SlideShare une entreprise Scribd logo
« Les nouveaux enjeux de la
sécurité de l’information »
SURF & TURF DAYS 2009
Toulouse - 24 Novembre 2009
Sébastien RABAUD – SCASSI Conseil
sebastien.rabaud@scassi.com
SCASSI Conseil

Conseil en Sécurité de l’information
–
–
–
–

Analyses de risque, audits, tests d’intrusions, inspection de code
Organisation, politiques et processus
Expertise : Sécurité applicative, Cybercriminalité, etc
http://www.scassi.com/

Formations
–
–
–
–

ISO27001 Lead Auditor / Implementer
ISO27005 Risk Manager
Gestion de projet et développement sécurisé
http://www.scassi.com/formations
Reproduction interdite sans accord écrit de SCASSI Conseil

2
Sommaire

Enjeux :
–
–
–
–
–

Sécurité applicative
Entreprise étendue
Nouveaux usages
Conformité / Légal / Réglementaire
Virtualisation / Gestion des évènements

Démarches :
– Gestion des risques
– Normes ISO2700x

Reproduction interdite sans accord écrit de SCASSI Conseil

3
Enjeux

Reproduction interdite sans accord écrit de SCASSI Conseil

4
Sécurité applicative

Les applications webs sont vulnérables …
– 33 % (Gartner)

Et les vulnérabilités sont exploitables et détectables très
facilement :
– 13 % compromises automatiquement
– 49% des vulns critiques détectés automatiquement avec 3 vulns
par appli
– [ Source : Etude WASC 2008 sur + de 10000 applis ]

Reproduction interdite sans accord écrit de SCASSI Conseil

5
Sécurité applicative
Quelles failles ?
– Injection, XSS, CSRF, Authentification, …

Quels impacts ?
– Images, Juridiques, Financières
– Ex : 99% non PCI-DSS compliant (WASC 2008)

Quelles causes ?
– Conception & développement des applications
– Configuration des composants applicatifs

Reproduction interdite sans accord écrit de SCASSI Conseil

6
Sécurité applicative

Quelles solutions ?
– Transverses / Gouvernance :
• Sensibilisation, Politiques, …

– Sécurité dans les projets et dans les développements
• A tous les stades du cycle de vie
• Organisation / Ressources spécifiques
• Guides / Méthodes : NIST, Microsoft SDL, SAMM, …

Reproduction interdite sans accord écrit de SCASSI Conseil

7
Sécurité applicative
Quelles solutions ?
– Audit / Inspection de code
• Après … mais aussi pendant …
• Semi-automatique :
– Inspection automatique du code => résultats bruts
– Analyse manuelle des résultats bruts =>

• 96 % des vulnérabilités critiques détectées !

Reproduction interdite sans accord écrit de SCASSI Conseil

8
Sécurité applicative
Quelles solutions ?
– Firewall applicatif
•
•
•
•

Architecture : embarqué / reverse-proxy / transparent
Mode : white (réécriture) / blacklist (signature)
Exploitation / amélioration continue
Attention : pas une solution miracle !

– Sécurisation des composants
• Serveur web / Serveur appli / SGBD / OS

Reproduction interdite sans accord écrit de SCASSI Conseil

9
Entreprise étendue

Nomadisme (externe / interne), Télétravail
– Besoins / Usages : Mêmes accès qu’en interne, Extranet, Wifi
– Risques :
• Wifi, 3G, USB, Bluetooth, Smartphone, …
• Vulnérabilités Logicielles : OS, Office, Adobe, JRE, …
• Postes « non maitrisés », Perte/vol

– Solutions :
• VPN SSL / Extranet / Reverse-proxy
• Poste virtuel / Auth forte
• Profils / Habilitations

Reproduction interdite sans accord écrit de SCASSI Conseil

10
Entreprise étendue

Externalisation
– Usages : Hébergement, SaaS, TMA, …
– Risques :
• Responsabilité / Imputabilité
• Transfert du risque ≠ Evitement = partiel

– Solutions :
• Contrat / SLA
• Pilotage
• Audit

Reproduction interdite sans accord écrit de SCASSI Conseil

11
Nouveaux usages

Webconf (Webex, Teamviewer, etc)
– Prise de main à distance => Intrusion
– Solutions :
•
•
•
•

