SlideShare una empresa de Scribd logo

Test d’intrusion dans le cadre du cycle de développement (Vumetric)

Descargar como PPTX, PDF
V
Vumetric

Cette présentation vise à discuter du rôle des tests d'intrusion et audit de sécurit. dans le cadre du cycle de développement application d'une entreprise. Alors que la majorité des organisations concentrent toujours leurs efforts de sécurisation au niveau de la couche réseau, les tendances observées au cours des dernières années indiquent que les menaces et risques sont maintenant concentrés au niveau des applications et sites Web.

Tecnología
1 de 31
www.vumetric.com© 2017 Vumetric Inc. JOURNÉE SUR LA SÉCURITÉ APPLICATIVE (ISACA / UNIVERSITÉ LAVAL) LES TESTS D’INTRUSION DANS LE CADRE DU CYCLE DE DÉVELOPPEMENT APPLICATIF Présenté par Patrick Chevalier CISSP, CISA, CSSLP, GIAC, CPTE, CEH Associé, conseiller principal pchevalier@vumetric.com 30 NOVEMBRE 2017
Qui suis-je ?  Patrick Chevalier, CISSP, CISA, CSSLP, GIAC  Conseiller principal @ Vumetric – Tests d’intrusion (1000+ projets) – Cybersécurité – R&D  ~20 ans d’experience en sécurité 2www.vumetric.com
Agenda  Introduction et mise en contexte  Pourquoi effectuer des tests d’intrusion  Postionnement des tests dans le SDLC  Standards et certifications  Conclusion  Période de questions 3www.vumetric.com
Sondage éclair !  Qui a déjà participé à des tests d’intrusion ? – À titre de testeur ou dans le cadre d’un projet de développement 4www.vumetric.com
vumetric Réseau Serveurs Applications Web % des attaques % du montant Risques Budget sécurité 90% 25% 10% 75% "75% of All Attacks are Directed at the Web Application Layer” 5www.vumetric.com
vumetric Peu de développeurs possèdent des connaissances en sécurité et inversement, peu de professionnels en sécurité possèdent des connaissances en développement… 6www.vumetric.com
vumetric La sécurité applicative est malheureusement le talon d'Achille de plusieurs organisations… 7www.vumetric.com
Pourquoi la sécurité applicative est-elle un enjeu d’actualité ?  Cause première – Les développeurs ne sont pas formés aux meilleures pratiques de développement sécuritaire – Les développeurs et gestionnaires sont rarement conscients des enjeux de sécurité – Les contrôles de sécurité réseau (pare-feu, IDS, etc.) ne protègent pas la couche applicative  État actuel – Il existe un fossé de communication entre la sécurité et le développement – Le contexte des projets de développement est souvent peu propice à l’intégration d’activités de sécurité – La réalisation de tests d’intrusion est une pratique relativement établie, bien qu’elle se limite souvent à un test avant la mise en production d’une application stratégique 8www.vumetric.com
Quelques mythes très répandus…  Notre application est protégée par un pare-feu…  Notre application Web utilise le chiffrement SSL…  Notre application Web ne présente aucun intérêt pour les pirates…  Notre analyseur de vulnérabilité automatisé n'a rien identifié…  La sécurité de l’application Web est la responsabilité des intervenants de l’infrastructure TI…  Notre application Web est hébergée chez un fournisseur externe, la sécurité n’est pas notre responsabilité…  Un test d’intrusion annuel est suffisant… 9www.vumetric.com
Pourquoi effectuer des tests d’intrusion ?  Mesurer l’état de sécurité d’un système  Identifier la présence de vulnérabilités  Valider l’efficacité des contrôles de sécurité en place  Se conformer à certaines exigences (ex: PCI-DSS) 10www.vumetric.com
Quelques incidents… 11www.vumetric.com
Quelques incidents… 12www.vumetric.com
Quelques incidents… 13www.vumetric.com
Quelques incidents… 14www.vumetric.com
Quelques incidents… 15www.vumetric.com
Quelques incidents… 16www.vumetric.com
Exemples récents... 17www.vumetric.com
Quelques incidents… 18www.vumetric.com
Audit, analyse, tests d’intrusion ?  Quelles est la différence entre : – Balayage de vulnérabilité – Test d’intrusion – Revue de code – Audit de sécurité  Plusieurs utilisent ces termes de manière interchangeable  Au-delà de la sémantique, il existe des différences importantes 19www.vumetric.com
