Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
Présentation sur le cycle de vie du Secure Software Development Life Cycle (SSDLC). Threat modeling, revue d'architecture, analyse statique, analyse dynaique, OWASP ASVS, OpenSAMM, etc.
Nowadays, IT operations are required to run on a tight budget and under constant watch. Compliance, security and mobile innovation are making proper auditing of IT systems absolutely necessary. Knowing the most fundamental facts, like who changed what, when, and where, will save hours of troubleshooting, satisfy compliance needs, and secure the environment. This white paper shows a methodical approach to IT infrastructure auditing. That includes proper planning, estimation of time needed to implement an effective IT auditing solution, and critical resources.
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
Présentation sur le cycle de vie du Secure Software Development Life Cycle (SSDLC). Threat modeling, revue d'architecture, analyse statique, analyse dynaique, OWASP ASVS, OpenSAMM, etc.
Nowadays, IT operations are required to run on a tight budget and under constant watch. Compliance, security and mobile innovation are making proper auditing of IT systems absolutely necessary. Knowing the most fundamental facts, like who changed what, when, and where, will save hours of troubleshooting, satisfy compliance needs, and secure the environment. This white paper shows a methodical approach to IT infrastructure auditing. That includes proper planning, estimation of time needed to implement an effective IT auditing solution, and critical resources.
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
qualimétrie logiciel - Entreprise Software Analytic - nov 2015Julien Vq
Présentation en français
Comment évaluer la qualité d'un logiciel ?
Quels outils de qualimétrie logiciel choisir ?
Entreprise Software Analitic
Comment valider les livrables de vos fournisseurs avec le support d'ALL4TEST et de ces outils de qualimétrie ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
Sécurité des applications, pourquoi et comment ?
Découvrez cette infographie, première de la série, qui explique pourquoi et comment sécuriser vos applications de manière efficace.
Mieux qu'un long discours, le pourquoi et le comment en images :
- La révolution en marche des applications
- Les menaces et les technologies
- Quels conseils pour débuter ou progresser ?
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
Développement sécurisé avec Microsoft.Net et HP FortifyMicrosoft
Intégration de la sécurité applicative dans le cycle de vie logiciel: maîtrise des risques et réduction des coûts HP Fortify Static Code Analyzer, plug-in Microsoft.Net pour la détection automatique et l’éradication à la source, les erreurs de codage qui pourraient donner lieu à des brèches de sécurité. Session présentée par le partenaire : HP.
Speakers : Haleh Nematollahy (HP)
Depuis l’annonce par Microsoft du lancement de l’initiative pour l’informatique de confiance le 15 janvier 2002, le panorama des menaces a beaucoup évolué ; de même l’architecture des systèmes des informations et l’utilisation de l’internet dans nos vie de tous les jours. Irruption de la consumérisation de l'informatique, remise en cause de la notion de périmimètre de sécurité du système d'information, Cloud Computing,... tout cela dans un contexte où les menaces deviennent de plus en plus ciblées. Le but de cette session est de faire le point sur la stratégie sécurité de Microsoft en évoquant ses évolutions les plus récentes.
Collaboration Between Infosec Community and CERT Teams : Project Sonar caseValdes Nzalli
Along with their day-to-day duties, CERT/CSIRT teams need to be aware about the security state of their subscribers/clients. My goal here is to present this initiative named "Project Sonar", started by many members of the Infosec Community. Also, i would like to present an use case in which the collaboration between the CERT/CSIRT team and the Infosec Community can be more profitable for all of us. This use case will be based on an analysis of some data provided by Project Sonar.
Contenu connexe
Similaire à Valdes securite des application - barcamp2012
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
qualimétrie logiciel - Entreprise Software Analytic - nov 2015Julien Vq
Présentation en français
Comment évaluer la qualité d'un logiciel ?
Quels outils de qualimétrie logiciel choisir ?
Entreprise Software Analitic
Comment valider les livrables de vos fournisseurs avec le support d'ALL4TEST et de ces outils de qualimétrie ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
Sécurité des applications, pourquoi et comment ?
Découvrez cette infographie, première de la série, qui explique pourquoi et comment sécuriser vos applications de manière efficace.
Mieux qu'un long discours, le pourquoi et le comment en images :
- La révolution en marche des applications
- Les menaces et les technologies
- Quels conseils pour débuter ou progresser ?
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
Développement sécurisé avec Microsoft.Net et HP FortifyMicrosoft
Intégration de la sécurité applicative dans le cycle de vie logiciel: maîtrise des risques et réduction des coûts HP Fortify Static Code Analyzer, plug-in Microsoft.Net pour la détection automatique et l’éradication à la source, les erreurs de codage qui pourraient donner lieu à des brèches de sécurité. Session présentée par le partenaire : HP.
Speakers : Haleh Nematollahy (HP)
Depuis l’annonce par Microsoft du lancement de l’initiative pour l’informatique de confiance le 15 janvier 2002, le panorama des menaces a beaucoup évolué ; de même l’architecture des systèmes des informations et l’utilisation de l’internet dans nos vie de tous les jours. Irruption de la consumérisation de l'informatique, remise en cause de la notion de périmimètre de sécurité du système d'information, Cloud Computing,... tout cela dans un contexte où les menaces deviennent de plus en plus ciblées. Le but de cette session est de faire le point sur la stratégie sécurité de Microsoft en évoquant ses évolutions les plus récentes.
