2014 09-25-club-27001 iso 27034-presentation-v2.2

Document confidentiel - Advens® 2014 www.advens.fr

LA NORME ISO 27034

Sebastien Gioria Club 27001 – Paris 25 Septembre 2014

Document confidentiel - Advens® 2014 www.advens.fr 2

Agenda

§ Problématiques initiales et besoins exprimés pour la création de la norme

§  Les différents tomes §  La norme ISO 27034-1:2011 § Questions/Réponses ?


http://www.google.fr/#q=sebastien gioria

‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader

‣ Innovation and Technology @Advens && Application Security Expert

Twitter :@SPoint

‣ Proud father of youngs kids trying to hack my digital life.


Qui sommes-nous ?

Nous aidons les organisations, publiques ou privées, à manager la sécurité de l'information pour en améliorer la performance.

Nos différences

•  La valorisation de la fonction sécurité

•  Une approche métier s’appuyant sur des compétences sectorielles

•  Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service »

•  Une approche pragmatique et des tableaux de bord actionnables

•  Une vision globale et indépendante des technologies

Éléments clés

•  Créée en 2000

•  CA 10 millions euros

•  80 collaborateurs basés à Paris, Lille, Lyon, Grenoble, Niort

•  Plus de 300 clients actifs en France et à l’international

•  Prestataire d’audit de la sécurité des SI (PASSI) en cours par l’ANSSI


Problématiques initiales et besoins exprimés pour la création de la norme


99% des applications Web sont vulnérables**

En moyenne, une application contient 13 failles**

3,61$ par ligne de code, c’est le coût de la non qualité/sécurité dans un développement***

*Source : Ponemon Institute 2013 **Sources Cenzic 2013

***Source : Castsoftware 2012

80% des budgets sécurité sont consacrés à l’infrastructure alors que les applications concentrent 90% des vulnérabilités*


Différentes causes pour les mêmes résultats

Les utilisateurs cherchent agilité et autonomie ➜  Se tournent vers le Cloud sans évaluer la sécurité ➜  Bypassent la DSI, le RSSI ➜  Cherchent à optimiser les coûts et des délais rapides

Les développeurs manquent de moyens ➜  Manquent de sensibilisation et de formation ➜  Utilisent des méthodologies dans lesquelles la sécurité n’est pas intégrée ➜  Répondent à des cahiers des charges qui n’intègrent pas d’exigences

Les éditeurs ne maîtrisent pas la sécurité dans leurs produits ➜  Pression du marché / Time to market ➜  Absence de clauses sécurité dans les achats et dans les appels d’offres


Problématiques des utilisateurs finaux

§  Les vulnérabilités applicatives ont un impact plus fort qu'il y a 10 ans. §  L'environnement technologique est complexe §  Il est difficile de garder toujours le même niveau de sécurité, en particulier

lors de la maintenance de l'application §  Il faut rester conforme aux différents contextes règlementaires et législatifs §  Il y a peu ou pas de contrôle sur les applications acquises

›  vulnérabilités ? ›  configuration / installation ? ›  opérations ?

§  Pas ou peu d'exigences de sécurité lors des A.O ou sur les contrats ›  dépendance du fournisseur ›  pas de droit de regard client parfois (clauses d'audit interdites) ›  ...


Besoins exprimés pour la création

§  L'utilisateur final a besoin d'outils pour définir les exigences des le début du projet

§  L'editeur a besoin d'outils pour se conformer aux exigences

§  L'auditeur a besoin d'outils pour évaluer la sécurité des applications ›  Processus ›  Méthode ›  Critères de controle


Les différents tomes de la série 27034


ISO27034, une norme en 7 tomes

§  27034-1 : Concepts et survol global – ›  Etat : 60.60

§  27034-2 : Cadre normatif de l'organisation - Que faut-il utiliser ? ›  Etat : 40.20

§  27034-3 : Processus de gestion de la sécurité d'une application - Comment intégrer dans le processus la sécurité ? ›  Etat : 10.99

§  27034-4 : Validation de la sécurité d'une application (organisation, application, humaine) ›  Etat 10.99

§  27034-5 : Protocoles et structures de données des contrôles de sécurité applicative ›  Etat : 30.20

§  27034-6 : Pratique de sécurité pour des cas spécifiques d'applications (exemples, case study) ›  Etat 30.20