Audit, balayage, tests d’intrusion ?  Balayage de vulnérabilité (Scan) – Test exécuté par le biais d’un outil automatisé  Test d’intrusion – Test visant à compromettre la sécurité d’un système, combine l’utilisation d’outils automatisées et de tests manuels  Revue de code – Révision du code source d’une application afin d’identifier les vulnérabilités à la source  Audit de sécurité – Évaluation du niveau de sécurité d’un système face à un standard ou un référentiel externe 20www.vumetric.com
Approches de test  Black box – Test à l’aveugle, vise à simuler la perspective d’un attaquant ne possédant aucune information sur la cible  White box – Test avec partage d’information complet (documentation, code source, etc.)  Grey box – Approche mixte, partage d’information partiel, souvent incrémentielle… 21www.vumetric.com
Outils de balayages automatisés  ex: Nessus, AppScan, WebInspect, Acunetix, etc.  Couverture partielle des vulnérabilités – Entre 30% to 40% des failles – Ne tests pas les vulnérabilités situées au niveau de la logique d’affaires – Généralement moins efficace qu’un test d’intrusion  Présence potentielle d’un nombre élevé de faux positifs  Nécessite un encadrement rigoureux si exécuté en production 22www.vumetric.com
Tests de sécurité dans le cycle de développement 23www.vumetric.com
Principales phases de réalisation d’un test d’intrusion 1. Planification et préparation 2. Reconnaissance 3. Identification des vulnérabilités 4. Exploitation 5. Analyse des résultats et évaluation des risques 6. Rédaction du rapport 24www.vumetric.com
Quelques conseils...  Les tests de sécurité doivent faire partie intégrante du cycle de développement  Il faut prévoir les efforts (et les budgets) lors de la planification initiale du projet de développement  En fonction du projet, il faut considérer de cibler autant l’infrastructure, les systèmes que l’application  Effectuer des tests sur une base régulière ou lors d’étapes prédéfinies, ex : – Avant la mise en production – Lors de changements majeurs  Procéder par échantillonnage si nécessaire 25www.vumetric.com
Principaux risques  Impact sur la disponibilité et l’intégrité des systèmes et des données  Débordement des tests  Mauvaise couverture des tests, faux sentiment de sécurité  Présence de faux positifs  Perception négative des constats – Ex: suite à l’identification de vulnérabilités critiques  Aucun suivi des recommandations 26www.vumetric.com
Fournisseur externe: Questions à poser  Références de clients satisfaits œuvrant dans le même secteur que votre organisation ?  Font-ils une distinction entre une analyse de vulnérabilité et un test d’intrusion, les tests d'infrastructures réseau et d'applications ?  Expérience et certifications professionnelles reconnues ?  Possibilité d'obtenir un exemple de rapport ?  Politique concernant la confidentialité des informations ? 27www.vumetric.com
Certifications  SANS GIAC Web Application Penetration Testing (GWAPT)  ISC2 Certified Secure Software Lifecycle Professional (CSSLP)  SANS GIAC Certified Penetration Tester (GPEN)  Offensive Security Certified Professional (OSCP)  EC-Council Certified Ethical Hacker (CEH)  EC-Council Licensed Penetration Tester (LPT)  ISECOM OSSTMM Professional Security Tester (OPST) 28www.vumetric.com
Standards  OWASP Top 10 Most Critical Web Application Security Risks  OWASP Open Web Application Security Project Testing Guide  OWASP Software Assurance Maturity Model (SAMM)  OWASP Application Security Verification Standard (ASVS)  MITRE Common Weakness Enumeration (CWE)  MITRE Common Attack Pattern Enumeration and Classification (CAPEC) 29www.vumetric.com
Conclusion  Les tests de sécurité doivent être intégrés au sein du cycle de développement  À défaut de tout tester, il est nécessaire de déterminer les applications nécessitants une attention particulière en terme de sécurité  Possibilité de combiner les différents types de tests afin d’obtenir une couverture adéquate de la cible  Plus que tout, il est essentiel de former et de sensibiliser les développeurs aux enjeux de sécurité – Les ressources de l’OWASP sont la meilleure porte d’entrée – Considérer la participation au chapitre OWASP-Quebec ! 30www.vumetric.com
© 2017 Vumetric Inc. www.vumetric.com vumetric Merci de votre attention ! Patrick Chevalier CISSP, CISA, CSSLP, GIAC, CPTE pchevalier@vumetric.com 1-877-805-RISK

