Les tests de securite devops

Les tests de scurit DevOps

Qui es tu?

Christophe Villeneuve

Ce qu'il vous attend...

Aborder les tests de scurit Mesurer votre qualit de scurit Web Le DevOps de la scurit avec vos outils Open Source

A l'abordage

L'importance des tests

Pourquoi c'est utile?

Le code peut casse Changer le nom d'un fichier Pas le temps d'en faire C'est long manuellement

Et l'intrt Cote du temps au dbut En fait gagner ensuite Ncessite de la rigueur et de la

constante

Les diffrents types de tests

Tests unitaires Tests fonctionnels Tests intgrations Tests Automatiss Tests de charges Tests d'ergonomie Tests de scurit

Humour: la scurit

Ca ne sert rien

C'est de la vente force

Ce n'est pas pour moi

Les menaces

Les risques

Ne connaissent pas L'tendue des risques lis la scurit de leur site

Significations du terme piratage voir dfinition Wikipedia

Et surtout: Vol d'informations Usurpation d'identit Indisponibilit de service Dfiguration de site Dsinformation

La vie du hacker

Des sites rfrencent Sur les failles Les alertes (veilles / R&D)

Leurs mtiers Des scanners ...

Les diffrents types d'attaques (1/2)

Matriels Priphriques Smartphones

Les diffrents types d'attaques (2/2)

Internet des Objets Le web Logiciels

Les mesures

CVE Security (1/3)

Base de donnes des vulnrabilits (source d'informations) OS / Langages / CMS / Framework / Navigateurs...

CVE Security (2/3)

Reprsentation annuelle

CVE Security (3/3)

Identifier les risques

Systmes trop verbeux DNS / Rseaux

Systme d'authentification faible SSH

La gestion des droits Maillons faibles

Les mots de passes systmes Admin du poste / compte utilisateur

Bases de donnes Stockage des informations sensibles

Partage de fichiers Priphriques hardwaire

Serveurs l'abandon Vulnrabilits web

Voir les rapports OWASP

Le mode parano

Pour le service informatique Les tests de pntration

Tous les sites

Les Firewall / Parefeu web Toutes les 3 4 semaines

Analyser le code Toutes les 2 semaines

Analyse des freins...

Temps d'installation Dure Temps d'analyse

DevOps / Outils

Quoi faire?

Un processus dans un dploiement continue En diffrentes petites tapes

Exemple: Regardons les sites actuels Dans leur cycle de dploiement

Contrle de scurit (1/2)

Intgrer les Risques IT Stratgie mtier et modle oprationnel la cartographie

Dvelopper les synergies Des filires Risque, Contrle, Scurit et Continuit

Adopter un modle de protection Les secrets et donnes personnelles proportionn

Industrialiser Un accompagnement de scurit des projets mtiers

Contrle de scurit (2/2)

Stimuler La gestion des identits et des accs

Outiller La dtection et la raction aux incidents

Innover et soutenir les quipes projets Notamment dans la relation avec leurs multiples sous-traitants

https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx

Dploiement continue

Dveloppement

Serveurvalidation

Serveur intgration

Outils SCA

Tches rptitives

- Analyse de code- Contrle du code- Dclencheur Build

ServeurPrprod

Serveurproduction

Tests de scuritautomatis

Report&

Notification

Mise en place / procdure

Plan de scurit

Identifier les API et les frameworks Imprimez les portions du code de scurit (mcanisme) Authentification Mot de passe

Planifiez-le Anticipez les problmes rglementaires

Sensibiliser les dveloppeurs

Les rapports OWASP TOP 10 Web TOP 10 mobile TOP 10 IoT

Analyser le code dans l'Intgration continue

Equiper les dveloppeurs

Utilisation des frameworks scuriss et reconnus Spring Security, JAAS, Apache Shiro, Symfony2, Drupal...

Le framework OWASP ESAPI

Outils de Feedback sur la scurit avant l'tape de validation Ex: librairie SCA dans un IDE

ATTENTION: Librairies externes / anciennes

Automatisation

Associ dans les outils de dploiement (Build) Jenkins, Bamboo, TeamCity, etc.

Test de scurit statiques de vos API (SAST = Static Application Security Testing) Top 10 Strategic Technology Trends

Test dynamique de scurit des applications (DAST = Dynamic Application Security Testing)

Rsultat faible

Bloquer le processus

Outils de tests de scurit automatis

Plateforme de tests d'intrusion Metasploit, Aircrack-ng

Tests rsistence d'un password John the ripper

Audit de monitoring, rseaux sans fil Aircrack-ng

Sniffer, analyseur protocoles rseau & applicatif Wireshark

Scanner de ports, vulnrabilits Nmap

Rcupration mot de passe

Cain & Abel

Emulation Navigateur web

Paros Proxy, charles proxy

Capture de requtes, proxy applicatif

Zed Attack Proxy, Paros Proxy

Audit des applications web

Burp Suite, Wfuzz, spiderfoot, cerveau

Les tests en dploiement continue

Dveloppement

Serveurvalidation

Serveur intgration

Outils SCA

Tches rptitives

- Analyse de code- Contrle du code- Dclencheur Build

ServeurPrprod

Serveurproduction

Tests de scuritautomatis

Report&

Notification

Au final

La scurit en DevOps, c'est maintenant Il est toujours temps de s'en proccuper

La scurit ne doit pas tre comprise Il ne faut pas accabl

Commencer petit

Plus loin

Outils SCA :https://www.owasp.org/index.php/Source_Code_Analysis_Tools

OWASP: https://www.owasp.org

https://www.owasp.org/index.php/Source_Code_Analysis_Toolshttps://www.owasp.org/

Merci

@hellosct1

Diapo 1Diapo 2Diapo 3Diapo 4Diapo 5Diapo 6Diapo 7Diapo 8Diapo 9Diapo 10Diapo 11Diapo 12Diapo 13Diapo 14Diapo 15Diapo 16Diapo 17Diapo 18Diapo 19Diapo 20Diapo 21Diapo 22Diapo 23Diapo 24Diapo 25Diapo 26Diapo 27Diapo 28Diapo 29Diapo 30Diapo 31Diapo 32Diapo 33Diapo 34