SlideShare une entreprise Scribd logo
© 2018 IBM Corporation
REX
Security & Privacy
by Design
IBM France Lab
Patrick MERLIN
October 8th, 2019
© 2019 IBM Corporation
REX
Security & Privacy by Design
2
© 2019 IBM Corporation
SPbD
Parcours
De RGPD à SPbD
Evaluation Security Privacy by Design
Threat Model
Code Scan
Security Tests
Penetration Tests
Vulnerability Management
REX
Conclusion
3
© 2019 IBM Corporation
Parcours
4 KUBERNETES OPERATORS //@RO14ND
Membre du France Lab (R&D) dans l’équipe « Optimization Decision
Management » rattachée à Digital Business Automation
Avant IBM: Réseau / Sécurité
Début chez IBM : Compliance avec les normes de Sécurité IBM
Maintenant: DevSecOps
Audit ISO 27001
Réseau / Sécurité dans le cloud ;-)
Mise en place SPbD
Déploiement continue d’ODM « Dockerisé » dans le cloud sur
Kubernetes
© 2019 IBM Corporation
De RGPD à SPbD
5 KUBERNETES OPERATORS //@RO14ND
Intégrer les principes du RGPD dès la conception d'un projet
informatique pour respecter la vie privée des utilisateurs
Les principes fondamentaux :
• minimiser la surface d’attaque
• le moindre privilège
• la défense en profondeur
- mesures proactives et non réactives
• Assurer la protection implicite de la vie privée
• sécurité de bout en bout, pendant toute la période de
conservation
© 2019 IBM Corporation
Evaluation Security Privacy by Design
6 KUBERNETES OPERATORS //@RO14ND
Code Scan
Threat Model
Penetration Test
Security Tests
Vulnerability Management
© 2019 IBM Corporation
Evaluation Security Privacy by Design
7 KUBERNETES OPERATORS //@RO14ND
Code Scan
Threat Model
Penetration Test
Security Tests
Vulnerability Management
© 2019 IBM Corporation
Threat Model
8 KUBERNETES OPERATORS //@RO14ND
Inventaire des composants
Acteurs
Co-location ? (multi/mono tenant)
Schéma réseau
Liste des processus avec les privilèges d’exécution
Liste des protocoles, ports, flot de données par processus
Liste des 3rd party libraries
Qui discute avec qui, comment…
Stockage: Base de donnée, Logs, backup
Stockage des données clients de manière sécurisée -> chiffrement
au repos & en transit
Stockage des clés / certificats / API-Key -> Vault
Top 10 OWASP checkbox (sanitization …)
….
© 2019 IBM Corporation
Evaluation Security Privacy by Design
9 KUBERNETES OPERATORS //@RO14ND
Code Scan
Threat Model
Penetration Test
Security Tests
Vulnerability Management
© 2019 IBM Corporation
Code Scan
10 KUBERNETES OPERATORS //@RO14ND
• Pair programming / Code Review
• Static Application Security Testing
WhiteSource (https://www.whitesourcesoftware.com/),
AppScan (https://www.hcltech.com/software/appscan-standard)
• Dynamic Application Security Testing aka Web Application Scanning
Appscan
• Interactive Application Security Testing : combinaison des 2
Contrast (https://www.contrastsecurity.com)
Qui scanne les 3rd party libraries ??
Beaucoup de faux-positif
• Conseils VS actions
• Vulnérabilité VS code à risque
© 2019 IBM Corporation
Evaluation Security Privacy by Design
11 KUBERNETES OPERATORS //@RO14ND
Code Scan
Threat Model
Penetration Test
Security Tests
Vulnerability Management
© 2019 IBM Corporation
Security Tests
12 KUBERNETES OPERATORS //@RO14ND
Tests automatiques
- Accès en fonction des droits
- Test des corrections de Vulnérabilités
- Test des versions des composants
-« Detect secrets » sur les repositories de source code pour ne plus
commiter des secrets (https://github.com/Yelp/detect-secrets)
-TLS Version & Ciphers avec SSL Cert Scan (https://www.ssllabs.com/)
-…
© 2019 IBM Corporation
Evaluation Security Privacy by Design
13 KUBERNETES OPERATORS //@RO14ND
Code Scan
Threat Model
Penetration Test
Security Tests
Vulnerability Management
© 2019 IBM Corporation
Pénétration Tests
14 KUBERNETES OPERATORS //@RO14ND
• Planifier ses pentests à l’avance !
• Changer de fournisseur
• Pentest Interne et Externe dès la RC0
• Correction des défects High avant la release
Politique SPbD: Puis je livrer s’il reste plusieurs défect Med ?
© 2019 IBM Corporation
Evaluation Security Privacy by Design
15 KUBERNETES OPERATORS //@RO14ND
Code Scan
Threat Model
Penetration Test
Security Tests
Vulnerability Management
© 2019 IBM Corporation
Vulnerability Management
16 KUBERNETES OPERATORS //@RO14ND
• Scanner de vulnérabilités type Nessus / OpenVAS
• Détecter / Remédier
• Veille Sécurité (Mailing List)
• Alertes CERT / PSIRT (https://www.cert.ssi.gouv.fr/)
• Outil de suivi des vulnérabilités (https://www.saucs.com/)
• OWASP Dependency Check
(https://www.owasp.org/index.php/OWASP_Dependency_Check)
© 2019 IBM Corporation
REX
17 KUBERNETES OPERATORS //@RO14ND
ODM on Cloud : Vieux monolithe de 20 ans
Threat model: stabilisé
Code scan: remontait au début beaucoup d’alertes
Pentest: moins d’évolution du produit … moins intéressant
VM: avec focus important sur les vieilles bibliothèques
Release Sécurité
Decision Composer: Nouveau projet de modélisation de règles
Threat model: bouge
Code scan: ne remonte que peu d’alertes car géré dès le début
Pentest: intéressant
VM: dernière version des bibliothèques
Release : Beaucoup de nouveautés du produit par rapport à la sécurité
© 2019 IBM Corporation
Conclusion
18 KUBERNETES OPERATORS //@RO14ND
• Définir une politique SPbD
• Des documents uniformisés présentant chaque application
• Ne pas gérer la sécurité juste avant la livraison
• Définir des objectifs atteignables
• Attention aux dépendances !
• Commencer le code scan le plus tôt possible
• Du travail au début, beaucoup moins par la suite.
• Plan Do Check Act
• Revue SPbD complète à chaque nouvelle version majeure
• Former les développeur à la sécurité
© 2019 IBM Corporation
Q/A
19
Thank You