Recomendados

sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 

Recomendados

sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 

Más contenido relacionado

La actualidad más candente

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 

La actualidad más candente (20)

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
EBIOS
EBIOSEBIOS
EBIOS
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 

Similar a Test d’intrusion dans le cadre du cycle de développement (Vumetric)

Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by ExaprobeExaprobe
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 

Similar a Test d’intrusion dans le cadre du cycle de développement (Vumetric) (20)

Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 

Test d’intrusion dans le cadre du cycle de développement (Vumetric)

  • 1. www.vumetric.com© 2017 Vumetric Inc. JOURNÉE SUR LA SÉCURITÉ APPLICATIVE (ISACA / UNIVERSITÉ LAVAL) LES TESTS D’INTRUSION DANS LE CADRE DU CYCLE DE DÉVELOPPEMENT APPLICATIF Présenté par Patrick Chevalier CISSP, CISA, CSSLP, GIAC, CPTE, CEH Associé, conseiller principal pchevalier@vumetric.com 30 NOVEMBRE 2017
  • 2. Qui suis-je ?  Patrick Chevalier, CISSP, CISA, CSSLP, GIAC  Conseiller principal @ Vumetric – Tests d’intrusion (1000+ projets) – Cybersécurité – R&D  ~20 ans d’experience en sécurité 2www.vumetric.com
  • 3. Agenda  Introduction et mise en contexte  Pourquoi effectuer des tests d’intrusion  Postionnement des tests dans le SDLC  Standards et certifications  Conclusion  Période de questions 3www.vumetric.com
  • 4. Sondage éclair !  Qui a déjà participé à des tests d’intrusion ? – À titre de testeur ou dans le cadre d’un projet de développement 4www.vumetric.com
  • 5. vumetric Réseau Serveurs Applications Web % des attaques % du montant Risques Budget sécurité 90% 25% 10% 75% "75% of All Attacks are Directed at the Web Application Layer” 5www.vumetric.com
  • 6. vumetric Peu de développeurs possèdent des connaissances en sécurité et inversement, peu de professionnels en sécurité possèdent des connaissances en développement… 6www.vumetric.com
  • 7. vumetric La sécurité applicative est malheureusement le talon d'Achille de plusieurs organisations… 7www.vumetric.com
  • 8. Pourquoi la sécurité applicative est-elle un enjeu d’actualité ?  Cause première – Les développeurs ne sont pas formés aux meilleures pratiques de développement sécuritaire – Les développeurs et gestionnaires sont rarement conscients des enjeux de sécurité – Les contrôles de sécurité réseau (pare-feu, IDS, etc.) ne protègent pas la couche applicative  État actuel – Il existe un fossé de communication entre la sécurité et le développement – Le contexte des projets de développement est souvent peu propice à l’intégration d’activités de sécurité – La réalisation de tests d’intrusion est une pratique relativement établie, bien qu’elle se limite souvent à un test avant la mise en production d’une application stratégique 8www.vumetric.com
  • 9. Quelques mythes très répandus…  Notre application est protégée par un pare-feu…  Notre application Web utilise le chiffrement SSL…  Notre application Web ne présente aucun intérêt pour les pirates…  Notre analyseur de vulnérabilité automatisé n'a rien identifié…  La sécurité de l’application Web est la responsabilité des intervenants de l’infrastructure TI…  Notre application Web est hébergée chez un fournisseur externe, la sécurité n’est pas notre responsabilité…  Un test d’intrusion annuel est suffisant… 9www.vumetric.com
