Cette présentation de Ndeye Codou Baka Diop aborde l'importance d'implémenter la sécurité dès la conception des applications, en s'appuyant sur divers modèles et l'automatisation des tests de sécurité. Des exemples concrets illustrent les conséquences désastreuses de négligences en matière de sécurité, soulignant la nécessité d'une vigilance continue et de formations. En conclusion, la mise en place d'un modèle sécurisé dès le départ est non seulement financièrement avantageuse, mais elle est essentielle pour prévenir des pertes substantielles.

1. CONSEIL EXPERTISE PROJET
Pourquoi implémenter la Security by design?
Présenté par Ndeye Codou Baka Diop

2. 22
QUI SUIS JE ?
Squad
ü Tech Lead Sécurité Applicative
Certification :
ü ISO 27001
ü PCI-DSS
ü RGPD
ü CEH et CSSLP (en cours)
Communautés :
ü Responsable de communauté CATS « Communauté d’Automatisation de Tests de Sécurité »
ü Membre d’OWASP « Open Web Application Security Project »
ü Membre de RedTeam

3. 33
DEFINITION
üSécurité applicative
D’après la norme ISO 27034,
La sécurité applicative permet l’application des contrôles et des mesures pour la gestion du risque de leur utilisation
impliquée dans le cycle de vie de l’application (ses composants, ses dépendances, ses données et toutes ses technologies
inclus)
ü Security by design
Modèle dès la conception d’une application dont son architecture, sa conception et son implémentation répondent aux exigences
üModèles existants :
ü Prescriptif : SAFECODE, SAMM2, SDL
ü Descriptif :BSIMM

4. 44
MODELE
PRESENTATION
PREREQUIS
SPECIFICATIO
NS
DEVELOPPE
MENT
TESTS
PRODUCTION
SECURITY
REQUIREMENTS
SECURITY
ARCHITECTURE
STATIC CODE
ANALYSIS
SECURITY
ACCEPTANCE
SECURITY
MAINTENANCE
REPORTS
RISKS ANALYSIS
RISK
ARCHITECTURE
CHECKLIST
STATIC CODE
ANALYSIS
MANUEL REVIEW
SECURITY
METRICS
BEST
PRACTICES

5. 55
Mode de fonctionnement :
ü Automatisation des tests fonctionnelles et unitaires
Objectif :
ü Automatiser les tests de sécurité et fournir en amont dès la conception des logiciels, tout le package avec les outils ainsi que
la sécurité
Solutions apportées :
ü Revue de l’architecture pour mettre en place l’interfaçage avec les outils de Sécurité
ü La mise en place de l’étape de validation
ü La programmation d’audit de sécurité avant la mise en production
ü La veille de vulnérabilités automatisée
ü Accompagnement projet sur la montée de compétences
Résultats :
ü + de formations
ü + de clients récoltés
ü + de solutions vendues
Difficultés rencontrées :
ü Aucun existant
ü Montée en compétences sur les outils, l’entreprise, l’écosystème etc
Exemple 1 : SAAS cloud développement
Enjeux : portefeuille client à plusieurs chiffres

6. 66
Etat de l’art :
ü Une faille de niveau faible de type directory listing entrainant un backdoor et téléchargement de malware et hacktool
Problématiques :
ü Début des activités des hackers en 2015
ü Plusieurs mois/années avant la détection 2018
ü Plusieurs mois/jours avant correction 2019
ü Délai de prise en compte de la faille trop importante
ü Manque d’effectifs (développeurs)
ü Manque de budgets pour les correctifs
Conséquences :
ü Application supprimée
ü Pertes pour l’entreprise: clientèles, finances, notoriété
Exemple 2 : Application de vente en ligne étrangère

7. 77
Etat de l’art :
ü Backdoor mis en place par un développeur pour faciliter uniquement ses tâches J
Problématique :
ü Présence de hack Tool sur l’application
ü Serveur exposé et vulnérable
ü Temps de prise en compte trop important
Conséquences :
ü Remplacement de l’application
ü Surcout de la nouvelle application avec prise en compte de la sécurité dès sa conception
Exemple 3

8. 88
Finance :
ü Rentabilité des dépenses dès quelques mois:
ü Outils
ü Équipes
ü Correction :
ü 100 fois plus cher que la mise en place du modèle sécurisé en amont
La part humaine est 1000x plus importante :
ü 100 développeurs contre 1 DEVSECOPS
ü Réduction du risque de burnout et de turnover des acteurs
ü Assurance d’un PCA
ü Il faut toujours :
ü Sensibiliser
ü Former
ü Faire des veilles de sécurité
ü La confiance n’exclut pas le contrôle
Conclusion

9. 99

10. 1010
QUESTIONS/REPONSES/DEBAT