Securite des Applications dans le Cloud

Document confidentiel - Advens® 2013www.advens.fr
EPISODE 4
Sécurité des Applications :
Sécurité des applications dans le Cloud
Application
Security
Academy
Saison 1

Document confidentiel - Advens® 2013www.advens.fr 2
Introduction
Sébastien GIORIA
Consultant senior en Sécurité des SI
Chapter Leader de l'OWASP pour la France
sebastien.gioria@advens.fr
@AppSecAcademy
#AppSecAcademy
Posez vos questions dans
la fenêtre de chat
Slides envoyés par email
Vidéo Replay

Qui sommes-nous ?
Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la
sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en
améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des
compétences sectorielles
• Une offre unique pour délivrer la sécurité
de bout en bout, « as-a-service »
• Une approche pragmatique et des
tableaux de bord actionnables
• Une vision globale et indépendante des
technologies
Éléments clés
• Créée en 2000
• CA 8 millions euros
• 80 collaborateurs basés à Paris, Lille,
Lyon
• Plus de 300 clients actifs en France et à
l’international
• Organisme certificateur agréé par
l’ARJEL (*)
* Autorité de Régulation des Jeux En Ligne – www.arjel.fr

Application Security Academy – la Saison 1
 Episode 1 : Une introduction à la Sécurité des Applications
› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
 Episode 2 : Sécurité des applications mobiles
 Episode 3 : Protection des services en ligne
 Episode 5 : Panorama des technologies de sécurisation
Application
Security
Academy
Saison 1

Cloud ?
 Gartner évalue le marché du cloud public à environ 131 milliards de dollars
(monde) pour 2013, 207 milliards en 2016
 5 caractéristiques essentielles définissent le Cloud
 Différents modèles d’infrastructure de cloud :
› Public ; grand public
› Privé ; dédié à une entreprise
› Partagé ; mutualisé sur une communauté
› Hybride; mixe d’un des précédents
Réservoir de ressources
Accès Réseaux
rapide
Facturation à
l’usage
Elasticité
(redimensionnement
facile)
Accès au service
par l’utilisateur à la
demande

 IaaS : Infrastructure As a Service
 PaaS : Platform As A Service
 SaaS : Software As A Service
Différents modèles d’architecture de Cloud
Matériel
DataCenter
Abstraction
APIs
MiddleWare
Applications
Données
Présentation
APIs
Meta-
Données
Contenu
PAAS
IAAS
SAAS
Connectivité

Qui contrôle quoi ?
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
Interne
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Hébergeur
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
IaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
PaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
SaaS public
L’entreprise a le contrôle
Partage du contrôle avec le fournisseur
Le fournisseur de cloud a le contrôle
Réseau

10 Risques sur le cloud
Auditabilité et risques
sur les données
Gestion des identités Risques légaux
Gestion de la
continuité d’activité
Usage des données non
autorisées
Sécurité du transfert
de données
Partage des ressources Analyse des incidents
Sécurité de
l’infrastructure
Exposition des
environnements de
pré-production
Source : © OWASP : OWASP Top10 Cloud Risks 2013

Gérér les risques sur les données
• Mettre en place un processus d’audit des prestataires
• Procédures de changement matériel
• Tests d’intrusions
• Audit globaux
• Mettre en place du chiffrement des données sensibles
• VPN de connexion
• Sauvegardes chiffrées
• Attention à la perte de la maitrise des données
• Contractualiser l’usage
• Procédures d’accès des administrateurs
• Utilisation des données après fin du contrat
Sécurité du
transfert de
données
Partage des
ressources
Usage des
données non
autorisées
Auditabilité et
risques sur les
données
Exposition des
environnements
de pré-production

Gérer l’accès aux données
 Vérifier la possibilité de délégation des identités
 Mettre en place des processus de revue des identités
 Vérifier les identités externes à l’organisation
 Vérifier l’infrastructure :
› Redondance des équipements
Gestion des
identités
Continuité
d’activité
Sécurité de
l’infrastructure

Conformité et risques légaux
 Vérifier les lieux de détention des données
› La CNIL n’autorise pas les données en dehors de
France/Europe/Safe Harbor
 Définir les mécanismes d’analyses des incidents applicatifs
› Qui a accès à quoi
› Qu’est-ce qui est tracé ?
› Comment effectuer de l’analyse post-incident ?
 Qui/Comment sont gérées les infrastructures ?
› Sous-Traitants ? Qui y a accès ?
Risques Légaux
Analyse des
incidents

Sécuriser l’IAAS - Une stratégie simple en 5 points
1. Une sélection rigoureuse du prestataire
› Dispose de certifications (ISO 27, PCI-DSS, …)
› Transparence sur les éléments fournis
› Connectivité auditable
2. Une capacité applicative a toute épreuve
› Scan de vulnérabilité possible
› Intégration globale avec les plateformes logicielles
› Mise a jour régulière et offre évolutive de logiciels
3. Une gestion de l’authentification correcte
› Authentification multi-facteur
› Intégration possible avec la politique et l’annuaire interne
4. Une gestion des opérations propre
› Intégration des logs dans la stratégie globale de l’entreprise
› Un monitoring complet et accessible
5. Un chiffrement des données
› Chiffrement des disques
› Chiffrement des SGBD
› Chiffrement réseau
› Chiffrement des sauvegardes

Sécuriser le PAAS
 En plus des éléments de l’IAAS il convient de porter
attention à :
› Changer les éléments par défauts de configuration
› Sécuriser l’accès à la plateforme (SSH/IPSec/TLS)
› Sécuriser l’accès aux SGBD
› Mettre en place des filtres(firewalls) des différents
services
› Mettre en place des mécanismes d’analyse de logs et de
d’IPS
› Mettre en place les bons patchs, régulièrement
› Tester et auditer les applications.

Sécuriser le SAAS
 En plus de la vision IAAS, il convient de pouvoir
correctement :
› Auditer le prestataire au niveau de la sécurité applicative
− Scans de vulnérabilités/Tests d’intrusions
› Disposer de la possibilité de sécuriser les interfaces
d’administration (chiffrement, multi-facteur
d’authentification)
› Chiffrer les données sensibles sans le prestataire.
› S’assurer d’avoir un environnement de test pour vérifier
avant mise a jour
› Disposer d’une possibilité de « refuser » les montées de
version non validées
› Disposer de solutions d’extractions des données sous forme
standard (XML, CSV)

Et le développement sur le PAAS ?
 Développer dans le cloud == développer sur un système web/WebServices
 Quelques précautions sont nécessaires :
› Utiliser les « WAF cloud »
› Développer de manière sécurisé en portant attention :
− Aux données sensibles
− Aux interfaces d’administration
− Aux bases d’authentification
› Attention aux APIs propriétaires
La confiance, n’exclut par le contrôle !

Sécurité des
Applications dans le
Cloud
Gouvernance Conception Vérification Déploiement
Par quoi commencer ?
• Vérifier la
localisation des
données
• Mettre en place un
contrat de
réversibilité
• Chiffrer les
données
• Chiffrer la
transmission des
données
• Tester la sécurité
du prestataire
• Analyser la
connectivité du
prestataire
• Mettre en place un
bouclier virtuel sur
sur les applications

Questions / Réponses
Posez vos questions dans
la fenêtre de chat

Merci et à bientôt !
 Episode 5 :
Panorama des technologies de sécurisation
Mardi 10 décembre à 11h.
Application
Security
Academy
Saison 1

Securite des Applications dans le Cloud

Contenu connexe

Tendances

En vedette

Similaire à Securite des Applications dans le Cloud

Plus de Sebastien Gioria

Securite des Applications dans le Cloud