Contenu connexe

Tendances

Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
Patrice Bock
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
Hilal El Akramine
 
Fiche formation cissp
Fiche formation   cisspFiche formation   cissp
Fiche formation cissp
zsekoia
 
Certification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurityCertification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurity
Pondo3
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
Ivanti
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
CERTyou Formation
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
Serge Richard
 
Sectoken 1page-poster
Sectoken 1page-posterSectoken 1page-poster
Sectoken 1page-poster
Gilles Sgro
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Witekio
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
ColloqueRISQ
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
ITrust - Cybersecurity as a Service
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
Mathieu Isaia | TheGreeBow
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
 
Introduction to Cybersecurity
 Introduction to Cybersecurity  Introduction to Cybersecurity
Introduction to Cybersecurity
Kacem CHAMMALI
 
MWCP22 - Mesh hybrid work
MWCP22 -  Mesh hybrid workMWCP22 -  Mesh hybrid work
MWCP22 - Mesh hybrid work
Clément SERAFIN
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
Serge Richard
 

Tendances (20)

Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
 
Fiche formation cissp
Fiche formation   cisspFiche formation   cissp
Fiche formation cissp
 
Certification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurityCertification CISCO: Introduction to cybersecurity
Certification CISCO: Introduction to cybersecurity
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
Sitcs formation-gestion-des-menaces-avec-les-produits-de-securite-cisco-threa...
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
Sectoken 1page-poster
Sectoken 1page-posterSectoken 1page-poster
Sectoken 1page-poster
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Security France
Security FranceSecurity France
Security France
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Introduction to Cybersecurity
 Introduction to Cybersecurity  Introduction to Cybersecurity
Introduction to Cybersecurity
 
MWCP22 - Mesh hybrid work
MWCP22 -  Mesh hybrid workMWCP22 -  Mesh hybrid work
MWCP22 - Mesh hybrid work
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 

Similaire à SPbD @ IBM France Lab par Patrick MERLIN

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM France Lab
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
 
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction MeetupIBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM France Lab
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
 
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425
IBM France Lab
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
OCTO Technology
 
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hecPpt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Yves LE CLEACH
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
LeClubQualiteLogicielle
 
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM France Lab
 
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsAssises 2017 - Caisse des Depots
Assises 2017 - Caisse des Depots
Splunk
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational_France
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
Valdes Nzalli
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
Emmanuel Roldan
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
OCTO Technology
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
Microsoft
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
OCTO Technology
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
Aadel1805
 

Similaire à SPbD @ IBM France Lab par Patrick MERLIN (20)

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité  des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction MeetupIBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
IBM Bluemix Paris Meetup #14 - Le Village by CA - 20160413 - Introduction Meetup
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
La Duck Conf - "Microservices & Servicemesh : le retour des frameworks d'entr...
 
