4. Le prix de la sécurité
Membre OWASP
Impacts
liés à la
sécurité
Impact fonctionnel
Limitation de
l’expérience utilisateur
Impact financier sur le
model éco
6. Le prix de l’insécurité
2,86 Millions
d’euros
Cost Of Data Breach – Symantec / Ponemon Institute
Estimation des coûts pour une
entreprise à chaque incident de vol
de données en France
Membre OWASP
7. Aimez vous les paris ?
Economies
de sécurité
Aucune
attaque
J’ai de la
chance
Economies
de sécurité
Attaque
majeure
$$$$$$$
€€€€€€€
Membre OWASP
8. Le prix du risque
Membre OWASP
Conception Développement production
Sécurité à la
conception
Recette
sécurité
Gestion de
crise
IMAPCTENCASD’ATTAQUE
PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE
9. Comment améliorer la sécurité des développements de services
mobiles
Membre OWASP
11. Weak Server Side Controls
Membre OWASP
• Différence de sémantique: parle plus de
vulnérabilité que de risque
• Précisions
• M5 et M9 sont traités ensemble
• M7 et M8 de même
12. Weak Server Side Controls
Membre OWASP
• Sécurité du backend: le web service
• Présentation des services mobiles
• Suis-je vulnérable ?
• Test d’intrusion, audit de code,
surface d’attaque …
• Comment m’en prémunir ?
• Secure Coding ! (Cf. présentation
Tarik)
13. Insecure Storage
Membre OWASP
• Stockage sur les terminaux non
sécurisé
• Rappel sur les applications mobiles
• Suis-je vulnérable ?
• SharedPreference, SQLite, …
• Comment m’en prémunir ?
• Dépend de la plateforme des
solutions existent
14. Insufficient Transport Layer Protection
Membre OWASP
• Communication en clair
• HTTPS/SSL: les apports
• Suis-je vulnérable ?
• Mon application communique-t-elle des
données sensibles ?
• Comment m’en prémunir ?
• Analyse de risque sur les données;
• Valider que le réseau est sûr, les contrôles
bien effectués, ….
15. Unintended Data Leakage
Membre OWASP
• Rétention de données
• Les caches et autres mécanisme cachés;
• Suis-je vulnérable ?
• Web, Copier/Coller, …
• Comment m’en prémunir ?
• Vider les caches, …
16. Poor Authorization and Authentication – Improper Session Handling
Membre OWASP
• Authentification et Autorisation
• La problématique de l’authentification et de
l’autorisation;
• Suis-je vulnérable ?
• Dois je authentifier /autoriser des utilisateurs
ou des terminaux sur mon application ?
• Comment m’en prémunir ?
• Contrôler coté serveur;
• Choisir les bons mécanismes.
17. Broken Cryptography
Membre OWASP
• Défaut de chiffrement
• Qu’est ce que le chiffrement ?
• Suis-je vulnérable ?
• L’application chiffre ou hache des
données;
• Comment m’en prémunir ?
• S’appuyer sur des méthodes de
chiffrement connues et reconnues.
18. Client Side Injection – Security Decisions Via Untrusted Inputs
Membre OWASP
• Injection dans l’application
• Les différents canaux d’accès à une application:
web, URLs, Intent, …
• Suis-je vulnérable ?
• Webview;
• URL Scheme;
• Intent.
• Comment m’en prémunir ?
• Dépend de la plateforme;
• Contrôler les données en entrée sur l’application.
19. Lack of Binary Protections
Membre OWASP
• Manque de protection de l’application
• Chiffrement, obfuscation, …
• Suis-je vulnérable ?
• Par défaut, aucune protection n’est
offerte;
• Comment m’en prémunir ?
• Chiffrer;
• Obfusquer;
• Protéger.
20. Q & R
Membre OWASP
OWASP FRANCE : https://www.owasp.org/index.php/France
WWW.PHONESEC.COM
23. Introduction
Membre OWASP
Desktop Transport Network Web Applications
Antivirus
Protection
Encryption
(SSL)
Firewalls /
IDS / IPS
Firewall
Web Servers
Databases
Backend
Server
Application
Servers
Panorama de la SSI
43. Obstacles diagnostiqués
Membre OWASP
• Déni de la réalité
• La sécurité n’est pas considérée comme une fonctionnalité
• Approche réactive
• Communication inexistante
• Résistance au changement
• Plusieurs types de logiciels
• Développements de plus en plus externalisés
• ERP …