Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
Approches autour de l'analyse de code pour améliorer la qualité des projets
Sont abordés :
- Le pair programming
- L'analyse statique
- L'audit de code
La session passe en revue les avantages et points d'attention de chaque approche, ainsi que les outils couramment utilisés. Le tout se basera également sur un retour d'expérience (équipe de 15 devs Java) avec un focus sur la piste que nous avons privilégiée : Phabricator (audit de code)
DANGER. Les chiffres sont éloquents : 90% des applications web sont vulnérables. Et leur nombre ne cesse d'augmenter
de façon drastique. Un article de Sylvain Maret
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
Vous hébergez des applications Web et votre défense se limite à un coupe-feu réseau. Cependant, une grande partie des attaques sont menées directement via le protocole HTTP et l’utilisation d’un coupe-feu traditionnel s’avère inutile.
Le coupe-feu applicatif Web (Web Application Firewall, WAF) se veut une solution à cette problématique. La présentation, basée sur mon expérience des dernières années, fait le point sur les diverses utilités de cette technologie :
Les choix d’implémentations. Les diverses modes de fonctionnements. L’importance et le choix des types de règles à implémenter. Rapports et collection des alertes. Méthodologie de développement de règles. Bonus: Contournement de règles et exceptions.
Le logiciel Open Source ModSecurity sera utilisé comme exemple ainsi que les règles OWASP CRS. D’autres règles conçues pour la présentation seront aussi présentées dans le but de démontrer une utilisation sur mesure du WAF.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
Approches autour de l'analyse de code pour améliorer la qualité des projets
Sont abordés :
- Le pair programming
- L'analyse statique
- L'audit de code
La session passe en revue les avantages et points d'attention de chaque approche, ainsi que les outils couramment utilisés. Le tout se basera également sur un retour d'expérience (équipe de 15 devs Java) avec un focus sur la piste que nous avons privilégiée : Phabricator (audit de code)
DANGER. Les chiffres sont éloquents : 90% des applications web sont vulnérables. Et leur nombre ne cesse d'augmenter
de façon drastique. Un article de Sylvain Maret
Présentation de l'ONG L.E.A.D, sa vision, ses objectifs, ses leaders et surtout, son action.
LEAD (Leadership and Empowerment for Action and Development) encadre des communautés à travers divers services afin de les renforcer et les rendre autonomes.
Les sessions se font généralement dans les communes, avec les ONGs et les établissement scolaires avec généralement une première session dans le centre de prévention unique en son genre, Tibaz - Espace Santé Jeunes
* Chez les + de 6 ans
- Prévention alcool et cigarette avec le livre pour enfants - Samy et les Iles Maléfiques
* Chez les + de 13 ans
- Éducation à la vie affective et sexuelle et prévention/réduction d'abus de substances
* Chez les jeunes porteurs d'un potentiel de leader
- Formation en leadership social et développement communautaire afin des éclaireurs qui soutiennent LEAD sur le terrain et assurer l'action sur le long terme
* Chez les adultes
- Formation en leadership social et développement communautaire
- Éducation à la vie affective et sexuelle et prévention/réduction d'abus de substances
- Formation pour les parents en prévention/réduction d'alcoolisme parentale au détriment des enfants
Helios Solutions est une énorme “Panier Technique ” qui fourni toujours les meilleurs solutions de développement WordPress. Cette force nous a aidée à construire de fructueux partenariats. Nous avons une équipe de WordPress spécialistes qui ont réalisé avec succès de nombreux projets importants pour de petites, moyennes et grandes entreprises.
Retrouvez Ysance sur le stand E6 à la 3ème édition du Salon Big Data les 1 & 2 avril au CNIT Paris la Défense - Création d'un village technologique et d'un écosystème Big Data avec nos partenaires : Google, MapR Technologies, Talend et Qlik
Support de présentation de notre 6eme Web-conférence en partenariat avec BPA.
Sujet : Corruption et Réputation (Partie 1) - Le compliance officer, gardien de la réputation de son entreprise.
Date de présentation : jeudi 4 décembre 2014
Rendez-vous le 22 janvier 2015 pour la 7ème Web Conférence.