Similaire à Valdes securite des application - barcamp2012 (20)
Collaboration Between Infosec Community and CERT Teams : Project Sonar caseValdes Nzalli
Along with their day-to-day duties, CERT/CSIRT teams need to be aware about the security state of their subscribers/clients. My goal here is to present this initiative named "Project Sonar", started by many members of the Infosec Community. Also, i would like to present an use case in which the collaboration between the CERT/CSIRT team and the Infosec Community can be more profitable for all of us. This use case will be based on an analysis of some data provided by Project Sonar.
Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?Valdes Nzalli
Cette présentation sera l'occasion de rendre publique une étude en cours sur les
statistiques de connexion des équipements sur l'Internet Africain au cours d'une période
définie. Dans les pays d'Afrique combien d'appareils sont-ils connectés en matinée?
en journée ? à midi ? quel type de devices sont-ils les plus utilisés pour se connecter en
fonction des pays ?
Etude Statistique d'un mois de Vulnérabilités en AfriqueValdes Nzalli
De plus en plus d'équipements se retrouvent de nos jours connecté à Internet, la baisse
des prix de la bande passante aidant, il est dorénavant plus facile d'héberger par
exemple un service soit même. Mais cette croissance n'est pas la même pour les
mesures de sécurité appliquées aux équipements connectés. Notre exposé aura pour
but de révéler les statistiques d'un audit de l'internet en Afrique sur une durée
mensuelle. Il nous a ainsi été possible d'identifier plusieurs cas comme les machines
membres de botnets, des serveur ouverts au public mais non patchés et bien d'autres.
De ces résultats nous avons fait un classement par pays, Application, Système,... ainsi
que leur fréquence.
Internet et Vie Privée Analyse des comportements en Afrique après PRISMValdes Nzalli
Suite aux révélations sur les programmes de renseignement massif des agences
Gouvernementales outre-mer en Juin dernier, les réactions de part et d'autres se sont fait
entendre un peu partout et en particulier dans la sphère Internet Africaine.
Cette Etude est une enquête sur les issues générées par cet état de choses ;
notamment savoir quelles ont été les mesures mises en place par les gouvernements,
Entreprises et Internautes Africains pour ce prémunir de ce phénomène. Par ailleurs,
il sera question de savoir quel est l'impact et l'efficacité des mesures prises par les uns
et les autres. Sont-elle efficientes?! comment peuvent-elle être améliorée ? sont là les
questions qui trouverons réponses au cours de cet exposé.
Présentation passée lors de l'atelier sur le thème "Réseaux Sociaux et Sécurité" pour le compte de Cameroon Cyber Security avec les étudiant de la Faculté de Génie Industriel de Douala!
une approche faite de suggestions afin de mieux outiller notre pays pour faire face aux enjeux de la Sécurité du cyber espace de la Nation, surtout en ces temps de « cyber-tumultes »
Compte Rendu du meeting du 23 Mars 2011 tenu sur IRC pour la validation du cahier de charge de création d'une communauté pour le Logiciel Libre au Cameroun.
Presentation communaute (Cahier de ChargValdes Nzalli
Il s'agit du cahier de charge du projet de mise sur pieds d'un espace de travail et d'échange pour la communauté Camerounaise des utilisateurs de logiciels libres.
2. De quoi sera-t-il question?
• Pourquoi Sécuriser Nos
1 Applications ?
• Comment Sécuriser nos
2 Applications ?
• Intégration de la Sécurité
3 dans notre SDLC
4. Les différentes failles
• Pour les Applications Web :
OWASP Top 10
• Les Failles d’implémentation :
le fuzzing
5. Les enjeux
• L’impact économique
• Le l’image de marque
• Exemple : Cas de la compagnie Itron
(USA)
6. Quelques Chiffres
• Les pertes entrainées par les failles
logicielles en 2011 (Source 1)
• Plus de 75% des applications web sur le
marché contiennent des failles critiques
(source 2)
11. Modèles de Developpement Sécurisé
Retester
l’Application
Refaire un
audit du
Activités menées
code Source
Réparation
des failles les
plus critiques
Identifier les
failles
récurentes
Temps Passé
12. Les outils à utiliser I
• Les Scanneurs de Vulnérabilité :
Accunetix, W3AF, Burp Suite, HP
WebInspect
• Les outils d’analyse de code source :
Yasca, PMD, Coverity, phpSniffer,
cobertura
13. Les outils à utiliser II
• Les machines virtuelles de Test :
Damn Vulnerable Web Application,
metasploitable,
• Les reférentiels d’audit d’application
14. Les Facteurs environnementaux
• La sécurité du poste de
développement
• La sécurité du serveur
de code sources
• Les comportements des
utilisateurs
15. Case Study : Sécurité d’une
Application Web
• Web Application
Security Checklist (voir
fichier excel join)
16. Ressources
• OWASP Top 10 <www.owasp.org>
• OWASP Turkey Web Application Security Checklist v.2
www.webguvenligi.org
• Source 1 : Couts des failles 2011
http://threatpost.com/en_us/blogs/insecure-applications-we-are-
84-percent-120611
• Source 2 : Microsoft SDLC
threatpost.com/en_us/blogs/microsofts-sdl-expands-beyond-
redmond-051612
• Analyse de code Java :
http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de-
code-java