Upload
phonesec
View
325
Download
0
Embed Size (px)
Citation preview
Risques et menaces ITLa sécurité, pourquoi et à quel prix
Membre OWASP
Conseil
• GOUVERNANCE
• Analyse de risque
• Pssi
• Pca / Pra
• SMSI
• IAM
• Lutte contre la fraude
• R & D
• Guides de développement
• Développement
• GESTION DE CRISE
• Fuite d’information
• Crise Réputationnelle
• Fraude
Audit
• SSI
• Applications Client
• Infra & Réseaux
• Vulnérabilités
• Code Source
• FRAUDE
• Fraude en ligne
• Fraude interne
• CONFORMITE
• Iso 27x
• Pci Dss
• Cnil
Veille
• ETUDE
• Etat de l’art
• Benchmark
• HACKING IT
• BAD E-REPUTATION
Formation
• SENSIBILISATION
• Collaborateur
• Direction
• GOUVERNANCE
• Rssi
• Cnil / Cil
• Bad buzz
• Ingénierie Sociale
• TECHNIQUE
• Développements Sécurisés (OWASP)
• Tests d’intrusion
• Forensic
Pôle de compétences PHONESEC – Tout secteur d’activité
Domaines d’activité
Membre OWASP
Quand tout s’emballe !!
Membre OWASP
Le prix de la sécurité
Membre OWASP
Impacts liés à la sécurité
Impact fonctionnel
Limitation de l’expérience utilisateur
Impact financier sur le model éco
Facteurs d’exposition
Membre OWASP
SécuritéNature des données
Volume des données
Actualité (contexte)
Dissuasion faible
Notoriété
Malchance, fatalité, destin…
Le prix de l’insécurité
2,86 Millions d’euros
Cost Of Data Breach – Symantec / Ponemon Institute
Estimation des coûts pour une entreprise à chaque incident de vol
de données en France
Membre OWASP
Aimez vous les paris ?
Economies de sécurité
Aucune attaque
J’ai de la chance
Economies de sécurité
Attaque majeure
$$$$$$$
€€€€€€€
Membre OWASP
Le prix du risque
Membre OWASP
Conception Développement production
Sécurité à la conception
Recette sécurité
Gestion de crise
IMA
PC
T EN
CA
S D
’ATT
AQ
UE
PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE
Comment améliorer la sécurité des développements de services mobiles
Membre OWASP
Focus 2013
Membre OWASP
Weak Server Side Controls
Membre OWASP
• Différence de sémantique: parle plus de vulnérabilité que de risque
• Précisions• M5 et M9 sont traités ensemble• M7 et M8 de même
Weak Server Side Controls
Membre OWASP
• Sécurité du backend: le web service• Présentation des services mobiles
• Suis-je vulnérable ?• Test d’intrusion, audit de code,
surface d’attaque …• Comment m’en prémunir ?• Secure Coding ! (Cf. présentation
Tarik)
Insecure Storage
Membre OWASP
• Stockage sur les terminaux non sécurisé• Rappel sur les applications mobiles
• Suis-je vulnérable ?• SharedPreference, SQLite, …
• Comment m’en prémunir ?• Dépend de la plateforme des
solutions existent
Insufficient Transport Layer Protection
Membre OWASP
• Communication en clair• HTTPS/SSL: les apports
• Suis-je vulnérable ?• Mon application communique-t-elle des
données sensibles ?• Comment m’en prémunir ?• Analyse de risque sur les données;• Valider que le réseau est sûr, les contrôles
bien effectués, ….
Unintended Data Leakage
Membre OWASP
• Rétention de données • Les caches et autres mécanisme cachés;
• Suis-je vulnérable ?• Web, Copier/Coller, …
• Comment m’en prémunir ?• Vider les caches, …
Poor Authorization and Authentication – Improper Session Handling
Membre OWASP
• Authentification et Autorisation • La problématique de l’authentification et de
l’autorisation;• Suis-je vulnérable ?
• Dois je authentifier /autoriser des utilisateurs ou des terminaux sur mon application ?
• Comment m’en prémunir ?• Contrôler coté serveur;• Choisir les bons mécanismes.
Broken Cryptography
Membre OWASP
• Défaut de chiffrement• Qu’est ce que le chiffrement ?
• Suis-je vulnérable ?• L’application chiffre ou hache des
données;• Comment m’en prémunir ?• S’appuyer sur des méthodes de
chiffrement connues et reconnues.
Client Side Injection – Security Decisions Via Untrusted Inputs
Membre OWASP
• Injection dans l’application• Les différents canaux d’accès à une application:
web, URLs, Intent, … • Suis-je vulnérable ?
• Webview;• URL Scheme;• Intent.
• Comment m’en prémunir ?• Dépend de la plateforme;• Contrôler les données en entrée sur l’application.
Lack of Binary Protections
Membre OWASP
• Manque de protection de l’application• Chiffrement, obfuscation, …
• Suis-je vulnérable ?• Par défaut, aucune protection n’est
offerte;• Comment m’en prémunir ?• Chiffrer;• Obfusquer;• Protéger.
Q & R
Membre OWASP
OWASP FRANCE : https://www.owasp.org/index.php/France
WWW.PHONESEC.COM
Comment améliorer la sécurité des développements Web
Membre OWASP
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
Introduction
Membre OWASP
Desktop Transport Network Web Applications
Antivirus
Protection
Encryption
(SSL)
Firewalls /
IDS / IPS
Firewall
Web Servers
Databases
Backend
Server
Application
Servers
Panorama de la SSI
Facteurs d’exposition
Membre OWASP
Fonctionnalité volontaire
Fonctionnalité involontaire
Fonctionnalité actuelle
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
OWASP Top 10
Membre OWASP
Sécurité Développement Web
Membre OWASP
Injection
Membre OWASP
Violation de Gestion d’Authentification et de Session
Membre OWASP
Cross-Site Scripting (XSS)
Membre OWASP
Références directes non sécurisées à un objet
Membre OWASP
Mauvaise Configuration Sécurité
Membre OWASP
Exposition de données sensibles
Membre OWASP
Manque de contrôle d’accès au niveau fonctionnel
Membre OWASP
Falsification de requête intersite (CSRF)
Membre OWASP
Utilisation de composants avec des vulnérabilités connues
Membre OWASP
Redirections et Renvois non Validés
Membre OWASP
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
Paradigme
Membre OWASP
Sensibilisations / Formations
Guidelines
Revue de code
Tests d’intrusions
Sécurité dans les contrats
Sécurité dans les projets
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
Vision de l’OWASP - Avant, Pendant et Après
Membre OWASP
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
Obstacles diagnostiqués
Membre OWASP
• Déni de la réalité
• La sécurité n’est pas considérée comme une fonctionnalité
• Approche réactive
• Communication inexistante
• Résistance au changement
• Plusieurs types de logiciels
• Développements de plus en plus externalisés
• ERP …
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
Conclusion – Pour les développeurs
Membre OWASP
Conclusion – Pour les entreprises
Membre OWASP
Q & R
Membre OWASP
OWASP FRANCE : https://www.owasp.org/index.php/France
WWW.PHONESEC.COM