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hecPpt 2   a jeanpierre-yle-cleach-hec-05022015_sent2hec
Ppt 2 a jeanpierre-yle-cleach-hec-05022015_sent2hec
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2IBM Bluemix Paris meetup #16    20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
 
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsAssises 2017 - Caisse des Depots
Assises 2017 - Caisse des Depots
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
La Duck Conf - "Edge computing : le déploiement continu se fait une virée en ...
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
 

Plus de TelecomValley

Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022
TelecomValley
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022
TelecomValley
 
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyRapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom Valley
TelecomValley
 
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
TelecomValley
 
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020
TelecomValley
 
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020
TelecomValley
 
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019
TelecomValley
 
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019
TelecomValley
 
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020
TelecomValley
 
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020
TelecomValley
 
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019
TelecomValley
 
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019
TelecomValley
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
TelecomValley
 
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019
TelecomValley
 
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19
TelecomValley
 
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
TelecomValley
 
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
TelecomValley
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
TelecomValley
 
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFEA la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
TelecomValley
 
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.12019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
TelecomValley
 

Plus de TelecomValley (20)

Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022Rapport d'activité SoFAB 2022
Rapport d'activité SoFAB 2022
 
Rapport d'activité 2022
Rapport d'activité 2022Rapport d'activité 2022
Rapport d'activité 2022
 
Rapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom ValleyRapport d'activité 2021 - Telecom Valley
Rapport d'activité 2021 - Telecom Valley
 
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
Livre blanc "Les métamorphoses de l'entreprise face à l'imprévu - Tome 1 : la...
 
Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020Rapport d'activité SoFAB 2020
Rapport d'activité SoFAB 2020
 
Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020Rapport d'activité Telecom Valley 2020
Rapport d'activité Telecom Valley 2020
 
Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019Rapport d'activité SoFAB 2019
Rapport d'activité SoFAB 2019
 
Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019Rapport d'activité Telecom Valley 2019
Rapport d'activité Telecom Valley 2019
 
Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020Revue de presse Telecom Valley - Février 2020
Revue de presse Telecom Valley - Février 2020
 
Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020Revue de presse Telecom Valley - Janvier 2020
Revue de presse Telecom Valley - Janvier 2020
 
Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019Revue de presse Telecom Valley - Décembre 2019
Revue de presse Telecom Valley - Décembre 2019
 
Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019Revue de presse Telecom Valley - Novembre 2019
Revue de presse Telecom Valley - Novembre 2019
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
 
Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019Revue de presse Telecom Valley - Septembre 2019
Revue de presse Telecom Valley - Septembre 2019
 
Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19Présentation Team France Export régionale - 29/11/19
Présentation Team France Export régionale - 29/11/19
 
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
2019 - NOURI - ALL4TEST- Le BDD pour decouvrir et specifier les besoins metie...
 
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
Tester c'est bien, monitorer c'est mieux - 2019 - KISSI - Soirée du Test Logi...
 
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
Et si mon test était la spécification de mon application ? - JACOB - iWE - So...
 
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFEA la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
A la poursuite du bug perdu - 2019 - THEAULT - DI GIORGIO - ACPQUALIFE
 
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.12019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
2019 - HAGE CHAHINE - ALTRAN - Presentation-DecouverteMondeAgile_V1.1
 

