SlideShare una empresa de Scribd logo

La sécurité applicative par le design

Christophe Villeneuve
Christophe Villeneuve

Présentation effectuée au Paris Open Source Summit (11 décembre 2019) par Christophe Villeneuve sur "La sécurité applicative par le design". Une occasion d'apprendre les bonnes pratiques sur Security By design

Tecnología
1 de 28
Descargar para leer sin conexión
Atos open source - afup – lemug.fr – mysql – mariadb – drupal – mozilla - firefox – sumo – webextensions – VR – AR – XR - Cause commune 93.1 FM - TechSpeaker - Lizard - eyrolles – editions eni – programmez – linux pratique – webriver – elephpant - CommonVoice – Cybersécurité - Sécurité @hellosct1 @hellosct1@mamot.fr Christophe Villeneuve La sécurité applicative par le design Open Source Summit – 11 décembre 2019
Atos Open Source - @hellosct1 - Aujourd’hui ● La théorie ● La réalité ● Bonnes pratiques
La théorie La réalité Bonnes pratiques
Atos Open Source - @hellosct1 - L’approche ● Inspirée de la norme ISO/IEC 27034:2011 – Recommandée dans tous les développements d’applications – Parfois exigée dans les projets ● qui touchent à la sécurité de fonctionnement des appareils → Impact : Ricochet à la sécurité des personnes
Atos Open Source - @hellosct1 - Se poser les bonnes questions ? ● Comment développer de nouvelles applications ● Ajouter des nouvelles fonctionnalités à des applications en production → Sans introduire de nouvelles vulnérabilités → Compromettre une infrastructure en mode Run
Atos Open Source - @hellosct1 - Sécurité applicative par le désign ? ● = Security by design ● Modéliser les risques + les menaces ● Idée d’intégrer les mécanismes de protection – Au plus tôt – De manière plus efficiente au produit
Atos Open Source - @hellosct1 -
Atos Open Source - @hellosct1 - Réunir les bons acteurs ● Responsables ● Développeurs ● Commerciaux ● ...
La théorie La réalité Bonne pratique
Atos Open Source - @hellosct1 - Les principes ● Aucune norme ou concept – par des standards ● Référentiels et bonnes pratiques – Viega & McGraw – Owasp – Nist – NCSC – Cliff Berg’ – ANSSI
Atos Open Source - @hellosct1 - 4 axes ● Stratégie d’entreprise ● Pilotage des processus métier – Approche fonctionnelle et orientée métier ● Urbanisation du SI – Fonctionnel orienté applications & données ● Architecture technique – avec le socle technique de l’infrastructure
Atos Open Source - @hellosct1 - En résumé Prévention Détection Réaction
La théorie La réalité Bonnes pratiques
Atos Open Source - @hellosct1 - 1 - Minimiser la surface d’attaque ● Nouvelle fonctionnalité dans Application ● Risque augmente – Impact sur la totalité du projet ● Objectif d’un développement sécurisé – Réduire le risque global en diminuant la surface d’attaque - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers
Atos Open Source - @hellosct1 - 2 – Etablir les valeurs par défaut sécurisées ● Lors du déploiement d’une application – Sécurité par défaut pour les utilisateurs → obtenir une confiance : « Prête à l’emploi » ● Un utilisateur doit disposer d’un compte avec certains privilèges et prédéfinis ● Valeurs par défaut strictes sur les différentes actions →que l’utilisateur peut faire →méthode d’enregistrement des données - Mise à jour d’un mot de passe régulièrement - Double Authentification - Mise à jour d’un mot de passe régulièrement - Double Authentification
Atos Open Source - @hellosct1 - 3 – Principe du moindre privilège ● Application Web → Minimum de privilège (ex : accès au contenu) ● Définition des droits de l’utilisateur ● Permissions des ressources (CPU, mémoire, réseau...) ● Permissions du système de fichiers - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?) - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?)
Atos Open Source - @hellosct1 - 4 – Défense en profondeur ● Aborder les risques de différentes manières – Contrôles de sécurité multiples ● Meilleure option pour sécuriser une application – Réduire la surface d’attaque ● Contrôle d’accès d’un utilisateur – Validation par différents niveaux – Contrôles de vérification centralisés – Obligation d’être connecté et identifié – Outils de journalisation (log) - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions
Atos Open Source - @hellosct1 - 5 – Echec en toute sécurité ● 2 types d’échec : – Action venant de l’utilisateur – Echec d’une transaction ● Problème de traitement d’une transaction – Un bouton → clic → réponse ? ● Accès à l’interface utilisateur ● Les messages de réponse → clair et précis ● Les informations sensibles → dans les logs ou BDD → pas en clair - Champ code postal- Champ code postal
Atos Open Source - @hellosct1 - 6 – Services tiers ● Nouvelles fonctionnalités – On évite de recoder (pour le développeur) ● Utilisation de Services tiers (API externe, Service…) ● Risque d’élargir la surface d’attaque – Suivre leurs actualités – Vérifier la validité des données envoyées ● Eviter de donner tous les privilèges - Ajout VS suppression d’une API - Fonctions obsolètes - Ajout VS suppression d’une API - Fonctions obsolètes
Atos Open Source - @hellosct1 - 7 – Séparation des fonctions ● Séparation d’une tâche – Important dans une application ● Eviter des agissements frauduleux - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand
Atos Open Source - @hellosct1 - 8 – Eviter la sécurité par l’obscurité ● Méthode de sécurité faible →L’accès n’est pas visible par l’interface ● Accès plus rapide à un écran de configuration ● Eviter les accès différents – Porte dérobée - modification du port d’une URL- modification du port d’une URL
Atos Open Source - @hellosct1 - 9 – Garder la sécurité simple et claire ● Eviter les architectures trop sophistiquées ● Si c’est trop complèxe → Les risques de failles supplémentaires ● Méthode pas toujours comprise ● Eviter les fonctions inutiles, fonctions en double - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ? - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ?
Atos Open Source - @hellosct1 - 10 – Les corrections ● Quand le problème de sécurité est identifié ● Actions : – Elaborer un test – Comprendre la cause du problème – Conséquence de cette faille ● Réactivé à corriger une faille / une vulnérabilité - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte
Atos Open Source - @hellosct1 - Au final ● Impacte tous les métiers ● La sécurité d’une application ajoute une couche supplémentaire de sécurité à l’ensemble du SI ● Impacte les performances globales – Une application – Une infrastructure ● La sécurité tardive → impact sera important
Atos Open Source - @hellosct1 - Mais Confidentialité Intégrité Disponibilité N'autoriser l'accès qu'aux données pour lesquelles l'utilisateur est autorisé S'assurer que les données ne sont altérées (utilisateurs non autorisés) Les systèmes et les données, disponible pour les utilisateurs autorisés
Atos Open Source - @hellosct1 - La plus dangereuse ● Contre les développeurs…. Les collaborateurs
Atos Open Source - @hellosct1 - Un peu plus... meetup lizard https://www.meetup.com/fr-FR/lizard_secu/ Article : security by design
Atos Open Source - @hellosct1 - Christophe Villeneuve @hellosct1 @hellosct1@mamot.fr Merci Sources : - Liv Erickson - Hellosct1

