SlideShare una empresa de Scribd logo

2011 03-09-cloud sgi

Sébastien GIORIA
Sébastien GIORIA
Tecnología
1 de 37
Descargar para leer sin conexión
Le bon, la brute et le truand dans les nuages (ou comment percevoir la sécurité dans le Cloud) CONFOO – Montréal Québec - Canada 9 Mars 2011 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation © 2011 - S.Gioria http://www.owasp.org
Consultant Sécurité Sénior au Twitter :@SPoint sein du cabinet d’audit OWASP France Leader - Evangéliste - OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager q  Expérience en Sécurité des Systèmes d’Information > 0x0D années q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms q  Expertise Technique ü  Gestion du risque, Architectures fonctionnelles, Audits ü  S-SDLC : Secure-Software Development LifeCycle. ü  PenTesting, Digital Forensics ü  Consulting et Formation en Réseaux et Sécurité q Domaines de prédilection : ü  Web, WebServices, Insécurité du Web. © 2011 - S.Gioria
Agenda  Introduction  Révolution ou mirage ?  Différents modèles, différents risques  Différents modèles, différentes solutions  Un peu de littérature  Et après ? © 2011 - S.Gioria
Les hackers sont astucieux © 2011 - S.Gioria
Vainqueurs a la CVE 2010 Produit 1er 2ème 3ème Système Linux Kernel Windows Server Apple IOS (35) d’exploitation (129) 2008 (93) SGBD Oracle (36) Mysql (3) MS-SQL Server (1) Navigateur Chrome (164) Safari (130) Firefox (115) Clouds ? / VmWare Xen (24) Hyper-V(2) – Virtualisation (125) Azure (1) •  Il n’y a pas un meilleur editeur/constructeur…. •  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. •  Sinon les bulletins du CERT seraient vides… •  Et surtout Oracle ne mentirait pas sur son surnom*… •  Le Cloud est compliqué….. *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… © 2011 - S.Gioria
Soyons donc précis ! © 2011 - S.Gioria
Révolution ? © 2011 - S.Gioria
http://www.cloudsecurityalliance.org/guidance.html Mirage ? Type  Infrastructure as a Service (IaaS)  Platform as a Service (PaaS).  Software as a Service (SaaS).  Beer as a Service (BaaS) * ? * Guinness for me please…. © 2011 - S.Gioria
Modèles  Cloud Privé :  Dédié à une entreprise  Cloud partagé  Mutualisé pour une communauté  Cloud Public  Grand public,  Cloud Hybride  Composé d’un ou plusieurs cloud précédent. © 2011 - S.Gioria
Les acteurs ?  Les mastodontes* :  Google §  27/02/2011 : Google Mail perd des mails…..  Amazon §  09/2009: L’isolation dans le Cloud EC2 d’Amazon a des fuites…. §  01/2011: Using Amazon Cloud to crack WPA keys (**)  Microsoft Azure : §  … *Et non pas les éléPHPants ** http://www.reuters.com/article/2011/01/07/us-amazon-hacking- idUSTRE70641M20110107 © 2011 - S.Gioria
© 2011 - S.Gioria
L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Interne Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 © 2011 - S.Gioria
Perte de la maitrise….  Sur le matériel….  Constemment externalisé  Sur le logiciel  Quelle confiance ai-je sur le modèle déployé par le fournisseur ?  Quelle confiance ai-je dans le développement ?  Sur le réseau….  Quelle est la réelle connectivité ?  Sur l’organisation  Les choix matériels et/ou logiciels peuvent impacter les mesures de sécurité. © 2011 - S.Gioria
Risque sur les données  Perte du contrôle sur les données  L’administrateur a les « clefs » d’accès  Comment sont effacées les données en cas de fin du contrat ?  Comment sont « sauvegardées »/ « archivées » les données ? © 2011 - S.Gioria
Risques techniques sur la virtualisation  Problèmes d’isolation des Machines virtuelles :  Les pilules et autres médicaements de Johanna : §  http://invisiblethings.org/papers/Security%20Challanges %20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf  Partage des ressources :  Disques  RAM  Processeur  Réseau © 2011 - S.Gioria
Gestion des données sensibles  Les interfaces d’administration contiennent des données sensibles….  Les mots de passes sont souvent les même en interns et en externe….  Les interfaces d’administration permettant d’effectuer de l’approvisionnement a la demande sont sensibles  Les APIs du Cloud ne sont peut être pas « sécurisées »  Absence de clefs de chiffrement  Absence de token de transaction….. © 2011 - S.Gioria