SPbD @ IBM France Lab par Patrick MERLIN

  • 1. © 2018 IBM Corporation REX Security & Privacy by Design IBM France Lab Patrick MERLIN October 8th, 2019
  • 2. © 2019 IBM Corporation REX Security & Privacy by Design 2
  • 3. © 2019 IBM Corporation SPbD Parcours De RGPD à SPbD Evaluation Security Privacy by Design Threat Model Code Scan Security Tests Penetration Tests Vulnerability Management REX Conclusion 3
  • 4. © 2019 IBM Corporation Parcours 4 KUBERNETES OPERATORS //@RO14ND Membre du France Lab (R&D) dans l’équipe « Optimization Decision Management » rattachée à Digital Business Automation Avant IBM: Réseau / Sécurité Début chez IBM : Compliance avec les normes de Sécurité IBM Maintenant: DevSecOps Audit ISO 27001 Réseau / Sécurité dans le cloud ;-) Mise en place SPbD Déploiement continue d’ODM « Dockerisé » dans le cloud sur Kubernetes
  • 5. © 2019 IBM Corporation De RGPD à SPbD 5 KUBERNETES OPERATORS //@RO14ND Intégrer les principes du RGPD dès la conception d'un projet informatique pour respecter la vie privée des utilisateurs Les principes fondamentaux : • minimiser la surface d’attaque • le moindre privilège • la défense en profondeur - mesures proactives et non réactives • Assurer la protection implicite de la vie privée • sécurité de bout en bout, pendant toute la période de conservation
  • 6. © 2019 IBM Corporation Evaluation Security Privacy by Design 6 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 7. © 2019 IBM Corporation Evaluation Security Privacy by Design 7 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 8. © 2019 IBM Corporation Threat Model 8 KUBERNETES OPERATORS //@RO14ND Inventaire des composants Acteurs Co-location ? (multi/mono tenant) Schéma réseau Liste des processus avec les privilèges d’exécution Liste des protocoles, ports, flot de données par processus Liste des 3rd party libraries Qui discute avec qui, comment… Stockage: Base de donnée, Logs, backup Stockage des données clients de manière sécurisée -> chiffrement au repos & en transit Stockage des clés / certificats / API-Key -> Vault Top 10 OWASP checkbox (sanitization …) ….
  • 9. © 2019 IBM Corporation Evaluation Security Privacy by Design 9 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 10. © 2019 IBM Corporation Code Scan 10 KUBERNETES OPERATORS //@RO14ND • Pair programming / Code Review • Static Application Security Testing WhiteSource (https://www.whitesourcesoftware.com/), AppScan (https://www.hcltech.com/software/appscan-standard) • Dynamic Application Security Testing aka Web Application Scanning Appscan • Interactive Application Security Testing : combinaison des 2 Contrast (https://www.contrastsecurity.com) Qui scanne les 3rd party libraries ?? Beaucoup de faux-positif • Conseils VS actions • Vulnérabilité VS code à risque
  • 11. © 2019 IBM Corporation Evaluation Security Privacy by Design 11 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 12. © 2019 IBM Corporation Security Tests 12 KUBERNETES OPERATORS //@RO14ND Tests automatiques - Accès en fonction des droits - Test des corrections de Vulnérabilités - Test des versions des composants -« Detect secrets » sur les repositories de source code pour ne plus commiter des secrets (https://github.com/Yelp/detect-secrets) -TLS Version & Ciphers avec SSL Cert Scan (https://www.ssllabs.com/) -…
  • 13. © 2019 IBM Corporation Evaluation Security Privacy by Design 13 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 14. © 2019 IBM Corporation Pénétration Tests 14 KUBERNETES OPERATORS //@RO14ND • Planifier ses pentests à l’avance ! • Changer de fournisseur • Pentest Interne et Externe dès la RC0 • Correction des défects High avant la release Politique SPbD: Puis je livrer s’il reste plusieurs défect Med ?
  • 15. © 2019 IBM Corporation Evaluation Security Privacy by Design 15 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
  • 16. © 2019 IBM Corporation Vulnerability Management 16 KUBERNETES OPERATORS //@RO14ND • Scanner de vulnérabilités type Nessus / OpenVAS • Détecter / Remédier • Veille Sécurité (Mailing List) • Alertes CERT / PSIRT (https://www.cert.ssi.gouv.fr/) • Outil de suivi des vulnérabilités (https://www.saucs.com/) • OWASP Dependency Check (https://www.owasp.org/index.php/OWASP_Dependency_Check)
  • 17. © 2019 IBM Corporation REX 17 KUBERNETES OPERATORS //@RO14ND ODM on Cloud : Vieux monolithe de 20 ans Threat model: stabilisé Code scan: remontait au début beaucoup d’alertes Pentest: moins d’évolution du produit … moins intéressant VM: avec focus important sur les vieilles bibliothèques Release Sécurité Decision Composer: Nouveau projet de modélisation de règles Threat model: bouge Code scan: ne remonte que peu d’alertes car géré dès le début Pentest: intéressant VM: dernière version des bibliothèques Release : Beaucoup de nouveautés du produit par rapport à la sécurité
  • 18. © 2019 IBM Corporation Conclusion 18 KUBERNETES OPERATORS //@RO14ND • Définir une politique SPbD • Des documents uniformisés présentant chaque application • Ne pas gérer la sécurité juste avant la livraison • Définir des objectifs atteignables • Attention aux dépendances ! • Commencer le code scan le plus tôt possible • Du travail au début, beaucoup moins par la suite. • Plan Do Check Act • Revue SPbD complète à chaque nouvelle version majeure • Former les développeur à la sécurité
  • 19. © 2019 IBM Corporation Q/A 19 Thank You