
AngularJS - Présentation (french)
AngularJS - Présentation (french)AngularJS - Présentation (french)
AngularJS - Présentation (french)
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
exposé de E- commerce
exposé de E- commerceexposé de E- commerce
exposé de E- commerce
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
E commerce
E commerceE commerce
E commerce
 
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesJCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
 
PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité PRA et PCA : plans de reprise et de continuité d'activité
PRA et PCA : plans de reprise et de continuité d'activité
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
comprendre angularJS en 10 minutes
comprendre angularJS en 10 minutescomprendre angularJS en 10 minutes
comprendre angularJS en 10 minutes
 

Similaire à Sécurité des Développements Webs et Mobiles

Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8Sébastien GIORIA
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Johan Moreau
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaCyber Security Alliance
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sébastien Rabaud
 
Assurer la protection des données dans Azure et O365
Assurer la protection des données dans Azure et O365Assurer la protection des données dans Azure et O365
Assurer la protection des données dans Azure et O365Estelle Auberix
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by ExaprobeExaprobe
 

Similaire à Sécurité des Développements Webs et Mobiles (20)

Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Sophia conf2014
Sophia conf2014Sophia conf2014
Sophia conf2014
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
 
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien GioriaASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
ASFWS 2012 - OWASP Top 10 Mobile, risques et solutions par Sébastien Gioria
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
 
Assurer la protection des données dans Azure et O365
Assurer la protection des données dans Azure et O365Assurer la protection des données dans Azure et O365
Assurer la protection des données dans Azure et O365
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 