Et la réversibilité ?  Problèmes de disponibilité  Forte dépendance  Pas de normes d’interopérabilité sur les Clouds …. © 2011 - S.Gioria
© 2011 - S.Gioria
Les 13 domaines de travaux du Cloud La Cloud Security Alliance définit 13 domaines : I.  Architecture 1.  Cadre d’architecture du cloud Computing II.  Gouvernance 2.  Gouvernance et gestion des risques 3.  Aspects juridiques liées aux données 4.  Conformité et audit 5.  Cycle de vie de l’information 6.  Portabilité et interopérabilité http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
Les 13 domaines de travaux du Cloud III. Opérations 7.  Sécurité, continuité, reprise d’activité 8.  Opérations du datacenter 9.  Gestion des incidents, notifications, remédiation 10.  Sécurité applicative 11.  Chiffrement et gestion des clés 12.  Gestion des identités et accès 13.  Virtualisation http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
PRÉCAUTIONS POUR LE DÉVELOPPEMENT Ou comment sécuriser le SaaS…. © 2011 - S.Gioria
Le problème  Confidentialité  Protéger les données, les systèmes, les processus d’un accès non autorisé  Intégrité  Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle.  Disponibilité  Assurer que les données, systèmes et processus sont accessible au moment voulu © 2011 - S.Gioria
Le problème  Traçabilité  Assurer le cheminement de toute donnée, processus et la reconstruction des transactions  « Privacy »  Assurer que les données personnelles sont sous le contrôle de leur propriétaire  Conformité  Adhérer aux lois et réglementations  Image de marque  Ne pas se retrouver à la une du journal « Le Monde » suite à un incident © 2011 - S.Gioria
La menace  Les gouvernements ?  Le concurrent  La mafia Capacité  Le chômeur… de  L’étudiant protection  Le « script kiddies »  Mon fils de 3 ans Mais…… Personne ne nous piratera » « © 2011 - S.Gioria
Défense en profondeur © 2011 - S.Gioria
Pourquoi est-ce un problème global ? © 2011 - S.Gioria
Le Mercenaire des menaces(*) 10/03/2011 – 9h45 © 2011 - S.Gioria * Un burger et vous l’achetez….
Chuck Norris OWASP ASVS à la rescousse   Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements   Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.   Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code   Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! © 2011 - S.Gioria
Principes de développement KISS : Keep it Short and Simple  8 étapes clés :  Validation des entrées  Validation des sorties  Gestion des erreurs  Authentification ET Autorisation  Gestion des Sessions  Sécurisation des communications  Sécurisation du stockage  Accès Sécurisé aux ressources © 2011 - S.Gioria
KISS : Keep it Short and Simple  Suivre constamment les règles précédentes  Ne pas « tenter » de mettre en place des parades aux attaques  Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour  Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. © 2011 - S.Gioria
Parfois il faut faire sa pub ;) 10/03/2011 – 13h30 © 2011 - S.Gioria
Cet homme peut vous aider(*) 10/02/2011 : 14h45 * : je suis d’accord on dirait pas J sur cette photo © 2011 - S.Gioria
Mettre en place les Tests Qualité  Ne pas parler de tests sécurité !  Définir des fiches tests simples, basées sur le Top10/TopX :  Tests d’attaques clients/image de marque (XSS)  Tests d’intégrité (SQL Injection, …)  Tests de conformité (SQL/LDAP/XML Injection)  Tests de configuration (SSL, interfaces d’administration)  Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  …. © 2011 - S.Gioria
De la littérature © 2011 - S.Gioria
De la littérature  ENISA :  Benefits, risks and recommendations for information security (11/2009)  NIST :  SP800-144 : Guidelines on Security and Privacy in Public Cloud Computing (01/2011)  Cloud Security Alliance :  Top Threats to Cloud Computing V1.0 (03/2010)  Security Guidance for Critical Areas of Focus In Cloud Computing V2.1 (12/2009) © 2011 - S.Gioria
Conclusion ? © Flickr – Mathieu aubry © 2011 - S.Gioria
Remerciements  Pascal Saulière (@psauliere)  AF (@starbuck3000)  Les deux Arthur(s) © 2011 - S.Gioria