Interdire ou Autoriser complètement
Webconf « en propre »
Poste « Relais » en DMZ
Consignes utilisateurs / Audit

Reproduction interdite sans accord écrit de SCASSI Conseil

12
Nouveaux usages

Réseaux sociaux (Viadeo, Facebook, Twitter, …)
– Usages / Besoins :
• Communication / Recrutement / Commerce
– Risques :
• Phishing / Escroquerie / Malware
– Plus efficace car « confiance » + https

• Fuite d’informations / Ingénierie sociale / Image
– Solutions :
• Interdire et Sensibiliser
Reproduction interdite sans accord écrit de SCASSI Conseil

13
Nouveaux usages

Filtrage URL ?
– Efficacité limitée du modèle « blacklist » :
• Tunneling http/https
• Proxy Internet
• Malware/Phishing hébergé sur des sites légitimes !

– Whitelist ?

Reproduction interdite sans accord écrit de SCASSI Conseil

14
Virtualisation

Risques induits
– Complexité = ↑ exposition
– Couche hypervision = ↑ impact

Apports sécurité
– Redondance, Disponibilité (pannes et changements)
– Standardisation de la sécurité des systèmes
« hôtes »

Reproduction interdite sans accord écrit de SCASSI Conseil

15
Gestion des évènements
Pourquoi ?
– Détecter & réagir => « maturité SSI »
– Preuve / Archivage légal et règlementaire : « retrouver »

Par où commencer ?
– Top-down : D’abord définir les objectifs
– Bottom-up : Apprentissage

Comment ?
– Organiser
– Centraliser et traiter
– Outiller
Reproduction interdite sans accord écrit de SCASSI Conseil

16
Conformité

CNIL
– Nouvelle directive européenne obligeant à déclarer
les incidents liés aux données à caractère personnel

RGS = Référentiel Général de sécurité
– Administration

PCI-DSS
– Données CB
Reproduction interdite sans accord écrit de SCASSI Conseil

17
Conformité

PCI DSS
C1 : Pare-feu / DMZ

C7 : Contrôle d’accès

C2 : Hardening

C8 : Comptes et mots de passe

C3 : Data protection (storage)

C9 : Physique

C4 : Communication Security

C10 : Traces / Logs

C5 : AV

C11 : Tests

C6 : Gestion vuln et Dev secu

C12 : Politiques / Organisation /

Reproduction interdite sans accord écrit de SCASSI Conseil

18
Conformité

Conformité (CNIL, PCI-DSS, RGS)
– Obligatoire
– 80 % de traçabilité / 20 % de sécurité ?

Certifications (ISO27001)
– Volontaire / Stratégique
– Confiance / Développement

Reproduction interdite sans accord écrit de SCASSI Conseil

19
Démarches

Reproduction interdite sans accord écrit de SCASSI Conseil

20
Gestion des risques

« Démarche guidée par les risques »
– Aligner les risques sur la stratégie
– Justifier / rationaliser les investissements : ROSI
– Identifier de nouveaux risques
– Prendre en compte l’évolution des risques

Reproduction interdite sans accord écrit de SCASSI Conseil

21
Gestion des risques

Méthodes / Guides : ISO27005, EBIOS,
MEHARI
– Identifier
– Evaluer
– Traiter (Décider)
• Acceptation / Evitement
• Réduction / Transfert

– Suivre / Réexaminer

Reproduction interdite sans accord écrit de SCASSI Conseil

22
La famille de normes ISO
2700X

ISO27001 : Système de Gestion de la Sécurité
de l’Information (SMSI)
– Définir / Etablir
• Domaine / Périmètre / Politique (Stratégie)
• Evaluer les risques
• Objectifs et mesures de sécurité

– Mettre en œuvre : Plan de traitement
– Surveiller / Améliorer

Ex : ISO9001 …
Reproduction interdite sans accord écrit de SCASSI Conseil

23
La famille de normes ISO
2700X

« Ecosystème » ISO27001
– ISO27002 :
• Objectifs et mesures de sécurité (idem 27001)
• Conseils & Bonnes pratiques
=> Utilisations : Politiques de sécurité