Recomendados

Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Christophe Villeneuve
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécuritéChristophe Villeneuve
 

Recomendados

Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Christophe Villeneuve
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécuritéChristophe Villeneuve
 
La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainChristophe Villeneuve
 
Cyberun #12
Cyberun #12Cyberun #12
Cyberun #12bertrandmeens
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
DevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiquebertrandmeens
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
la boite à outils de développements dans firefox devtools
la boite à outils de développements dans firefox devtoolsla boite à outils de développements dans firefox devtools
la boite à outils de développements dans firefox devtoolsChristophe Villeneuve
 
Reprise sur incident - ConFoo 2012
Reprise sur incident - ConFoo 2012Reprise sur incident - ConFoo 2012
Reprise sur incident - ConFoo 2012Jean-Marc Fontaine
 
La qualité au-delà du code - ConFoo 2012
La qualité au-delà du code - ConFoo 2012La qualité au-delà du code - ConFoo 2012
La qualité au-delà du code - ConFoo 2012Jean-Marc Fontaine
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Paris Android User Group
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupalChristophe Villeneuve
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloudRobert Viseur
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement MicrosoftChristophe HERAL
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devopsChristophe Villeneuve
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...DotRiver
 
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonitasoft
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Développement en méthode agile
Développement en méthode agileDéveloppement en méthode agile
Développement en méthode agilelaurent bristiel
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022SpikeeLabs
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoJean Francois DONIKIAN
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail LibreLINAGORA
 

Más contenido relacionado

La actualidad más candente

La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainChristophe Villeneuve
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
DevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiquebertrandmeens
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
la boite à outils de développements dans firefox devtools
la boite à outils de développements dans firefox devtoolsla boite à outils de développements dans firefox devtools
la boite à outils de développements dans firefox devtoolsChristophe Villeneuve
 
