Risques et menaces ITLa sécurité, pourquoi et à quel prix

Membre OWASP

Conseil

• GOUVERNANCE

• Analyse de risque

• Pssi

• Pca / Pra

• SMSI

• IAM

• Lutte contre la fraude

• R & D

• Guides de développement

• Développement

• GESTION DE CRISE

• Fuite d’information

• Crise Réputationnelle

• Fraude

Audit

• SSI

• Applications Client

• Infra & Réseaux

• Vulnérabilités

• Code Source

• FRAUDE

• Fraude en ligne

• Fraude interne

• CONFORMITE

• Iso 27x

• Pci Dss

• Cnil

Veille

• ETUDE

• Etat de l’art

• Benchmark

• HACKING IT

• BAD E-REPUTATION

Formation

• SENSIBILISATION

• Collaborateur

• Direction

• GOUVERNANCE

• Rssi

• Cnil / Cil

• Bad buzz

• Ingénierie Sociale

• TECHNIQUE

• Développements Sécurisés (OWASP)

• Tests d’intrusion

• Forensic

Pôle de compétences PHONESEC – Tout secteur d’activité

Domaines d’activité

Membre OWASP

Quand tout s’emballe !!

Membre OWASP

Le prix de la sécurité

Membre OWASP

Impacts liés à la sécurité

Impact fonctionnel

Limitation de l’expérience utilisateur

Impact financier sur le model éco

Facteurs d’exposition

Membre OWASP

SécuritéNature des données

Volume des données

Actualité (contexte)

Dissuasion faible

Notoriété

Malchance, fatalité, destin…

Le prix de l’insécurité

2,86 Millions d’euros

Cost Of Data Breach – Symantec / Ponemon Institute

Estimation des coûts pour une entreprise à chaque incident de vol

de données en France

Membre OWASP

Aimez vous les paris ?

Economies de sécurité

Aucune attaque

J’ai de la chance

Economies de sécurité

Attaque majeure

$$$$$$$

€€€€€€€

Membre OWASP

Le prix du risque

Membre OWASP

Conception Développement production

Sécurité à la conception

Recette sécurité

Gestion de crise

IMA

PC

T EN

CA

S D

’ATT

AQ

UE

PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE

Comment améliorer la sécurité des développements de services mobiles

Membre OWASP

Focus 2013

Membre OWASP

Weak Server Side Controls

Membre OWASP

• Différence de sémantique: parle plus de vulnérabilité que de risque

• Précisions• M5 et M9 sont traités ensemble• M7 et M8 de même

Weak Server Side Controls

Membre OWASP

• Sécurité du backend: le web service• Présentation des services mobiles

• Suis-je vulnérable ?• Test d’intrusion, audit de code,

surface d’attaque …• Comment m’en prémunir ?• Secure Coding ! (Cf. présentation

Tarik)

Insecure Storage

Membre OWASP

• Stockage sur les terminaux non sécurisé• Rappel sur les applications mobiles

• Suis-je vulnérable ?• SharedPreference, SQLite, …

• Comment m’en prémunir ?• Dépend de la plateforme des

solutions existent

Insufficient Transport Layer Protection

Membre OWASP

• Communication en clair• HTTPS/SSL: les apports

• Suis-je vulnérable ?• Mon application communique-t-elle des

données sensibles ?• Comment m’en prémunir ?• Analyse de risque sur les données;• Valider que le réseau est sûr, les contrôles

bien effectués, ….

Unintended Data Leakage

Membre OWASP

• Rétention de données • Les caches et autres mécanisme cachés;

• Suis-je vulnérable ?• Web, Copier/Coller, …

• Comment m’en prémunir ?• Vider les caches, …

Poor Authorization and Authentication – Improper Session Handling

Membre OWASP

• Authentification et Autorisation • La problématique de l’authentification et de

l’autorisation;• Suis-je vulnérable ?

• Dois je authentifier /autoriser des utilisateurs ou des terminaux sur mon application ?

• Comment m’en prémunir ?• Contrôler coté serveur;• Choisir les bons mécanismes.

Broken Cryptography

Membre OWASP

• Défaut de chiffrement• Qu’est ce que le chiffrement ?