§  27034-7 : Application security control attribute predictability (concept américain J) ›  Etat 10.99


Liens avec les autres normes ISO - § 0.5


La norme dans le détail


Objectifs de la norme ISO 27034

§  Proposer un modèle permettant de faciliter l'intégration de la sécurité dans le cycle de vie de développement d'une application ›  qu'elle soit développée en interne ›  qu'elle soit en partie "achetée" ›  qu'elle soit en mode SAAS

§  Proposer un modèle pouvant s'adapter aux processus et méthodologie de l'organisation

§  Mais en aucun cas ›  de proposer des contrôles ou règles de développement => voir

OWASP ;)


Principes

§  La sécurité est une exigence métier §  La sécurité d'une application dépend de son contexte

d'utilisation §  La sécurité d'une application doit pouvoir être démontrée §  Il est nécessaire de pouvoir connaitre le bon niveau

d'investissement financier pour sécuriser l'application §  La portée de la sécurité d'une application est

›  tout ce qui au sein de l'organisation peut mettre en péril l'information critique

›  tout ce qu'il faut contrôler pour protéger l'information ›  inclut les personnes, processus, et l'infrastructure

technologique


Portée de la sécurité d'une application - § 6.3


Principes - processus - § 7

Processus de gestion des risques appliqué à chaque

applicatif

Cadre normatif de l'organisation


Cadre normatif de l'organisation – §8

Documente les standards et pratiques de l'organisation : •  processus de gesiont de

projet,... •  politiques de sécurité •  regles de developpemet,

•  ...

Documente le contexte réglementaire et legislatif ou sont utilisées les applications

Documente les produits, services et technologies utilisées par l'organisation, et permet de déterminer les menaces auquelles fait face l'application

Dépot des spécifications et besoins fonctionnels ainsi que les solutions utilisées pour y répondre. On y trouve aussi le code, les librairies, ...

Roles, responsabilittés et quelifications pour le projet. S'assure que tous les acteurs pour les processus sont définis et assure la séparation des privilèges

Contient tous les contrôles de sécurité applicative approuvés C'est aussi un recueil des bonnes pratiques

Contient tous les processus de sécurité impliqués par la sécurité des applications de l'organisation

Modèle de cycle de vie standard pour la sécurité d'une application (cf slide suivant)


Modèle de cycle de vie pour la sécurité applicative - § 8.1.2.7

Buts : •  aider l'organisation à valider le cycle de vie de chacune des applications •  aider l'organisation à s'assurer que les problèmes de sécurité sont correctement

adressés •  aider l'organisation à minimiser le cout et l'impact de l'ISO27034 dans les projets •  fournir un modèle standard pour le partage des ASCs a travers les projets


Controle de Sécurité Applicative (ASC) § 8.1.2.6.5

§  Mesure de réduction du risque §  Crée, approuvé et maintenu par l'organisation §  Utilisé par les équipes de projet, d'opération, d'assurance qualité et d'audit §  Peut être utilisé comme critère d'acception lors du développement §  Vérifiable / Auditable §  Décrit formellement dans un format standard (XML)


Librairie des controles de sécurité applicative § 8.1.2.6.2

§  Peut être vue comme une grille


Application Level of Trust § 8.1.2.6.4

§  Indice de tolérance au risque §  Concrétisé par un ensemble de contrôle (cf une colonne de la grille de la librairie des

contrôles) §  Plusieurs niveaux sont définis :

›  Targeted Level of Trust : niveau de confiance cible définit par le propriétaire de l'application suite à l'analyse des risques

›  Actual Level of Trust : niveau de confiance réel, suite a un audit par ex


Processus de gestion de la sécurité § 7.3

Détermination des élément impactant l sécurité de l'application : •  specs •  acteurs •  information •  contexte business/relegislatif et

technologique Identification, analyse et evaluation du risque Deduction des exigences de sécurité

Détermination du niveau de sécurité/confiance par le propriétaire de l'application

Extraction de l'ONF, des contrôles pertinents pour réduire les risques en fonction du 1 et du 2

Il en sort un cadre appelé ANF. Il contient toute l'information relative à la sécurité de l'application

Tous les controles de l'ANF sont utilisés pendant le cycle de vie de l'application Réalisation des activités de sécurité de tous les contrôles Réalisation de toutes les activités de vérification des contrôles

Vérification du résultat de toutes les activités de vérification et tous les contrôles Le résultat qui en sort est le niveau de confiance réel


Processus de vérification de la sécurité § 8.5


Apports directes de la norme

§  Un cadre standard de gestion des risques applicatifs §  Un futur référentiel permettant de « vérifier » / « valider »

le niveau de sécurité d’une application §  Des processus permettant la certification des

entreprises/applications

ET PUIS C’EST TOUT !!!