Reprise sur incident - ConFoo 2012
Reprise sur incident - ConFoo 2012Reprise sur incident - ConFoo 2012
Reprise sur incident - ConFoo 2012Jean-Marc Fontaine
 
La qualité au-delà du code - ConFoo 2012
La qualité au-delà du code - ConFoo 2012La qualité au-delà du code - ConFoo 2012
La qualité au-delà du code - ConFoo 2012Jean-Marc Fontaine
 

La actualidad más candente (8)

La sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demainLa sécurité au coeur des projets webs de demain
La sécurité au coeur des projets webs de demain
 
Cyberun #12
Cyberun #12Cyberun #12
Cyberun #12
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
DevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratiqueDevSecOps : de la théorie à la pratique
DevSecOps : de la théorie à la pratique
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
la boite à outils de développements dans firefox devtools
la boite à outils de développements dans firefox devtoolsla boite à outils de développements dans firefox devtools
la boite à outils de développements dans firefox devtools
 
Reprise sur incident - ConFoo 2012
Reprise sur incident - ConFoo 2012Reprise sur incident - ConFoo 2012
Reprise sur incident - ConFoo 2012
 
La qualité au-delà du code - ConFoo 2012
La qualité au-delà du code - ConFoo 2012La qualité au-delà du code - ConFoo 2012
La qualité au-delà du code - ConFoo 2012
 

Similar a La sécurité applicative par le design

Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Paris Android User Group
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloudRobert Viseur
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement MicrosoftChristophe HERAL
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...DotRiver
 
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonitasoft
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Développement en méthode agile
Développement en méthode agileDéveloppement en méthode agile
Développement en méthode agilelaurent bristiel
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022SpikeeLabs
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoJean Francois DONIKIAN
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail LibreLINAGORA
 
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?ekino
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
Les méthodes agiles dans TFS
Les méthodes agiles dans TFSLes méthodes agiles dans TFS
Les méthodes agiles dans TFSDenis Voituron
 
La sécurité dans les extensions Webs
La sécurité dans les extensions WebsLa sécurité dans les extensions Webs
La sécurité dans les extensions WebsChristophe Villeneuve
 
At2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicAt2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicEmmanuel Hugonnet
 

Similar a La sécurité applicative par le design (20)

Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open Source
 
Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloud
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
 
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
Bonita 7.10 - Nathalie Cotté - Bonitaday Paris 2019
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Développement en méthode agile
Développement en méthode agileDéveloppement en méthode agile
Développement en méthode agile
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfresco
 
Le poste de travail Libre
Le poste de travail LibreLe poste de travail Libre
Le poste de travail Libre
 
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
Drupagora 2013 : Drupal8 et Symfony2, quel impact ?
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
Les méthodes agiles dans TFS
Les méthodes agiles dans TFSLes méthodes agiles dans TFS
Les méthodes agiles dans TFS
 
La sécurité dans les extensions Webs
La sécurité dans les extensions WebsLa sécurité dans les extensions Webs
La sécurité dans les extensions Webs
 
Objectif fluid<fab />
Objectif fluid<fab />Objectif fluid<fab />
Objectif fluid<fab />
 
At2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville PublicAt2008 Grenoble Hugonnet Sanlaville Public
At2008 Grenoble Hugonnet Sanlaville Public
 

Más de Christophe Villeneuve

La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxChristophe Villeneuve
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webChristophe Villeneuve
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteChristophe Villeneuve
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activitesChristophe Villeneuve
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftChristophe Villeneuve
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthnChristophe Villeneuve
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueChristophe Villeneuve
 
La réalité mélangée dans vos applications
La réalité mélangée dans vos applicationsLa réalité mélangée dans vos applications
La réalité mélangée dans vos applicationsChristophe Villeneuve
 
La réalité melangée dans vos applications
La réalité melangée dans vos applicationsLa réalité melangée dans vos applications
La réalité melangée dans vos applicationsChristophe Villeneuve
 

Más de Christophe Villeneuve (20)

MariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQLMariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQL
 
La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans Firefox
 
pister les pisteurs
pister les pisteurspister les pisteurs
pister les pisteurs
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le web
 
Mariadb une base de données NewSQL
Mariadb une base de données NewSQLMariadb une base de données NewSQL
Mariadb une base de données NewSQL
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnante
 