Recomendados

De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Ca cloud academy securité nauges
Ca cloud academy securité naugesCa cloud academy securité nauges
Ca cloud academy securité naugesCloudAcademy
 

Recomendados

De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Ca cloud academy securité nauges
Ca cloud academy securité naugesCa cloud academy securité nauges
Ca cloud academy securité naugesCloudAcademy
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedCyber Security Alliance
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014Jean-Robert Bos
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Snack S37-2015
Snack S37-2015Snack S37-2015
Snack S37-2015SNACK
 
Presentación Music Hero
Presentación Music HeroPresentación Music Hero
Presentación Music Heroguest9fba37
 

Más contenido relacionado

La actualidad más candente

La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 

La actualidad más candente (20)

La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
 
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r Reloaded
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 

Destacado

Snack S37-2015
Snack S37-2015Snack S37-2015
Snack S37-2015SNACK
 
Presentación Music Hero
Presentación Music HeroPresentación Music Hero
Presentación Music Heroguest9fba37
 
Redynamiser nos ventes
Redynamiser nos ventesRedynamiser nos ventes
Redynamiser nos ventesEya Ben Othman
 
Ccf éco droit exemples de sujets possibles
Ccf éco droit exemples de sujets possiblesCcf éco droit exemples de sujets possibles
Ccf éco droit exemples de sujets possibles0596957s
 
Què es la tecnologìa
Què es la tecnologìaQuè es la tecnologìa
Què es la tecnologìaCiuad de Asis
 
Síndrome hellp
Síndrome hellpSíndrome hellp
Síndrome hellpjhonnny
 
Air Du Nkam Auto
Air Du Nkam AutoAir Du Nkam Auto
Air Du Nkam Autoguestc36b2f
 
Etapas para utilizar tv
Etapas para utilizar tvEtapas para utilizar tv
Etapas para utilizar tvCiuad de Asis
 
Nueva generacion padres familia
Nueva generacion padres familiaNueva generacion padres familia
Nueva generacion padres familiaCarlos Medina
 
Rapport annuel 2011 2012
Rapport annuel 2011 2012Rapport annuel 2011 2012
Rapport annuel 2011 2012admchemins
 
Mon futur profesionel brenda
Mon futur profesionel brendaMon futur profesionel brenda
Mon futur profesionel brendabrendasnsd
 
La veille de né kid du 25.11.10 : l'économie de la conservation
La veille de né kid du 25.11.10 : l'économie de la conservationLa veille de né kid du 25.11.10 : l'économie de la conservation
La veille de né kid du 25.11.10 : l'économie de la conservationNé Kid
 

Destacado (20)

Snack S37-2015
Snack S37-2015Snack S37-2015
Snack S37-2015
 
Presentación Music Hero
Presentación Music HeroPresentación Music Hero
Presentación Music Hero
 
DIGITAL COOKIES JUNE 001/06
DIGITAL COOKIES JUNE 001/06DIGITAL COOKIES JUNE 001/06
DIGITAL COOKIES JUNE 001/06
 
Redynamiser nos ventes
Redynamiser nos ventesRedynamiser nos ventes
Redynamiser nos ventes
 
