Embed Size (px)
Citation preview
Gestion des vulnérabilités & Modèle de maturité 19 mai 2016
Conception Développement Test Mise en
production Maintenance
Sécurisation du code
Sécurisation de l’infrastructure
Sécurisation de la production
Secure-by-Design
Sensibilisation des développeurs
Revue de code
Audit d’intrusion
Audit de vulnérabilités
Sécurisation des
flux applicatifs
Secure-by-Design
Vulnérabilité applicative Injection (SQLi, XML…)
XSS, CSRF…
Vulnérabilité technique Mauvais paramétrage (HTTPS, ports ouverts…)
Composant non mis à jour…
Vulnérabilité fonctionnelle Droits d’accès mal gérés
Upload mal contrôlés…
Vulnérable ne veut pas dire exploitable…
Mais une vulnérabilité reste une composante du risque !
325
184
162
Adobe Flash
Chrome
Firefox
Autres
1 175 vulnérabilités analysées
Vulnérabilité critique : 71% Vulnérabilité faible : 2%
Installation d’un serveur web en mai 2014 Apache 2.4.9
MySQL 5.6.17
PHP 5.5.12
Versions en mai 2016 Apache 2.4.20
MySQL 5.6.30 / 5.7.12
PHP 5.5.35 / 5.6.21 / 7.0.6
7
27
58
Apache MySQL PHP
Nombre de CVE
Le Vulnerability Management Participe à une bonne hygiène informatique
Permet la maîtrise de son niveau de sécurité
Dissuade en limitant la surface d’attaque
Pensons RoR (Return on Risk) et non RoI Contrôler le Patch Management
Gérer le cycle de vie de ses vulnérabilités
Valoriser la sécurité par des tableaux de bord
Lutte contre les malwares
Conformité aux normes ISO 27001
PCI-DSS…
Initial Evaluation Conformité Managé
Promouvoir un modèle de maturité pour l’amélioration continue
Connaître sa maturité actuelle Identifier son objectif Définir sa trajectoire
Initial
Evaluation
Conformité
Managé
Pas de démarche explicite
Démarche de scans de vulnérabilité pour connaître son niveau de sécurité Correction en réaction aux scans
« Je découvre mes assets »
Passage de la réactivité à la pro-activité Contrôle du processus de Patch Management
« Je maîtrise mes assets »
Gestion managé du cycle de vie des vulnérabilités Processus de correction avec tickets + SLA « Je maîtrise mon cycle de vie des vulnérabilités »
OWASP Top 10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
CWE/SANS Top 25 https://cwe.mitre.org/top25/
CVE https://cve.mitre.org/
https://www.cvedetails.com/
Conception Développement Test Mise en
production Maintenance
Sécurisation du code
Sécurisation de l’infrastructure
Sécurisation de la production
Secure-by-Design
Sensibilisation des développeurs
Revue de code
Audit d’intrusion
Audit de vulnérabilités
Sécurisation des
flux applicatifs
Secure-by-Design
Solutions SaaS
Conseil en sécurité
numérique
Offre INCLOUDIO
Security by design
Qualité du code
Audit Gestion
d’incidents
CITADEL Protection des
applications
VULNUS Détection des vulnérabilités
CORE Revue de code
Membre du CLUSIR Nord de France Secrétaire-adjoint
Membre du Cluster CN&CS Animateur de la commission PME
EuraTechnologies
165F, avenue de Bretagne 59000 Lille
+33 (0)9 73 66 39 56
@incloudio
+incloudio
Incloudio
