Académique Documents
Professionnel Documents
Culture Documents
Secure by Design
Agile, Scrum, DevOps,
Github
Introduction
Sécurité Applicative
Conclusion
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SLDC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion
Introduction
Introduction
Sécurité Applicative
Cycle de vie de développement (SLDC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion et perspectives
Qu’est ce que la sécurité applicative?
« Les contrôles et les mesures peuvent être appliquées à l' application elle-
même (ses processus, les composants, les logiciels et résultats), à ses
données (données de configuration, les données de l'utilisateur, les
données de l'organisation), et à toutes les technologies, les processus et
acteurs impliqués dans le cycle de vie de l'application ».
Quelques statistiques
Pourquoi des applications ? (menaces internes)
DICT:
Disponibilité
Réseaux
Intégrité
Confidentialité
Traçabilité Serveurs
Application
Pourquoi des applications ? (menaces externes)
Le périmètre de sécurité
Le périmètre de sécurité
Le périmètre de sécurité du passé…
Autrefois:
• Sécurité physique et d’infrastructure autour des applications de missions
(internes)
• Utilisateurs internes, appareils internes sous le contrôle de l’organisation
Hier:
• Applications internes déployées sur le Web avec +/- les mêmes mesures
• Applications Web => accessibles de tous : usagers légitimes et pirates
informatiques
• Plusieurs applications développées par des développeurs qui en
connaissent peu sur la sécurité
Aujourd’hui :
Où est le périmètre?
Défendre la machine
Buffer overflows, illicit paths, etc.
Défendre l’application
SQL injection, XSS, input tampering, etc.
Menaces applicatives (OWASP TOP TEN – 2017)
OWASP (Open Web Application Security Project): Organisation mondiale à but non lucratif
http://www.owasp.org
Son rôle : sensibiliser à la sécurité applicative pour aider à prendre les bonnes décisions en
matière de sécurité des applications
A2 - Violation de A4 - Références
Gestion A3 - Cross-Site directes non
A1 - Injection
d'Authentification Scripting (XSS) sécurisées à un
et de Session objet
A7 – Manque de
A5 – Mauvaise A8 - Falsification
A6 – Exposition de contrôle d’accès
configuration de requête
données sensibles au niveau
Sécurité intersite(CSRF)
fonctionnel
A9 - Utilisation de A10 –
composants avec Redirections et
des vulnérabilités renvois non
connues validés
Quelques faits
Comment trouver les vulnérabilités avant les pirates?
Observation:
Les coûts reliés aux corrections des risques de
sécurité augmentent de façon exponentiel
quand les corrections sont découvertes
tardivement dans le cycle de développement…
Évidence:
Prise en charge des enjeux de sécurité tout au
long du cycle de développement
Approche prôné par OWASP, NIST, Microsoft et
plusieurs autres organisations
Aux vulnérabilités applicatives…
ça prend des mesures applicatives!
Agenda
Introduction
Sécurité Applicative
Cycle de vie de développement (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion et perspectives
Le cycle de de vie du développement
SDLC (Software Development Life Cycle)
SCRUM XP
(Extreme Programming)
DevOps
Développeurs Opérationnels
Introduction
Sécurité Applicative
Cycle de vie de développement (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion et perspectives
Qu’est-ce que le SSDLC?
Microsoft SDL
Cigital Touchpoints
Norme: ISO/IEC
27034:2011
OWASP
BSIMM OpenSAMM
Processus du cycle de développement de la sécurité
Déploiement
Formation Exigences Conception Implémentation Test et
Maintenance
Déploiement
Formation Exigences Conception Implémentation Test et
Maintenance
Objectifs:
Connaître les différents types de vulnérabilités Conception sécurisée
et les contremesures associées, Modélisation des menaces
Comprendre l’enjeux de la sécurité,
Tests de la sécurité
Connaître les bonnes pratiques de sécurité.
Écriture de code sécurisé
- Guides de l’OWASP
- Top 10 OWASP
Phase 1 : Exigences
Protocoles sécurisés
Méthode
d’authentification/autorisation
Flux nécessaires
Phase 3 : Implémentation
Déploiement
Formation Exigences Conception Implémentation Test et
Maintenance
Standards utilisés :
Nexus
DependencyCheck (OWASP)
OWASP Code Review Guide
WhiteHatSecurity
Outils : Jenkins
VeraCode, Checkmarx,
WhiteHatSecurity, IBM
AppScan
Phase 4 : Test
Déploiement
Formation Exigences Conception Implémentation Test et
Maintenance
DAST
Analyse dynamique
Analyse des requêtes/réponses
à l’application
Standards utilisés :
Outils :
Déploiement
Formation Exigences Conception Implémentation Test et
Maintenance
Introduction
Sécurité Applicative
Cycle de vie de développement logiciel (SDLC)
Approches de développement sécurisé (SSDLC)
Démonstration (retour d’expérience)
Conclusion
Merci pour votre attention