Corruption et Réputation (Partie 2)
Se buscó obtener información sobre los hábitos de uso de gadgets electrónicos de los niños y niñas de 10 a 14 años de nivel socioeconómico ABC+ y C. poder crear una NUEVA APLIACIÓN para smartphones y tablets. Se utilizó una muestra de 500 niños de diferentes escuelas de la ZMG y se les aplicó una encuesta.
Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...Ateliers-du-Numerique
Présentation de Thibault Levi-Martin qui explique comment maîtriser son référencement pour être visible sur Internet – Ateliers du Numérique – Métiers du Service
Les Ateliers du numérique sont des formations gratuites pour les TPE/PME mises en place par PagesJaunes et le Social Media Club. Plus d'infos : http://socialmediaclub.fr/ateliers-du-numerique/
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics.
Sécuriser votre chaîne d'information dans AzureNis
Gemalto est au cœur de l’évolution du monde numérique. Chaque jour, des entreprises et des gouvernements du monde entier placent en nous leur confiance pour les aider à offrir à leurs utilisateurs des services où facilité d’usage rime avec sécurité.
Dans le contexte précis de la sécurisation de l’identité et des accès, nous avons le plaisir de vous inviter à un événement que nous organisons avec Microsoft, VNext et NIS sur le sujet de sécurisation des accès aux services de Cloud Computing.
Lors de différents ateliers nous vous ferons découvrir nos solutions pour sécuriser les accès aux services cloud de votre entreprise pour vos employés en mobilité.
Présentation des scénarios de mobilité couverts à date par la suite Enterprise Mobility + Security et retours d'expérience basés sur des projets de déploiement de cette solution au sein d'entreprises diverses. Quels sont les services offerts aux utilisateurs les plus primés/implémentés, quels sont les choix à faire avant de déployer ces solutions, quels sont les accompagnements à mettre en place pour garantir l'adhésion des utilisateurs à ces nouveaux services, etc.
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics
F-Secure a mis en place une solution de protection dédiée aux entreprises qui protège tous les appareils en offrant la possibilité de vérifier et gérer l'ensemble des terminaux à travers un seul et même portail, très intuitif. La sécurité informatique de votre entreprise n'aura jamais été aussi maximale et facile à contrôler. Pour plus d'informations, rendez-vous sur : http://www.nrc.fr/nos-solutions-infra/securite-informatique/
Comment étendre active directory dans le cloudMarc Rousselet
Alors que les entreprises adoptent de nouvelles applications en SaaS (Salesforce.com, Office 365, WebEX, ServiceNow, Workday, Box, Google Apps) étendre Active Directory dans le Cloud devient une nécessité. Ces applications contiennent souvent des données critiques (CRM, HR, collaboration, mail, ..), la sécurité est donc primordiale dans ce contexte. Active Directory ne se connectant pas nativement au Cloud, son intégration reste un challenge.
Ce support présente 3 scénarios d’intégration basés sur :
La fédération avec Active Directory Federation Services
Les APIs des applications SaaS
Les services AD couplés avec un IAM dans le Cloud de type IdaaS.
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
Cette présentation parcourt l'offre logicielle IBM en matière de sécurité. Cette offre s'organise sous la forme d'un système immunitaire intégré qui permet aux clients d'IBM de mieux prévenir, détecter et répondre aux incidents.
[Cette présentation est publiée à titre d'information par un employé d'IBM mais elle n'engage pas IBM et ne représente pas un point de vue officiel - v3.13 - Francais]
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...Maxime Rastello
Sécurisez l'accès à vos différents services Office 365 en utilisant les fonctionnalités Premium d'Azure Active Directory et d'Office 365 Advanced Security Management (O365 E5).
Security is important for Devs. You need to add in depth capability to secure Apps, and for this, this presentation give you simply principles to add it to a Java App.
This slides come from the Java User Group Summer Camp 2015 in France
Ce talk est une introduction au Secure Coding pour Java. Il s'efforcera de présenter via différents exemples les bonnes pratiques permettant de développer de manière pragmatique une application java sécurisée. Nous aborderons aussi bien des pratiques fonctionnelles que des morceaux de codes java à erreurs et leur correctifs
Ce talk est une introduction au Secure Coding pour Java. Il s'efforcera de présenter via différents exemples les bonnes pratiques permettant de développer de manière pragmatique une application java sécurisée. Nous aborderons aussi bien des pratiques fonctionnelles que des morceaux de codes java à erreurs et leur correctifs.
