SlideShare una empresa de Scribd logo

Valdes securite des application - barcamp2012

Descargar como PPTX, PDF
Valdes Nzalli
Valdes Nzalli
Tecnología
1 de 18
SÉCURITÉ DES APPLICATIONS Valdes T. Nzalli Twitter : valdesjo77 Yaoundé, 19 Mai 2012
De quoi sera-t-il question? • Pourquoi Sécuriser Nos 1 Applications ? • Comment Sécuriser nos 2 Applications ? • Intégration de la Sécurité 3 dans notre SDLC
POURQUOI SÉCURISER NOS APPLICATIONS ?
Les différentes failles • Pour les Applications Web : OWASP Top 10 • Les Failles d’implémentation : le fuzzing
Les enjeux • L’impact économique • Le l’image de marque • Exemple : Cas de la compagnie Itron (USA)
Quelques Chiffres • Les pertes entrainées par les failles logicielles en 2011 (Source 1) • Plus de 75% des applications web sur le marché contiennent des failles critiques (source 2)
COMMENT SÉCURISER NOS APPLICATIONS ?
Intégrer les bonnes Pratiques • La Software Development Life Cycle • Le développement industriel : Software Fabric
Tester la Sécurité de son Application Audit de Code Source Test manuel Scanner automatique de Vulnérablités Time Spent
INTÉGRATION DES MESURES DE SÉCURITÉ DANS LE SDLC?
Modèles de Developpement Sécurisé Retester l’Application Refaire un audit du Activités menées code Source Réparation des failles les plus critiques Identifier les failles récurentes Temps Passé
Les outils à utiliser I • Les Scanneurs de Vulnérabilité : Accunetix, W3AF, Burp Suite, HP WebInspect • Les outils d’analyse de code source : Yasca, PMD, Coverity, phpSniffer, cobertura
Les outils à utiliser II • Les machines virtuelles de Test : Damn Vulnerable Web Application, metasploitable, • Les reférentiels d’audit d’application
Les Facteurs environnementaux • La sécurité du poste de développement • La sécurité du serveur de code sources • Les comportements des utilisateurs
Case Study : Sécurité d’une Application Web • Web Application Security Checklist (voir fichier excel join)
Ressources • OWASP Top 10 <www.owasp.org> • OWASP Turkey Web Application Security Checklist v.2 www.webguvenligi.org • Source 1 : Couts des failles 2011 http://threatpost.com/en_us/blogs/insecure-applications-we-are- 84-percent-120611 • Source 2 : Microsoft SDLC threatpost.com/en_us/blogs/microsofts-sdl-expands-beyond- redmond-051612 • Analyse de code Java : http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de- code-java
QUESTIONS?
APPENDIX

Recomendados

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)LeClubQualiteLogicielle
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
IT Audit methodologies
IT Audit methodologiesIT Audit methodologies
IT Audit methodologiesgenetics
 
How to Effectively Audit your IT Infrastructure
How to Effectively Audit your IT InfrastructureHow to Effectively Audit your IT Infrastructure
How to Effectively Audit your IT InfrastructureNetwrix Corporation
 
Checklist
ChecklistChecklist
Checklistdygmasnah65
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 

Recomendados

2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)20080923 02 - Securité applicative (GDF-Suez)
20080923 02 - Securité applicative (GDF-Suez)LeClubQualiteLogicielle
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
IT Audit methodologies
IT Audit methodologiesIT Audit methodologies
IT Audit methodologiesgenetics
 
How to Effectively Audit your IT Infrastructure
How to Effectively Audit your IT InfrastructureHow to Effectively Audit your IT Infrastructure
How to Effectively Audit your IT InfrastructureNetwrix Corporation
 
Checklist
ChecklistChecklist
Checklistdygmasnah65
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015Julien Vq
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINTelecomValley
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyMicrosoft
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasEyesOpen Association
 
Qualite1
Qualite1Qualite1
Qualite1Rachid Lajouad
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM France Lab
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftMicrosoft Technet France
 
#OpenData DevFest18
#OpenData DevFest18#OpenData DevFest18
#OpenData DevFest18Valdes Nzalli
 
Collaboration Between Infosec Community and CERT Teams : Project Sonar case
Collaboration Between Infosec Community and CERT Teams : Project Sonar caseCollaboration Between Infosec Community and CERT Teams : Project Sonar case
Collaboration Between Infosec Community and CERT Teams : Project Sonar caseValdes Nzalli
 

Más contenido relacionado

Similar a Valdes securite des application - barcamp2012

Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015Julien Vq
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINTelecomValley
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyMicrosoft
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasEyesOpen Association
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM France Lab
 

Similar a Valdes securite des application - barcamp2012 (20)

Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
Qualite1
Qualite1Qualite1
Qualite1
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 

Más de Valdes Nzalli

Collaboration Between Infosec Community and CERT Teams : Project Sonar case
Collaboration Between Infosec Community and CERT Teams : Project Sonar caseCollaboration Between Infosec Community and CERT Teams : Project Sonar case
Collaboration Between Infosec Community and CERT Teams : Project Sonar caseValdes Nzalli
 
Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?
Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?
Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?Valdes Nzalli
 
Etude Statistique d'un mois de Vulnérabilités en Afrique
Etude Statistique d'un mois de Vulnérabilités en AfriqueEtude Statistique d'un mois de Vulnérabilités en Afrique
Etude Statistique d'un mois de Vulnérabilités en AfriqueValdes Nzalli
 
Internet et Vie Privée Analyse des comportements en Afrique après PRISM
Internet et Vie Privée Analyse des comportements en Afrique après PRISMInternet et Vie Privée Analyse des comportements en Afrique après PRISM
Internet et Vie Privée Analyse des comportements en Afrique après PRISMValdes Nzalli
 