Reproduction interdite sans accord écrit de SCASSI Conseil

24
La famille de normes ISO
2700X
11 Domaines ISO27001/2
Politique de sécurité

Contrôle d’accès

Organisation de la sécurité

Acquisition, développement et
maintenance

Gestion des actifs

Incidents de sécurité

RH

Continuité

Physique / Environnemental

Conformité

Exploitation & Télécoms

Reproduction interdite sans accord écrit de SCASSI Conseil

25
La famille de normes ISO
2700X
« Ecosystème » ISO27001 (suite)
– ISO27003 (à venir)
• Guide d’implémentation de ISO27001

– ISO27004 (à venir)
• Indicateurs SMSI

– ISO27005
• Gestion des risques

– ISO27006
• Certification SMSI

– ISO27007 (à venir)
• Audit SMSI
Reproduction interdite sans accord écrit de SCASSI Conseil

26
La famille de normes ISO
2700X

Reproduction interdite sans accord écrit de SCASSI Conseil

27
La famille de normes ISO
2700X
« Déclinaisons sectorielles» (27001/2)
– 27799(2008) : Santé
– 27011 (en cours) : Télécoms
– 27013 (en cours) : Finances

Par domaines
– 27031 (en cours) : Continuité d’activité
– 27033 (en cours) : Sécurité des réseaux
– 27034 (en cours) : Sécurité application
Reproduction interdite sans accord écrit de SCASSI Conseil

28
La famille de normes ISO
2700X

Certification des entreprises
– ISO27001

Certification des personnes
– ISO27001 Lead Auditor
– ISO27001 Lead Implementer
– ISO27005 Risk Manager
Reproduction interdite sans accord écrit de SCASSI Conseil

29
Merci de votre attention

?
http://www.scassi.com

Sébastien RABAUD – SCASSI Conseil
sebastien.rabaud@scassi.com
Reproduction interdite sans accord écrit de SCASSI Conseil

30

Contenu connexe

Tendances

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
Abdeljalil AGNAOU
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Point de vue beijaflore politique sécurité
Point de vue beijaflore  politique sécuritéPoint de vue beijaflore  politique sécurité
Point de vue beijaflore politique sécurité
Maxime de Jabrun
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
Thierry RAMARD
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
Prof. Jacques Folon (Ph.D)
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Microsoft Ideas
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust - Cybersecurity as a Service
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
BRIVA
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
ASIP Santé
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
Thierry Pertus
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Gaudefroy Ariane
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
Thierry RAMARD
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
Dimassi Khoulouda
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 

Tendances (19)

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Point de vue beijaflore politique sécurité
Point de vue beijaflore  politique sécuritéPoint de vue beijaflore  politique sécurité
Point de vue beijaflore politique sécurité
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 

Similaire à Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
Phonesec
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle Electronique
Sylvain Maret
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
David Blampain
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securite
CERTyou Formation
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Vumetric
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
blackmambaettijean
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
CERTyou Formation
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Faouzi Maddouri
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Faouzi Maddouri
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
SecludIT
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
Sebastien Gioria
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 

Similaire à Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009] (20)

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle Electronique
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securite
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 

Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

  • 1. « Les nouveaux enjeux de la sécurité de l’information » SURF & TURF DAYS 2009 Toulouse - 24 Novembre 2009 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com
  • 2. SCASSI Conseil Conseil en Sécurité de l’information – – – – Analyses de risque, audits, tests d’intrusions, inspection de code Organisation, politiques et processus Expertise : Sécurité applicative, Cybercriminalité, etc http://www.scassi.com/ Formations – – – – ISO27001 Lead Auditor / Implementer ISO27005 Risk Manager Gestion de projet et développement sécurisé http://www.scassi.com/formations Reproduction interdite sans accord écrit de SCASSI Conseil 2
  • 3. Sommaire Enjeux : – – – – – Sécurité applicative Entreprise étendue Nouveaux usages Conformité / Légal / Réglementaire Virtualisation / Gestion des évènements Démarches : – Gestion des risques – Normes ISO2700x Reproduction interdite sans accord écrit de SCASSI Conseil 3
  • 4. Enjeux Reproduction interdite sans accord écrit de SCASSI Conseil 4
  • 5. Sécurité applicative Les applications webs sont vulnérables … – 33 % (Gartner) Et les vulnérabilités sont exploitables et détectables très facilement : – 13 % compromises automatiquement – 49% des vulns critiques détectés automatiquement avec 3 vulns par appli – [ Source : Etude WASC 2008 sur + de 10000 applis ] Reproduction interdite sans accord écrit de SCASSI Conseil 5
  • 6. Sécurité applicative Quelles failles ? – Injection, XSS, CSRF, Authentification, … Quels impacts ? – Images, Juridiques, Financières – Ex : 99% non PCI-DSS compliant (WASC 2008) Quelles causes ? – Conception & développement des applications – Configuration des composants applicatifs Reproduction interdite sans accord écrit de SCASSI Conseil 6
  • 7. Sécurité applicative Quelles solutions ? – Transverses / Gouvernance : • Sensibilisation, Politiques, … – Sécurité dans les projets et dans les développements • A tous les stades du cycle de vie • Organisation / Ressources spécifiques • Guides / Méthodes : NIST, Microsoft SDL, SAMM, … Reproduction interdite sans accord écrit de SCASSI Conseil 7
  • 8. Sécurité applicative Quelles solutions ? – Audit / Inspection de code • Après … mais aussi pendant … • Semi-automatique : – Inspection automatique du code => résultats bruts – Analyse manuelle des résultats bruts => • 96 % des vulnérabilités critiques détectées ! Reproduction interdite sans accord écrit de SCASSI Conseil 8
  • 9. Sécurité applicative Quelles solutions ? – Firewall applicatif • • • • Architecture : embarqué / reverse-proxy / transparent Mode : white (réécriture) / blacklist (signature) Exploitation / amélioration continue Attention : pas une solution miracle ! – Sécurisation des composants • Serveur web / Serveur appli / SGBD / OS Reproduction interdite sans accord écrit de SCASSI Conseil 9
  • 10. Entreprise étendue Nomadisme (externe / interne), Télétravail – Besoins / Usages : Mêmes accès qu’en interne, Extranet, Wifi – Risques : • Wifi, 3G, USB, Bluetooth, Smartphone, … • Vulnérabilités Logicielles : OS, Office, Adobe, JRE, … • Postes « non maitrisés », Perte/vol – Solutions : • VPN SSL / Extranet / Reverse-proxy • Poste virtuel / Auth forte • Profils / Habilitations Reproduction interdite sans accord écrit de SCASSI Conseil 10
  • 11. Entreprise étendue Externalisation – Usages : Hébergement, SaaS, TMA, … – Risques : • Responsabilité / Imputabilité • Transfert du risque ≠ Evitement = partiel – Solutions : • Contrat / SLA • Pilotage • Audit Reproduction interdite sans accord écrit de SCASSI Conseil 11
  • 12. Nouveaux usages Webconf (Webex, Teamviewer, etc) – Prise de main à distance => Intrusion – Solutions : • • • • Interdire ou Autoriser complètement Webconf « en propre » Poste « Relais » en DMZ Consignes utilisateurs / Audit Reproduction interdite sans accord écrit de SCASSI Conseil 12
  • 13. Nouveaux usages Réseaux sociaux (Viadeo, Facebook, Twitter, …) – Usages / Besoins : • Communication / Recrutement / Commerce – Risques : • Phishing / Escroquerie / Malware – Plus efficace car « confiance » + https • Fuite d’informations / Ingénierie sociale / Image – Solutions : • Interdire et Sensibiliser Reproduction interdite sans accord écrit de SCASSI Conseil 13