1. Document confidentiel - Advens® 2013www.advens.fr
EPISODE 4
Sécurité des Applications :
Sécurité des applications dans le Cloud
Application
Security
Academy
Saison 1
2. Document confidentiel - Advens® 2013www.advens.fr 2
Introduction
Sébastien GIORIA
Consultant senior en Sécurité des SI
Chapter Leader de l'OWASP pour la France
sebastien.gioria@advens.fr
@AppSecAcademy
#AppSecAcademy
Posez vos questions dans
la fenêtre de chat
Slides envoyés par email
Vidéo Replay
3. Document confidentiel - Advens® 2013www.advens.fr 3
Qui sommes-nous ?
Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la
sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en
améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des
compétences sectorielles
• Une offre unique pour délivrer la sécurité
de bout en bout, « as-a-service »
• Une approche pragmatique et des
tableaux de bord actionnables
• Une vision globale et indépendante des
technologies
Éléments clés
• Créée en 2000
• CA 8 millions euros
• 80 collaborateurs basés à Paris, Lille,
Lyon
• Plus de 300 clients actifs en France et à
l’international
• Organisme certificateur agréé par
l’ARJEL (*)
* Autorité de Régulation des Jeux En Ligne – www.arjel.fr
4. Document confidentiel - Advens® 2013www.advens.fr 4
Application Security Academy – la Saison 1
Episode 1 : Une introduction à la Sécurité des Applications
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 2 : Sécurité des applications mobiles
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 3 : Protection des services en ligne
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 5 : Panorama des technologies de sécurisation
Application
Security
Academy
Saison 1
5. Document confidentiel - Advens® 2013www.advens.fr 5
Cloud ?
Gartner évalue le marché du cloud public à environ 131 milliards de dollars
(monde) pour 2013, 207 milliards en 2016
5 caractéristiques essentielles définissent le Cloud
Différents modèles d’infrastructure de cloud :
› Public ; grand public
› Privé ; dédié à une entreprise
› Partagé ; mutualisé sur une communauté
› Hybride; mixe d’un des précédents
Réservoir de ressources
Accès Réseaux
rapide
Facturation à
l’usage
Elasticité
(redimensionnement
facile)
Accès au service
par l’utilisateur à la
demande
6. Document confidentiel - Advens® 2013www.advens.fr 6
IaaS : Infrastructure As a Service
PaaS : Platform As A Service
SaaS : Software As A Service
Différents modèles d’architecture de Cloud
Matériel
DataCenter
Abstraction
APIs
MiddleWare
Applications
Données
Présentation
APIs
Meta-
Données
Contenu
PAAS
IAAS
SAAS
Connectivité
7. Document confidentiel - Advens® 2013www.advens.fr 7
Qui contrôle quoi ?
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
Interne
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Hébergeur
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
IaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
PaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
SaaS public
L’entreprise a le contrôle
Partage du contrôle avec le fournisseur
Le fournisseur de cloud a le contrôle
Réseau
9. Document confidentiel - Advens® 2013www.advens.fr 9
Gérér les risques sur les données
• Mettre en place un processus d’audit des prestataires
• Procédures de changement matériel
• Tests d’intrusions
• Audit globaux
• Mettre en place du chiffrement des données sensibles
• VPN de connexion
• Sauvegardes chiffrées
• Attention à la perte de la maitrise des données
• Contractualiser l’usage
• Procédures d’accès des administrateurs
• Utilisation des données après fin du contrat
Sécurité du
transfert de
données
Partage des
ressources
Usage des
données non
autorisées
Auditabilité et
risques sur les
données
Exposition des
environnements
de pré-production
10. Document confidentiel - Advens® 2013www.advens.fr 10
Gérer l’accès aux données
Vérifier la possibilité de délégation des identités
Mettre en place des processus de revue des identités
Vérifier les identités externes à l’organisation
Vérifier l’infrastructure :
› Redondance des équipements
Gestion des
identités
Continuité
d’activité
Sécurité de
l’infrastructure
11. Document confidentiel - Advens® 2013www.advens.fr 11
Conformité et risques légaux
Vérifier les lieux de détention des données
› La CNIL n’autorise pas les données en dehors de
France/Europe/Safe Harbor
Définir les mécanismes d’analyses des incidents applicatifs
› Qui a accès à quoi
› Qu’est-ce qui est tracé ?