Pentest bus pirate
Pentest bus piratePentest bus pirate
Pentest bus pirate
 
Foxfooding semaine 3
Foxfooding semaine 3Foxfooding semaine 3
Foxfooding semaine 3
 
Foxfooding
FoxfoodingFoxfooding
Foxfooding
 
Accessibilite web wcag rgaa
Accessibilite web wcag rgaaAccessibilite web wcag rgaa
Accessibilite web wcag rgaa
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activites
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et Microsoft
 
Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthn
 
Send large files with addons
Send large files with addonsSend large files with addons
Send large files with addons
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratique
 
Donnez la voix aux machines
Donnez la voix aux machinesDonnez la voix aux machines
Donnez la voix aux machines
 
La réalité mélangée dans vos applications
La réalité mélangée dans vos applicationsLa réalité mélangée dans vos applications
La réalité mélangée dans vos applications
 
la réalité mélangée de A a Z
la réalité mélangée de A a Zla réalité mélangée de A a Z
la réalité mélangée de A a Z
 
La réalité melangée dans vos applications
La réalité melangée dans vos applicationsLa réalité melangée dans vos applications
La réalité melangée dans vos applications
 

La sécurité applicative par le design

  • 1. Atos open source - afup – lemug.fr – mysql – mariadb – drupal – mozilla - firefox – sumo – webextensions – VR – AR – XR - Cause commune 93.1 FM - TechSpeaker - Lizard - eyrolles – editions eni – programmez – linux pratique – webriver – elephpant - CommonVoice – Cybersécurité - Sécurité @hellosct1 @hellosct1@mamot.fr Christophe Villeneuve La sécurité applicative par le design Open Source Summit – 11 décembre 2019
  • 2. Atos Open Source - @hellosct1 - Aujourd’hui ● La théorie ● La réalité ● Bonnes pratiques
  • 4. Atos Open Source - @hellosct1 - L’approche ● Inspirée de la norme ISO/IEC 27034:2011 – Recommandée dans tous les développements d’applications – Parfois exigée dans les projets ● qui touchent à la sécurité de fonctionnement des appareils → Impact : Ricochet à la sécurité des personnes
  • 5. Atos Open Source - @hellosct1 - Se poser les bonnes questions ? ● Comment développer de nouvelles applications ● Ajouter des nouvelles fonctionnalités à des applications en production → Sans introduire de nouvelles vulnérabilités → Compromettre une infrastructure en mode Run
  • 6. Atos Open Source - @hellosct1 - Sécurité applicative par le désign ? ● = Security by design ● Modéliser les risques + les menaces ● Idée d’intégrer les mécanismes de protection – Au plus tôt – De manière plus efficiente au produit
  • 7. Atos Open Source - @hellosct1 -
  • 8. Atos Open Source - @hellosct1 - Réunir les bons acteurs ● Responsables ● Développeurs ● Commerciaux ● ...
  • 10. Atos Open Source - @hellosct1 - Les principes ● Aucune norme ou concept – par des standards ● Référentiels et bonnes pratiques – Viega & McGraw – Owasp – Nist – NCSC – Cliff Berg’ – ANSSI
  • 11. Atos Open Source - @hellosct1 - 4 axes ● Stratégie d’entreprise ● Pilotage des processus métier – Approche fonctionnelle et orientée métier ● Urbanisation du SI – Fonctionnel orienté applications & données ● Architecture technique – avec le socle technique de l’infrastructure
  • 12. Atos Open Source - @hellosct1 - En résumé Prévention Détection Réaction
  • 14. Atos Open Source - @hellosct1 - 1 - Minimiser la surface d’attaque ● Nouvelle fonctionnalité dans Application ● Risque augmente – Impact sur la totalité du projet ● Objectif d’un développement sécurisé – Réduire le risque global en diminuant la surface d’attaque - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers - Nouvelle fonction (ex : Recherche avancée) - Authentification - Attaque d'inclusion de fichiers
  • 15. Atos Open Source - @hellosct1 - 2 – Etablir les valeurs par défaut sécurisées ● Lors du déploiement d’une application – Sécurité par défaut pour les utilisateurs → obtenir une confiance : « Prête à l’emploi » ● Un utilisateur doit disposer d’un compte avec certains privilèges et prédéfinis ● Valeurs par défaut strictes sur les différentes actions →que l’utilisateur peut faire →méthode d’enregistrement des données - Mise à jour d’un mot de passe régulièrement - Double Authentification - Mise à jour d’un mot de passe régulièrement - Double Authentification