  • 14. Nouveaux usages Filtrage URL ? – Efficacité limitée du modèle « blacklist » : • Tunneling http/https • Proxy Internet • Malware/Phishing hébergé sur des sites légitimes ! – Whitelist ? Reproduction interdite sans accord écrit de SCASSI Conseil 14
  • 15. Virtualisation Risques induits – Complexité = ↑ exposition – Couche hypervision = ↑ impact Apports sécurité – Redondance, Disponibilité (pannes et changements) – Standardisation de la sécurité des systèmes « hôtes » Reproduction interdite sans accord écrit de SCASSI Conseil 15
  • 16. Gestion des évènements Pourquoi ? – Détecter & réagir => « maturité SSI » – Preuve / Archivage légal et règlementaire : « retrouver » Par où commencer ? – Top-down : D’abord définir les objectifs – Bottom-up : Apprentissage Comment ? – Organiser – Centraliser et traiter – Outiller Reproduction interdite sans accord écrit de SCASSI Conseil 16
  • 17. Conformité CNIL – Nouvelle directive européenne obligeant à déclarer les incidents liés aux données à caractère personnel RGS = Référentiel Général de sécurité – Administration PCI-DSS – Données CB Reproduction interdite sans accord écrit de SCASSI Conseil 17
  • 18. Conformité PCI DSS C1 : Pare-feu / DMZ C7 : Contrôle d’accès C2 : Hardening C8 : Comptes et mots de passe C3 : Data protection (storage) C9 : Physique C4 : Communication Security C10 : Traces / Logs C5 : AV C11 : Tests C6 : Gestion vuln et Dev secu C12 : Politiques / Organisation / Reproduction interdite sans accord écrit de SCASSI Conseil 18
  • 19. Conformité Conformité (CNIL, PCI-DSS, RGS) – Obligatoire – 80 % de traçabilité / 20 % de sécurité ? Certifications (ISO27001) – Volontaire / Stratégique – Confiance / Développement Reproduction interdite sans accord écrit de SCASSI Conseil 19
  • 20. Démarches Reproduction interdite sans accord écrit de SCASSI Conseil 20
  • 21. Gestion des risques « Démarche guidée par les risques » – Aligner les risques sur la stratégie – Justifier / rationaliser les investissements : ROSI – Identifier de nouveaux risques – Prendre en compte l’évolution des risques Reproduction interdite sans accord écrit de SCASSI Conseil 21
  • 22. Gestion des risques Méthodes / Guides : ISO27005, EBIOS, MEHARI – Identifier – Evaluer – Traiter (Décider) • Acceptation / Evitement • Réduction / Transfert – Suivre / Réexaminer Reproduction interdite sans accord écrit de SCASSI Conseil 22
  • 23. La famille de normes ISO 2700X ISO27001 : Système de Gestion de la Sécurité de l’Information (SMSI) – Définir / Etablir • Domaine / Périmètre / Politique (Stratégie) • Evaluer les risques • Objectifs et mesures de sécurité – Mettre en œuvre : Plan de traitement – Surveiller / Améliorer Ex : ISO9001 … Reproduction interdite sans accord écrit de SCASSI Conseil 23
  • 24. La famille de normes ISO 2700X « Ecosystème » ISO27001 – ISO27002 : • Objectifs et mesures de sécurité (idem 27001) • Conseils & Bonnes pratiques => Utilisations : Politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 24
  • 25. La famille de normes ISO 2700X 11 Domaines ISO27001/2 Politique de sécurité Contrôle d’accès Organisation de la sécurité Acquisition, développement et maintenance Gestion des actifs Incidents de sécurité RH Continuité Physique / Environnemental Conformité Exploitation & Télécoms Reproduction interdite sans accord écrit de SCASSI Conseil 25
  • 26. La famille de normes ISO 2700X « Ecosystème » ISO27001 (suite) – ISO27003 (à venir) • Guide d’implémentation de ISO27001 – ISO27004 (à venir) • Indicateurs SMSI – ISO27005 • Gestion des risques – ISO27006 • Certification SMSI – ISO27007 (à venir) • Audit SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 26
  • 27. La famille de normes ISO 2700X Reproduction interdite sans accord écrit de SCASSI Conseil 27
  • 28. La famille de normes ISO 2700X « Déclinaisons sectorielles» (27001/2) – 27799(2008) : Santé – 27011 (en cours) : Télécoms – 27013 (en cours) : Finances Par domaines – 27031 (en cours) : Continuité d’activité – 27033 (en cours) : Sécurité des réseaux – 27034 (en cours) : Sécurité application Reproduction interdite sans accord écrit de SCASSI Conseil 28
  • 29. La famille de normes ISO 2700X Certification des entreprises – ISO27001 Certification des personnes – ISO27001 Lead Auditor – ISO27001 Lead Implementer – ISO27005 Risk Manager Reproduction interdite sans accord écrit de SCASSI Conseil 29
  • 30. Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 30