Embed Size (px)
Citation preview
Bienvenue à la première rencontre d’OWASP Québec!
Mission du chapitre OWASP Québec
Représentants d’OWASP Québec
Anne-Marie Faber [email protected]
• Évènements, commandites et communications
Yannick Berneron [email protected]
• Vice-leader
Patrick Leclerc [email protected]
• Leader
Qui suis-je?
Patrick Leclerc
• Architecte logiciel & sécurité applicative
• Consultant en sécurité chez Egyde Services Conseils
• Chroniqueur occasionnel pour le Magazine Secus.ca
• Passionné de technologies
Company
Logo
D’abord, c’est quoi la sécurité applicative et pourquoi s’en
préoccuper?
Une préoccupation grandissante
Les applications insécures menacent la sécurité, la confiance et la croissance économique
Les grands enjeux de sécurité
Ce que l’on veut éviter… • Pertes financières
• Atteinte à la réputation et/ou vie privée
• Non-conformité aux normes et aux lois
• Indisponibilité des services
• Vol d’informations:
– Personnelles
– Financières (ex: carte de crédit, états financiers)
– Stratégiques
– Secrets industriels
PRÉSENTATION
WEB
TRAITEMENT
APPLICATIF
DONNÉESCLIENT
(fureteur)
InternetInternet
Protège
le transport
Chiffrement SSL/TLS Pare-feu
Protège
le réseau
Pare-feu
Protège
le réseau
Pare-feu
Protège
le réseau
Protège le
site Web
Serveur Web
et framework
Protège le
traitement
Application
Protège les
données
Base de
données
Les ports de
communication
sont ouverts
Le site Web, l’application et
les données sont exposés
aux vulnérabilités
applicatives
Copyright EGYDE Services Conseils
La brèche
Les vecteurs d’attaques
Source: Official (ISC)2 Guide to the CSSLP
Types d’exploits
STRIDE
• Spoofing Identity (changement d’identité)
• Tampering with Data (trucage des données)
• Repudiation (contestation de transaction)
• Information Disclosure (bris de confidentialité)
• Denial of Service (déni de service)
• Elevation of Privilege (élévation de privilèges)
Top 10 OWASP
Le top 10 (2010) des risques de sécurité applicative les plus critiques selon OWASP
Quelques moyens de défenses
Mais… 2 réalités contradictoires
La sécurité applicative est aussi importante que la sécurité technologique. Pourtant, les efforts (et les budgets) ne sont pas répartis équitablement.
"75% of All Attacks on Information Security are Directed to the Web Application Layer” (Source : Gartner)
Réseau Serveurs
Applications Web
% des attaques % du montant
Risques Budget
90%
25%
10%
75%
Here comes OWASP to the rescue!
La mission de l’OWASP
• L’OWASP (www.owasp.org) est une organisation mondiale à but non-lucratif ayant pour mission de rendre la sécurité applicative visible afin de permettre au gens et organisations de prendre des décisions informées sur les vrais risques de sécurité des applications
• Tous le matériel OWASP est disponible gratuitement sous licence open software
• OWASP demeure neutre et indépendante des fournisseurs de produits et de services
Qu’est-ce que l’OWASP?
Notoriété de l’OWASP dans l’industrie
L’OWASP est référée et/ou supportée par plusieurs organisations normatives de renom à travers le monde:
– ISO, IEEE, SANS, PCI Security Standards Council, US Department of Homeland Security, NIST, Mitre et plusieurs autres…
Mais aussi par les grands joueurs:
– Microsoft, IBM, HP, Oracle, etc.
Et plusieurs grandes organisations académiques
Chapitres OWASP
Partout à travers le monde, des groupes locaux:
• Se rassemblent pour s’informer, expérimenter et échanger sur les vulnérabilités, les menaces, les risques, les mesures préventives et de mitigations des applications.
• S’organisent et collaborent à l’élaboration et à la diffusion de contenus et outils utiles à la prise en charge de la sécurité dans les applications Web.
• + de 30 000 participants répartis dans environ 200 chapitres à travers le monde!
• Tous le monde peut y participer, pas seulement les membres
Catégories de contenus
Des contenus pour:
• Apprendre et concevoir des applications plus sécuritaires
• Détecter les vulnérabilités
• Protéger et corriger vos applications
Quelques contenus de l’OWASP
• Top 10 des risques de sécurité applicative
• Plusieurs guides et méthodologies – Development Guide, Testing Guide,
– Software Assurance Maturity Model (SAMM),
– Application Security Verification Standard (ASVS)
– « Cheat Sheets » sur plusieurs sujets et technologies
• Outils / Frameworks – WebScarab, Zed Attack Proxy, WebGoat, ESAPI, BWA
– ModSecurity application firewall, Samurai Web Testing Framework
• PodCasts, videos, webinars, présentations, livres et +
OWASP Quebec City
Pourquoi participer à OWASP Québec?
• Échanger et partager sur nos expériences en « AppSec »
• Apprendre ou bonifier nos connaissances
• Participer aux projets et à l’élaboration de contenus OWASP
• Se tenir informés sur les tendances en sécurité
• Se doter d’outils pour être plus efficaces
• Réseautage avec d’autres professionnels en sécurité
• Pour la fierté d’être engagé pour une bonne cause dans votre carrière professionnelle
• S’engager contre le développement d’applications à risque!
Suggestions d’activités
Présentations et échanges • Top 10 des risques de sécurité applicative
• Comment prévenir et mitiger certaines vulnérabilités
• Démo de Zed Attack Proxy / Web Scarab / Burp Suite ou autres?
• Démo de Samurai Web Testing Framework, OWASP Broken Web Application
• Intégrer la sécurité dans le SDLC
• Partage d’une expérience, d’un livre, d’un sujet d’actualité
• WAF?
• Modèles d’authentifications et d’autorisations, sécurité des mobiles
• +
Projets • ESAPI .NET 2.0
• Patterns d’architecture sécuritaire
• ISO 27034 Application Security Control (ASC)
• Cheat sheets sur des technologies récentes
Participation et devenir membres
Pourquoi contribuer et/ou devenir membre?
• OWASP est une organisation à but non-lucratif et offre gratuitement des contenus fort utiles qui vous permettent d’acquérir, développer, tester et utiliser des logiciels plus sécuritaire. Permettez à l’OWASP de poursuivre sa croissance, à produire de nouveaux contenus et améliorer les contenus existants.
• Aider l’OWASP c’est vous aider!
Bénéfices des membres
Bénéfices des membres OWASP: $50/an
• Rabais sur les conférences
• Une adresse de courriel: [email protected]
• Droit de vote dans les élections
• Reconnaissance sur le site de l’OWASP
• 40% du montant peut être versé au chapitre
• Pour nous commanditer, suivre le lien ‘donate’ sur https://www.owasp.org/index.php/Quebec_City
Bénéfices corporatifs
Bénéfices des corporations membres: $5000/an
• Visibilité auprès d’environ 200 chapitres
• Visibilité dans les conférences et les évènements
• Rabais sur les commandites de conférences et évènements
• Visibilité de votre organisation sur le site et les communiqués OWASP
• 100% déductible de taxes
• Pour plus d’informations: https://www.owasp.org/index.php/Corporate_Member
MERCI!
Merci à
• Egyde Services Conseils pour la location de la salle.
• Magazine Sécus pour la publicité pour le chapitre OWASP Québec