Ccf éco droit exemples de sujets possibles
Ccf éco droit exemples de sujets possiblesCcf éco droit exemples de sujets possibles
Ccf éco droit exemples de sujets possibles
 
Pueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca RonaldPueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca Ronald
 
Què es la tecnologìa
Què es la tecnologìaQuè es la tecnologìa
Què es la tecnologìa
 
Le Referencement Google
Le Referencement GoogleLe Referencement Google
Le Referencement Google
 
Síndrome hellp
Síndrome hellpSíndrome hellp
Síndrome hellp
 
Socializacion V2.1
Socializacion V2.1Socializacion V2.1
Socializacion V2.1
 
Air Du Nkam Auto
Air Du Nkam AutoAir Du Nkam Auto
Air Du Nkam Auto
 
Shraddha
ShraddhaShraddha
Shraddha
 
Etapas para utilizar tv
Etapas para utilizar tvEtapas para utilizar tv
Etapas para utilizar tv
 
Nueva generacion padres familia
Nueva generacion padres familiaNueva generacion padres familia
Nueva generacion padres familia
 
Rapport annuel 2011 2012
Rapport annuel 2011 2012Rapport annuel 2011 2012
Rapport annuel 2011 2012
 
Quebec
QuebecQuebec
Quebec
 
Taller De Disponible
Taller De DisponibleTaller De Disponible
Taller De Disponible
 
Mon futur profesionel brenda
Mon futur profesionel brendaMon futur profesionel brenda
Mon futur profesionel brenda
 
My Manager
My ManagerMy Manager
My Manager
 
La veille de né kid du 25.11.10 : l'économie de la conservation
La veille de né kid du 25.11.10 : l'économie de la conservationLa veille de né kid du 25.11.10 : l'économie de la conservation
La veille de né kid du 25.11.10 : l'économie de la conservation
 

Similar a 2011 03-09-cloud sgi

Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Osmosys Light Sept09
Osmosys Light Sept09Osmosys Light Sept09
Osmosys Light Sept09jprobst
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesCyber Security Alliance
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Aadel1805
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Nuvollo
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?e-Xpert Solutions SA
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomYannick Quentel
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTFactoVia
 

Similar a 2011 03-09-cloud sgi (20)

Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
Osmosys Light Sept09
Osmosys Light Sept09Osmosys Light Sept09
Osmosys Light Sept09
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
 
Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012Excelerate Systems - France - Nov 2012
Excelerate Systems - France - Nov 2012
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
 
Offre de service
Offre de serviceOffre de service
Offre de service
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Le Cloud Computing ?
Le Cloud Computing ? Le Cloud Computing ?
Le Cloud Computing ?
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
 