Inconvénients / Effort de déploiements

§  Définir les rôles et responsabilités : ›  peut être assez complexe suivant le S.I ›  complexe dans le cas de S.I infogérés (Cloud....) existants

§  Documenter les processus et les composants ›  Les mettre a jour pour coller a la norme

§  Créer les cadres normatifs de l’organisation

§  Mettre en oeuvre le processus : 1.  dans l’organisation 2.  dans les projets !

Gérer le changement !


Apports indirects (Avantages) de la norme

§  Apporte une augmentation du niveau de sécurité des applications §  Uniformisation et normalisation de la sécurité des applications :

›  OWASP ASVS ›  OWASP OpenSAMM ›  BSIMM (Cigital) ›  SDL (Microsoft) ›  .....

§  Meilleur controle des fournisseurs d’applications (internes, externes) §  Réutilisation des composants, processus et contrôles existants

Roles Responsabiltié Bénéfice de la norme

Managers Gérer le cout de l’implémentation et du maintient de la sécurité applicative

Permet de prouver que l’application a atteint le niveau de sécurité voulu et qu’elle le maintient

Developers Comprendre ou la sécurité doit être appliqué dans chacune des phase du cycle de vie de l’application

Permet d’identifier et implémenter les controles de sécurité nécessaires

Auditors Vérifier les contrôles pour prouver le niveau de sécurité de l’application

Permet de standardiser le processus de certification en sécurité applicative

End users N/A Permet de s’assurer que l’application peut être utilisée en toute sécurité.


Les questions qui fachent ! ou pas !

§  Existe-t-il des certifications ISO 27034 ? ›  Réponse : Oui via le PECB ! (LSTI si vous m’entendez, venez me voir J)

−  ISO 27034 Lead Auditor −  ISO 27034 Lead Implementer −  ISO 27034 Fundations

§  Existe-t-il des entreprises ayant implémentées la norme ? ›  Réponse : Oui !

−  Au moins Microsoft (facile vu que la SDL colle dans l’annexe A....) ; cf blog microsoft.com

« Microsoft has used a risk based approach to guide software security investments through a program of continuous improvement and processes since the Security Development Lifecycle (SDL) became a company-wide mandatory policy in 2004. In 2012, Microsoft used ISO/IEC 27034-1, an international application security standard as a baseline to evaluate mandatory engineering policies, standards, and procedures along with their supporting people, processes, and tools. All current mandatory application security related policies, standards, and procedures along with their supporting people, processes, and tools meet or exceed the guidance in ISO/IEC 27034-1 as published in 2011. »

−  Un équipementier serait en cours en France.... −  Différentes sociétés canadiennes (facile, le créateur de la norme est canadien ;))


Prochaines dates

§ Application Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 - http://www.appsec-forum.ch/

›  Secure Coding for Java – 1 Day training ›  SonarQube pour la sécurité applicative

§ CLUSIR InfoNord – 16 Décembre 2014 ›  Le paradigme de la sécurité des objets connectés; Présentation de

l’OWASP Top10 IoT

§ Confoo 2015 – Montreal – 16 au 20 Février 2015

§ OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015


?

Questions / Réponses


Merci pour votre participation

www.advens.fr/blog

Groupe LinkedIn Webinars – 9 épisodes

Application Security

Academy Saisons 1, 2 et 3

Découvrez nos ressources sur la sécurité des applications

Document confidentiel - Advens® 2014 www.advens.fr

VOTRE CONTACT

4 square Edouard VII – 75009 Paris T + 33 (0)1 84 16 30 25� F +33 (0)3 20 70 54 28 � M +33 (0)6 70 59 11 44 [email protected] � www.advens.fr

Sébastien Gioria | Innovation & Technologies

Internet

2014 09-25-club-27001 iso 27034-presentation-v2.2