Sécurité des Développements Webs et Mobiles

  • 1. Risques et menaces IT La sécurité, pourquoi et à quel prix Membre OWASP
  • 2. Conseil • GOUVERNANCE • Analyse de risque • Pssi • Pca / Pra • SMSI • IAM • Lutte contre la fraude • R & D • Guides de développement • Développement • GESTION DE CRISE • Fuite d’information • Crise Réputationnelle • Fraude Audit • SSI • Applications Client • Infra & Réseaux • Vulnérabilités • Code Source • FRAUDE • Fraude en ligne • Fraude interne • CONFORMITE • Iso 27x • Pci Dss • Cnil Veille • ETUDE • Etat de l’art • Benchmark • HACKING IT • BAD E-REPUTATION Formation • SENSIBILISATION • Collaborateur • Direction • GOUVERNANCE • Rssi • Cnil / Cil • Bad buzz • Ingénierie Sociale • TECHNIQUE • Développements Sécurisés (OWASP) • Tests d’intrusion • Forensic Pôle de compétences PHONESEC – Tout secteur d’activité Domaines d’activité Membre OWASP
  • 3. Quand tout s’emballe !! Membre OWASP
  • 4. Le prix de la sécurité Membre OWASP Impacts liés à la sécurité Impact fonctionnel Limitation de l’expérience utilisateur Impact financier sur le model éco
  • 5. Facteurs d’exposition Membre OWASP SécuritéNature des données Volume des données Actualité (contexte) Dissuasion faible Notoriété Malchance, fatalité, destin…
  • 6. Le prix de l’insécurité 2,86 Millions d’euros Cost Of Data Breach – Symantec / Ponemon Institute Estimation des coûts pour une entreprise à chaque incident de vol de données en France Membre OWASP
  • 7. Aimez vous les paris ? Economies de sécurité Aucune attaque J’ai de la chance Economies de sécurité Attaque majeure $$$$$$$ €€€€€€€ Membre OWASP
  • 8. Le prix du risque Membre OWASP Conception Développement production Sécurité à la conception Recette sécurité Gestion de crise IMAPCTENCASD’ATTAQUE PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE
  • 9. Comment améliorer la sécurité des développements de services mobiles Membre OWASP
  • 11. Weak Server Side Controls Membre OWASP • Différence de sémantique: parle plus de vulnérabilité que de risque • Précisions • M5 et M9 sont traités ensemble • M7 et M8 de même
  • 12. Weak Server Side Controls Membre OWASP • Sécurité du backend: le web service • Présentation des services mobiles • Suis-je vulnérable ? • Test d’intrusion, audit de code, surface d’attaque … • Comment m’en prémunir ? • Secure Coding ! (Cf. présentation Tarik)
  • 13. Insecure Storage Membre OWASP • Stockage sur les terminaux non sécurisé • Rappel sur les applications mobiles • Suis-je vulnérable ? • SharedPreference, SQLite, … • Comment m’en prémunir ? • Dépend de la plateforme des solutions existent
  • 14. Insufficient Transport Layer Protection Membre OWASP • Communication en clair • HTTPS/SSL: les apports • Suis-je vulnérable ? • Mon application communique-t-elle des données sensibles ? • Comment m’en prémunir ? • Analyse de risque sur les données; • Valider que le réseau est sûr, les contrôles bien effectués, ….
  • 15. Unintended Data Leakage Membre OWASP • Rétention de données • Les caches et autres mécanisme cachés; • Suis-je vulnérable ? • Web, Copier/Coller, … • Comment m’en prémunir ? • Vider les caches, …
  • 16. Poor Authorization and Authentication – Improper Session Handling Membre OWASP • Authentification et Autorisation • La problématique de l’authentification et de l’autorisation; • Suis-je vulnérable ? • Dois je authentifier /autoriser des utilisateurs ou des terminaux sur mon application ? • Comment m’en prémunir ? • Contrôler coté serveur; • Choisir les bons mécanismes.
  • 17. Broken Cryptography Membre OWASP • Défaut de chiffrement • Qu’est ce que le chiffrement ? • Suis-je vulnérable ? • L’application chiffre ou hache des données; • Comment m’en prémunir ? • S’appuyer sur des méthodes de chiffrement connues et reconnues.
  • 18. Client Side Injection – Security Decisions Via Untrusted Inputs Membre OWASP • Injection dans l’application • Les différents canaux d’accès à une application: web, URLs, Intent, … • Suis-je vulnérable ? • Webview; • URL Scheme; • Intent. • Comment m’en prémunir ? • Dépend de la plateforme; • Contrôler les données en entrée sur l’application.
  • 19. Lack of Binary Protections Membre OWASP • Manque de protection de l’application • Chiffrement, obfuscation, … • Suis-je vulnérable ? • Par défaut, aucune protection n’est offerte; • Comment m’en prémunir ? • Chiffrer; • Obfusquer; • Protéger.
  • 20. Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM
  • 21. Comment améliorer la sécurité des développements Web Membre OWASP
  • 22. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  • 23. Introduction Membre OWASP Desktop Transport Network Web Applications Antivirus Protection Encryption (SSL) Firewalls / IDS / IPS Firewall Web Servers Databases Backend Server Application Servers Panorama de la SSI
  • 24. Facteurs d’exposition Membre OWASP Fonctionnalité volontaire Fonctionnalité involontaire Fonctionnalité actuelle
  • 25. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  • 29. Violation de Gestion d’Authentification et de Session Membre OWASP
  • 31. Références directes non sécurisées à un objet Membre OWASP
  • 33. Exposition de données sensibles Membre OWASP
  • 34. Manque de contrôle d’accès au niveau fonctionnel Membre OWASP
  • 35. Falsification de requête intersite (CSRF) Membre OWASP
  • 36. Utilisation de composants avec des vulnérabilités connues Membre OWASP
  • 37. Redirections et Renvois non Validés Membre OWASP
  • 38. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  • 39. Paradigme Membre OWASP Sensibilisations / Formations Guidelines Revue de code Tests d’intrusions Sécurité dans les contrats Sécurité dans les projets
  • 40. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  • 41. Vision de l’OWASP - Avant, Pendant et Après Membre OWASP
  • 42. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  • 43. Obstacles diagnostiqués Membre OWASP • Déni de la réalité • La sécurité n’est pas considérée comme une fonctionnalité • Approche réactive • Communication inexistante • Résistance au changement • Plusieurs types de logiciels • Développements de plus en plus externalisés • ERP …
  • 44. Plan Membre OWASP Introduction OWASP Top 10 – 2013 Pratiques pour lutter contre l’insécurité Vision de l’OWASP Obstacles diagnostiqués Conclusion
  • 45. Conclusion – Pour les développeurs Membre OWASP
  • 46. Conclusion – Pour les entreprises Membre OWASP
  • 47. Q & R Membre OWASP OWASP FRANCE : https://www.owasp.org/index.php/France WWW.PHONESEC.COM