2. De quoi sera-t-il question?
• Pourquoi Sécuriser Nos
1 Applications ?
• Comment Sécuriser nos
2 Applications ?
• Intégration de la Sécurité
3 dans notre SDLC
4. Les différentes failles
• Pour les Applications Web :
OWASP Top 10
• Les Failles d’implémentation :
le fuzzing
5. Les enjeux
• L’impact économique
• Le l’image de marque
• Exemple : Cas de la compagnie Itron
(USA)
6. Quelques Chiffres
• Les pertes entrainées par les failles
logicielles en 2011 (Source 1)
• Plus de 75% des applications web sur le
marché contiennent des failles critiques
(source 2)
11. Modèles de Developpement Sécurisé
Retester
l’Application
Refaire un
audit du
Activités menées
code Source
Réparation
des failles les
plus critiques
Identifier les
failles
récurentes
Temps Passé
12. Les outils à utiliser I
• Les Scanneurs de Vulnérabilité :
Accunetix, W3AF, Burp Suite, HP
WebInspect
• Les outils d’analyse de code source :
Yasca, PMD, Coverity, phpSniffer,
cobertura
13. Les outils à utiliser II
• Les machines virtuelles de Test :
Damn Vulnerable Web Application,
metasploitable,
• Les reférentiels d’audit d’application
14. Les Facteurs environnementaux
• La sécurité du poste de
développement
• La sécurité du serveur
de code sources
• Les comportements des
utilisateurs
15. Case Study : Sécurité d’une
Application Web
• Web Application
Security Checklist (voir
fichier excel join)
16. Ressources
• OWASP Top 10 <www.owasp.org>
• OWASP Turkey Web Application Security Checklist v.2
www.webguvenligi.org
• Source 1 : Couts des failles 2011
http://threatpost.com/en_us/blogs/insecure-applications-we-are-
84-percent-120611
• Source 2 : Microsoft SDLC
threatpost.com/en_us/blogs/microsofts-sdl-expands-beyond-
redmond-051612
• Analyse de code Java :
http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de-
code-java