  • 16. Atos Open Source - @hellosct1 - 3 – Principe du moindre privilège ● Application Web → Minimum de privilège (ex : accès au contenu) ● Définition des droits de l’utilisateur ● Permissions des ressources (CPU, mémoire, réseau...) ● Permissions du système de fichiers - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?) - Site actualité (beaucoup de contributeurs) → Rôle & droits définis - Si Nouveau contributeur → minimum de droits (Auteur / Relecture...?)
  • 17. Atos Open Source - @hellosct1 - 4 – Défense en profondeur ● Aborder les risques de différentes manières – Contrôles de sécurité multiples ● Meilleure option pour sécuriser une application – Réduire la surface d’attaque ● Contrôle d’accès d’un utilisateur – Validation par différents niveaux – Contrôles de vérification centralisés – Obligation d’être connecté et identifié – Outils de journalisation (log) - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions - Connexion utilisateur par ses identifiants Contrôle IP, 2FA, Captcha, Historique de connexions
  • 18. Atos Open Source - @hellosct1 - 5 – Echec en toute sécurité ● 2 types d’échec : – Action venant de l’utilisateur – Echec d’une transaction ● Problème de traitement d’une transaction – Un bouton → clic → réponse ? ● Accès à l’interface utilisateur ● Les messages de réponse → clair et précis ● Les informations sensibles → dans les logs ou BDD → pas en clair - Champ code postal- Champ code postal
  • 19. Atos Open Source - @hellosct1 - 6 – Services tiers ● Nouvelles fonctionnalités – On évite de recoder (pour le développeur) ● Utilisation de Services tiers (API externe, Service…) ● Risque d’élargir la surface d’attaque – Suivre leurs actualités – Vérifier la validité des données envoyées ● Eviter de donner tous les privilèges - Ajout VS suppression d’une API - Fonctions obsolètes - Ajout VS suppression d’une API - Fonctions obsolètes
  • 20. Atos Open Source - @hellosct1 - 7 – Séparation des fonctions ● Séparation d’une tâche – Important dans une application ● Eviter des agissements frauduleux - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand - Accès administrateurs Notion différente pour 1 site d’actualité ou marchand
  • 21. Atos Open Source - @hellosct1 - 8 – Eviter la sécurité par l’obscurité ● Méthode de sécurité faible →L’accès n’est pas visible par l’interface ● Accès plus rapide à un écran de configuration ● Eviter les accès différents – Porte dérobée - modification du port d’une URL- modification du port d’une URL
  • 22. Atos Open Source - @hellosct1 - 9 – Garder la sécurité simple et claire ● Eviter les architectures trop sophistiquées ● Si c’est trop complèxe → Les risques de failles supplémentaires ● Méthode pas toujours comprise ● Eviter les fonctions inutiles, fonctions en double - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ? - Nouvelle fonctionnalité dans votre architecture Celle-ci, existe-t-elle ?
  • 23. Atos Open Source - @hellosct1 - 10 – Les corrections ● Quand le problème de sécurité est identifié ● Actions : – Elaborer un test – Comprendre la cause du problème – Conséquence de cette faille ● Réactivé à corriger une faille / une vulnérabilité - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte - Fuite de données Accès aux informations d’un autre utilisateur Modification de la valeur d’un cookie - Piratage d’un compte
  • 24. Atos Open Source - @hellosct1 - Au final ● Impacte tous les métiers ● La sécurité d’une application ajoute une couche supplémentaire de sécurité à l’ensemble du SI ● Impacte les performances globales – Une application – Une infrastructure ● La sécurité tardive → impact sera important
  • 25. Atos Open Source - @hellosct1 - Mais Confidentialité Intégrité Disponibilité N'autoriser l'accès qu'aux données pour lesquelles l'utilisateur est autorisé S'assurer que les données ne sont altérées (utilisateurs non autorisés) Les systèmes et les données, disponible pour les utilisateurs autorisés
  • 26. Atos Open Source - @hellosct1 - La plus dangereuse ● Contre les développeurs…. Les collaborateurs
  • 27. Atos Open Source - @hellosct1 - Un peu plus... meetup lizard https://www.meetup.com/fr-FR/lizard_secu/ Article : security by design
  • 28. Atos Open Source - @hellosct1 - Christophe Villeneuve @hellosct1 @hellosct1@mamot.fr Merci Sources : - Liv Erickson - Hellosct1