Más de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 

Más de Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 

2011 03-09-cloud sgi

  • 1. Le bon, la brute et le truand dans les nuages (ou comment percevoir la sécurité dans le Cloud) CONFOO – Montréal Québec - Canada 9 Mars 2011 Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation © 2011 - S.Gioria http://www.owasp.org
  • 2. Consultant Sécurité Sénior au Twitter :@SPoint sein du cabinet d’audit OWASP France Leader - Evangéliste - OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager q  Expérience en Sécurité des Systèmes d’Information > 0x0D années q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms q  Expertise Technique ü  Gestion du risque, Architectures fonctionnelles, Audits ü  S-SDLC : Secure-Software Development LifeCycle. ü  PenTesting, Digital Forensics ü  Consulting et Formation en Réseaux et Sécurité q Domaines de prédilection : ü  Web, WebServices, Insécurité du Web. © 2011 - S.Gioria
  • 3. Agenda  Introduction  Révolution ou mirage ?  Différents modèles, différents risques  Différents modèles, différentes solutions  Un peu de littérature  Et après ? © 2011 - S.Gioria
  • 4. Les hackers sont astucieux © 2011 - S.Gioria
  • 5. Vainqueurs a la CVE 2010 Produit 1er 2ème 3ème Système Linux Kernel Windows Server Apple IOS (35) d’exploitation (129) 2008 (93) SGBD Oracle (36) Mysql (3) MS-SQL Server (1) Navigateur Chrome (164) Safari (130) Firefox (115) Clouds ? / VmWare Xen (24) Hyper-V(2) – Virtualisation (125) Azure (1) •  Il n’y a pas un meilleur editeur/constructeur…. •  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. •  Sinon les bulletins du CERT seraient vides… •  Et surtout Oracle ne mentirait pas sur son surnom*… •  Le Cloud est compliqué….. *:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… © 2011 - S.Gioria
  • 6. Soyons donc précis ! © 2011 - S.Gioria
  • 7. Révolution ? © 2011 - S.Gioria
  • 8. http://www.cloudsecurityalliance.org/guidance.html Mirage ? Type  Infrastructure as a Service (IaaS)  Platform as a Service (PaaS).  Software as a Service (SaaS).  Beer as a Service (BaaS) * ? * Guinness for me please…. © 2011 - S.Gioria
  • 9. Modèles  Cloud Privé :  Dédié à une entreprise  Cloud partagé  Mutualisé pour une communauté  Cloud Public  Grand public,  Cloud Hybride  Composé d’un ou plusieurs cloud précédent. © 2011 - S.Gioria
  • 10. Les acteurs ?  Les mastodontes* :  Google §  27/02/2011 : Google Mail perd des mails…..  Amazon §  09/2009: L’isolation dans le Cloud EC2 d’Amazon a des fuites…. §  01/2011: Using Amazon Cloud to crack WPA keys (**)  Microsoft Azure : §  … *Et non pas les éléPHPants ** http://www.reuters.com/article/2011/01/07/us-amazon-hacking- idUSTRE70641M20110107 © 2011 - S.Gioria
  • 11. © 2011 - S.Gioria
  • 12. L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Interne Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 © 2011 - S.Gioria
  • 13. Perte de la maitrise….  Sur le matériel….  Constemment externalisé  Sur le logiciel  Quelle confiance ai-je sur le modèle déployé par le fournisseur ?  Quelle confiance ai-je dans le développement ?  Sur le réseau….  Quelle est la réelle connectivité ?  Sur l’organisation  Les choix matériels et/ou logiciels peuvent impacter les mesures de sécurité. © 2011 - S.Gioria
  • 14. Risque sur les données  Perte du contrôle sur les données  L’administrateur a les « clefs » d’accès  Comment sont effacées les données en cas de fin du contrat ?  Comment sont « sauvegardées »/ « archivées » les données ? © 2011 - S.Gioria
  • 15. Risques techniques sur la virtualisation  Problèmes d’isolation des Machines virtuelles :  Les pilules et autres médicaements de Johanna : §  http://invisiblethings.org/papers/Security%20Challanges %20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf  Partage des ressources :  Disques  RAM  Processeur  Réseau © 2011 - S.Gioria
  • 16. Gestion des données sensibles  Les interfaces d’administration contiennent des données sensibles….  Les mots de passes sont souvent les même en interns et en externe….  Les interfaces d’administration permettant d’effectuer de l’approvisionnement a la demande sont sensibles  Les APIs du Cloud ne sont peut être pas « sécurisées »  Absence de clefs de chiffrement  Absence de token de transaction….. © 2011 - S.Gioria