› Comment effectuer de l’analyse post-incident ?
Qui/Comment sont gérées les infrastructures ?
› Sous-Traitants ? Qui y a accès ?
Risques Légaux
Analyse des
incidents
12. Document confidentiel - Advens® 2013www.advens.fr 12
Sécuriser l’IAAS - Une stratégie simple en 5 points
1. Une sélection rigoureuse du prestataire
› Dispose de certifications (ISO 27, PCI-DSS, …)
› Transparence sur les éléments fournis
› Connectivité auditable
2. Une capacité applicative a toute épreuve
› Scan de vulnérabilité possible
› Intégration globale avec les plateformes logicielles
› Mise a jour régulière et offre évolutive de logiciels
3. Une gestion de l’authentification correcte
› Authentification multi-facteur
› Intégration possible avec la politique et l’annuaire interne
4. Une gestion des opérations propre
› Intégration des logs dans la stratégie globale de l’entreprise
› Un monitoring complet et accessible
5. Un chiffrement des données
› Chiffrement des disques
› Chiffrement des SGBD
› Chiffrement réseau
› Chiffrement des sauvegardes
13. Document confidentiel - Advens® 2013www.advens.fr 13
Sécuriser le PAAS
En plus des éléments de l’IAAS il convient de porter
attention à :
› Changer les éléments par défauts de configuration
› Sécuriser l’accès à la plateforme (SSH/IPSec/TLS)
› Sécuriser l’accès aux SGBD
› Mettre en place des filtres(firewalls) des différents
services
› Mettre en place des mécanismes d’analyse de logs et de
d’IPS
› Mettre en place les bons patchs, régulièrement
› Tester et auditer les applications.
14. Document confidentiel - Advens® 2013www.advens.fr 14
Sécuriser le SAAS
En plus de la vision IAAS, il convient de pouvoir
correctement :
› Auditer le prestataire au niveau de la sécurité applicative
− Scans de vulnérabilités/Tests d’intrusions
› Disposer de la possibilité de sécuriser les interfaces
d’administration (chiffrement, multi-facteur
d’authentification)
› Chiffrer les données sensibles sans le prestataire.
› S’assurer d’avoir un environnement de test pour vérifier
avant mise a jour
› Disposer d’une possibilité de « refuser » les montées de
version non validées
› Disposer de solutions d’extractions des données sous forme
standard (XML, CSV)
15. Document confidentiel - Advens® 2013www.advens.fr 15
Et le développement sur le PAAS ?
Développer dans le cloud == développer sur un système web/WebServices
Quelques précautions sont nécessaires :
› Utiliser les « WAF cloud »
› Développer de manière sécurisé en portant attention :
− Aux données sensibles
− Aux interfaces d’administration
− Aux bases d’authentification
› Attention aux APIs propriétaires
La confiance, n’exclut par le contrôle !
16. Document confidentiel - Advens® 2013www.advens.fr 16
Sécurité des
Applications dans le
Cloud
Gouvernance Conception Vérification Déploiement
Par quoi commencer ?
• Vérifier la
localisation des
données
• Mettre en place un
contrat de
réversibilité
• Chiffrer les
données
• Chiffrer la
transmission des
données
• Tester la sécurité
du prestataire
• Analyser la
connectivité du
prestataire
• Mettre en place un
bouclier virtuel sur
sur les applications
17. Document confidentiel - Advens® 2013www.advens.fr 17
Questions / Réponses
Posez vos questions dans
la fenêtre de chat
18. Document confidentiel - Advens® 2013www.advens.fr 18
Merci et à bientôt !
Episode 5 :
Panorama des technologies de sécurisation
Mardi 10 décembre à 11h.
Application
Security
Academy
Saison 1