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Valdes Nzalli
 
Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012Valdes Nzalli
 
Government can save millions by reforming Security Policy
Government can save millions by reforming Security Policy Government can save millions by reforming Security Policy
Government can save millions by reforming Security Policy Valdes Nzalli
 
Cercle gt f-ssi_white_paper_finale5
Cercle gt f-ssi_white_paper_finale5Cercle gt f-ssi_white_paper_finale5
Cercle gt f-ssi_white_paper_finale5Valdes Nzalli
 
Rapport GEULLIC du 24-04-2011
Rapport GEULLIC du 24-04-2011Rapport GEULLIC du 24-04-2011
Rapport GEULLIC du 24-04-2011Valdes Nzalli
 
Logiciels libres cameroun m1
Logiciels libres cameroun m1Logiciels libres cameroun m1
Logiciels libres cameroun m1Valdes Nzalli
 
Presentation communaute (Cahier de Charg
Presentation communaute (Cahier de ChargPresentation communaute (Cahier de Charg
Presentation communaute (Cahier de ChargValdes Nzalli
 

Más de Valdes Nzalli (12)

#OpenData DevFest18
#OpenData DevFest18#OpenData DevFest18
#OpenData DevFest18
 
Collaboration Between Infosec Community and CERT Teams : Project Sonar case
Collaboration Between Infosec Community and CERT Teams : Project Sonar caseCollaboration Between Infosec Community and CERT Teams : Project Sonar case
Collaboration Between Infosec Community and CERT Teams : Project Sonar case
 
Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?
Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?
Pénétration de l'Internet en Afrique : Qu'en est-il des équipements ?
 
Etude Statistique d'un mois de Vulnérabilités en Afrique
Etude Statistique d'un mois de Vulnérabilités en AfriqueEtude Statistique d'un mois de Vulnérabilités en Afrique
Etude Statistique d'un mois de Vulnérabilités en Afrique
 
Internet et Vie Privée Analyse des comportements en Afrique après PRISM
Internet et Vie Privée Analyse des comportements en Afrique après PRISMInternet et Vie Privée Analyse des comportements en Afrique après PRISM
Internet et Vie Privée Analyse des comportements en Afrique après PRISM
 
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
 
Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012
 
Government can save millions by reforming Security Policy
Government can save millions by reforming Security Policy Government can save millions by reforming Security Policy
Government can save millions by reforming Security Policy
 
Cercle gt f-ssi_white_paper_finale5
Cercle gt f-ssi_white_paper_finale5Cercle gt f-ssi_white_paper_finale5
Cercle gt f-ssi_white_paper_finale5
 
Rapport GEULLIC du 24-04-2011
Rapport GEULLIC du 24-04-2011Rapport GEULLIC du 24-04-2011
Rapport GEULLIC du 24-04-2011
 
Logiciels libres cameroun m1
Logiciels libres cameroun m1Logiciels libres cameroun m1
Logiciels libres cameroun m1
 
Presentation communaute (Cahier de Charg
Presentation communaute (Cahier de ChargPresentation communaute (Cahier de Charg
Presentation communaute (Cahier de Charg
 

Valdes securite des application - barcamp2012

  • 1. SÉCURITÉ DES APPLICATIONS Valdes T. Nzalli Twitter : valdesjo77 Yaoundé, 19 Mai 2012
  • 2. De quoi sera-t-il question? • Pourquoi Sécuriser Nos 1 Applications ? • Comment Sécuriser nos 2 Applications ? • Intégration de la Sécurité 3 dans notre SDLC
  • 4. Les différentes failles • Pour les Applications Web : OWASP Top 10 • Les Failles d’implémentation : le fuzzing
  • 5. Les enjeux • L’impact économique • Le l’image de marque • Exemple : Cas de la compagnie Itron (USA)
  • 6. Quelques Chiffres • Les pertes entrainées par les failles logicielles en 2011 (Source 1) • Plus de 75% des applications web sur le marché contiennent des failles critiques (source 2)
  • 8. Intégrer les bonnes Pratiques • La Software Development Life Cycle • Le développement industriel : Software Fabric
  • 9. Tester la Sécurité de son Application Audit de Code Source Test manuel Scanner automatique de Vulnérablités Time Spent
  • 10. INTÉGRATION DES MESURES DE SÉCURITÉ DANS LE SDLC?
  • 11. Modèles de Developpement Sécurisé Retester l’Application Refaire un audit du Activités menées code Source Réparation des failles les plus critiques Identifier les failles récurentes Temps Passé
  • 12. Les outils à utiliser I • Les Scanneurs de Vulnérabilité : Accunetix, W3AF, Burp Suite, HP WebInspect • Les outils d’analyse de code source : Yasca, PMD, Coverity, phpSniffer, cobertura
  • 13. Les outils à utiliser II • Les machines virtuelles de Test : Damn Vulnerable Web Application, metasploitable, • Les reférentiels d’audit d’application
  • 14. Les Facteurs environnementaux • La sécurité du poste de développement • La sécurité du serveur de code sources • Les comportements des utilisateurs
  • 15. Case Study : Sécurité d’une Application Web • Web Application Security Checklist (voir fichier excel join)
  • 16. Ressources • OWASP Top 10 <www.owasp.org> • OWASP Turkey Web Application Security Checklist v.2 www.webguvenligi.org • Source 1 : Couts des failles 2011 http://threatpost.com/en_us/blogs/insecure-applications-we-are- 84-percent-120611 • Source 2 : Microsoft SDLC threatpost.com/en_us/blogs/microsofts-sdl-expands-beyond- redmond-051612 • Analyse de code Java : http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de- code-java

Notas del editor

  1. Use a section header for each of the topics, so there is a clear transition to the audience.