• Suis-je vulnérable ?• L’application chiffre ou hache des

données;• Comment m’en prémunir ?• S’appuyer sur des méthodes de

chiffrement connues et reconnues.

Client Side Injection – Security Decisions Via Untrusted Inputs

Membre OWASP

• Injection dans l’application• Les différents canaux d’accès à une application:

web, URLs, Intent, … • Suis-je vulnérable ?

• Webview;• URL Scheme;• Intent.

• Comment m’en prémunir ?• Dépend de la plateforme;• Contrôler les données en entrée sur l’application.

Lack of Binary Protections

Membre OWASP

• Manque de protection de l’application• Chiffrement, obfuscation, …

• Suis-je vulnérable ?• Par défaut, aucune protection n’est

offerte;• Comment m’en prémunir ?• Chiffrer;• Obfusquer;• Protéger.

Q & R

Membre OWASP

OWASP FRANCE : https://www.owasp.org/index.php/France

WWW.PHONESEC.COM

Comment améliorer la sécurité des développements Web

Membre OWASP

Plan

Membre OWASP

Introduction

OWASP Top 10 – 2013

Pratiques pour lutter contre l’insécurité

Vision de l’OWASP

Obstacles diagnostiqués

Conclusion

Introduction

Membre OWASP

Desktop Transport Network Web Applications

Antivirus

Protection

Encryption

(SSL)

Firewalls /

IDS / IPS

Firewall

Web Servers

Databases

Backend

Server

Application

Servers

Panorama de la SSI

Facteurs d’exposition

Membre OWASP

Fonctionnalité volontaire

Fonctionnalité involontaire

Fonctionnalité actuelle

Plan

Membre OWASP

Introduction

OWASP Top 10 – 2013

Pratiques pour lutter contre l’insécurité

Vision de l’OWASP

Obstacles diagnostiqués

Conclusion

OWASP Top 10

Membre OWASP

Sécurité Développement Web

Membre OWASP

Injection

Membre OWASP

Violation de Gestion d’Authentification et de Session

Membre OWASP

Cross-Site Scripting (XSS)

Membre OWASP

Références directes non sécurisées à un objet

Membre OWASP

Mauvaise Configuration Sécurité

Membre OWASP

Exposition de données sensibles

Membre OWASP

Manque de contrôle d’accès au niveau fonctionnel

Membre OWASP

Falsification de requête intersite (CSRF)

Membre OWASP

Utilisation de composants avec des vulnérabilités connues

Membre OWASP

Redirections et Renvois non Validés

Membre OWASP

Plan

Membre OWASP

Introduction

OWASP Top 10 – 2013

Pratiques pour lutter contre l’insécurité

Vision de l’OWASP

Obstacles diagnostiqués

Conclusion

Paradigme

Membre OWASP

Sensibilisations / Formations

Guidelines

Revue de code

Tests d’intrusions

Sécurité dans les contrats

Sécurité dans les projets

Plan

Membre OWASP

Introduction

OWASP Top 10 – 2013

Pratiques pour lutter contre l’insécurité

Vision de l’OWASP

Obstacles diagnostiqués

Conclusion

Vision de l’OWASP - Avant, Pendant et Après

Membre OWASP

Plan

Membre OWASP

Introduction

OWASP Top 10 – 2013

Pratiques pour lutter contre l’insécurité

Vision de l’OWASP

Obstacles diagnostiqués

Conclusion

Obstacles diagnostiqués

Membre OWASP

• Déni de la réalité

• La sécurité n’est pas considérée comme une fonctionnalité

• Approche réactive

• Communication inexistante

• Résistance au changement

• Plusieurs types de logiciels

• Développements de plus en plus externalisés

• ERP …

Plan

Membre OWASP

Introduction

OWASP Top 10 – 2013

Pratiques pour lutter contre l’insécurité

Vision de l’OWASP

Obstacles diagnostiqués

Conclusion

Conclusion – Pour les développeurs

Membre OWASP

Conclusion – Pour les entreprises

Membre OWASP

Q & R

Membre OWASP

OWASP FRANCE : https://www.owasp.org/index.php/France

WWW.PHONESEC.COM