  • 17. Et la réversibilité ?  Problèmes de disponibilité  Forte dépendance  Pas de normes d’interopérabilité sur les Clouds …. © 2011 - S.Gioria
  • 18. © 2011 - S.Gioria
  • 19. Les 13 domaines de travaux du Cloud La Cloud Security Alliance définit 13 domaines : I.  Architecture 1.  Cadre d’architecture du cloud Computing II.  Gouvernance 2.  Gouvernance et gestion des risques 3.  Aspects juridiques liées aux données 4.  Conformité et audit 5.  Cycle de vie de l’information 6.  Portabilité et interopérabilité http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
  • 20. Les 13 domaines de travaux du Cloud III. Opérations 7.  Sécurité, continuité, reprise d’activité 8.  Opérations du datacenter 9.  Gestion des incidents, notifications, remédiation 10.  Sécurité applicative 11.  Chiffrement et gestion des clés 12.  Gestion des identités et accès 13.  Virtualisation http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
  • 21. PRÉCAUTIONS POUR LE DÉVELOPPEMENT Ou comment sécuriser le SaaS…. © 2011 - S.Gioria
  • 22. Le problème  Confidentialité  Protéger les données, les systèmes, les processus d’un accès non autorisé  Intégrité  Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle.  Disponibilité  Assurer que les données, systèmes et processus sont accessible au moment voulu © 2011 - S.Gioria
  • 23. Le problème  Traçabilité  Assurer le cheminement de toute donnée, processus et la reconstruction des transactions  « Privacy »  Assurer que les données personnelles sont sous le contrôle de leur propriétaire  Conformité  Adhérer aux lois et réglementations  Image de marque  Ne pas se retrouver à la une du journal « Le Monde » suite à un incident © 2011 - S.Gioria
  • 24. La menace  Les gouvernements ?  Le concurrent  La mafia Capacité  Le chômeur… de  L’étudiant protection  Le « script kiddies »  Mon fils de 3 ans Mais…… Personne ne nous piratera » « © 2011 - S.Gioria
  • 25. Défense en profondeur © 2011 - S.Gioria
  • 26. Pourquoi est-ce un problème global ? © 2011 - S.Gioria
  • 27. Le Mercenaire des menaces(*) 10/03/2011 – 9h45 © 2011 - S.Gioria * Un burger et vous l’achetez….
  • 28. Chuck Norris OWASP ASVS à la rescousse   Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements   Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.   Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code   Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! © 2011 - S.Gioria
  • 29. Principes de développement KISS : Keep it Short and Simple  8 étapes clés :  Validation des entrées  Validation des sorties  Gestion des erreurs  Authentification ET Autorisation  Gestion des Sessions  Sécurisation des communications  Sécurisation du stockage  Accès Sécurisé aux ressources © 2011 - S.Gioria
  • 30. KISS : Keep it Short and Simple  Suivre constamment les règles précédentes  Ne pas « tenter » de mettre en place des parades aux attaques  Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour  Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. © 2011 - S.Gioria
  • 31. Parfois il faut faire sa pub ;) 10/03/2011 – 13h30 © 2011 - S.Gioria
  • 32. Cet homme peut vous aider(*) 10/02/2011 : 14h45 * : je suis d’accord on dirait pas J sur cette photo © 2011 - S.Gioria
  • 33. Mettre en place les Tests Qualité  Ne pas parler de tests sécurité !  Définir des fiches tests simples, basées sur le Top10/TopX :  Tests d’attaques clients/image de marque (XSS)  Tests d’intégrité (SQL Injection, …)  Tests de conformité (SQL/LDAP/XML Injection)  Tests de configuration (SSL, interfaces d’administration)  Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  …. © 2011 - S.Gioria
  • 34. De la littérature © 2011 - S.Gioria
  • 35. De la littérature  ENISA :  Benefits, risks and recommendations for information security (11/2009)  NIST :  SP800-144 : Guidelines on Security and Privacy in Public Cloud Computing (01/2011)  Cloud Security Alliance :  Top Threats to Cloud Computing V1.0 (03/2010)  Security Guidance for Critical Areas of Focus In Cloud Computing V2.1 (12/2009) © 2011 - S.Gioria
  • 36. Conclusion ? © Flickr – Mathieu aubry © 2011 - S.Gioria
  • 37. Remerciements  Pascal Saulière (@psauliere)  AF (@starbuck3000)  Les deux Arthur(s) © 2011 - S.Gioria