  • 10. Pourquoi effectuer des tests d’intrusion ?  Mesurer l’état de sécurité d’un système  Identifier la présence de vulnérabilités  Valider l’efficacité des contrôles de sécurité en place  Se conformer à certaines exigences (ex: PCI-DSS) 10www.vumetric.com
  • 19. Audit, analyse, tests d’intrusion ?  Quelles est la différence entre : – Balayage de vulnérabilité – Test d’intrusion – Revue de code – Audit de sécurité  Plusieurs utilisent ces termes de manière interchangeable  Au-delà de la sémantique, il existe des différences importantes 19www.vumetric.com
  • 20. Audit, balayage, tests d’intrusion ?  Balayage de vulnérabilité (Scan) – Test exécuté par le biais d’un outil automatisé  Test d’intrusion – Test visant à compromettre la sécurité d’un système, combine l’utilisation d’outils automatisées et de tests manuels  Revue de code – Révision du code source d’une application afin d’identifier les vulnérabilités à la source  Audit de sécurité – Évaluation du niveau de sécurité d’un système face à un standard ou un référentiel externe 20www.vumetric.com
  • 21. Approches de test  Black box – Test à l’aveugle, vise à simuler la perspective d’un attaquant ne possédant aucune information sur la cible  White box – Test avec partage d’information complet (documentation, code source, etc.)  Grey box – Approche mixte, partage d’information partiel, souvent incrémentielle… 21www.vumetric.com
  • 22. Outils de balayages automatisés  ex: Nessus, AppScan, WebInspect, Acunetix, etc.  Couverture partielle des vulnérabilités – Entre 30% to 40% des failles – Ne tests pas les vulnérabilités situées au niveau de la logique d’affaires – Généralement moins efficace qu’un test d’intrusion  Présence potentielle d’un nombre élevé de faux positifs  Nécessite un encadrement rigoureux si exécuté en production 22www.vumetric.com
  • 23. Tests de sécurité dans le cycle de développement 23www.vumetric.com
  • 24. Principales phases de réalisation d’un test d’intrusion 1. Planification et préparation 2. Reconnaissance 3. Identification des vulnérabilités 4. Exploitation 5. Analyse des résultats et évaluation des risques 6. Rédaction du rapport 24www.vumetric.com
  • 25. Quelques conseils...  Les tests de sécurité doivent faire partie intégrante du cycle de développement  Il faut prévoir les efforts (et les budgets) lors de la planification initiale du projet de développement  En fonction du projet, il faut considérer de cibler autant l’infrastructure, les systèmes que l’application  Effectuer des tests sur une base régulière ou lors d’étapes prédéfinies, ex : – Avant la mise en production – Lors de changements majeurs  Procéder par échantillonnage si nécessaire 25www.vumetric.com
  • 26. Principaux risques  Impact sur la disponibilité et l’intégrité des systèmes et des données  Débordement des tests  Mauvaise couverture des tests, faux sentiment de sécurité  Présence de faux positifs  Perception négative des constats – Ex: suite à l’identification de vulnérabilités critiques  Aucun suivi des recommandations 26www.vumetric.com
  • 27. Fournisseur externe: Questions à poser  Références de clients satisfaits œuvrant dans le même secteur que votre organisation ?  Font-ils une distinction entre une analyse de vulnérabilité et un test d’intrusion, les tests d'infrastructures réseau et d'applications ?  Expérience et certifications professionnelles reconnues ?  Possibilité d'obtenir un exemple de rapport ?  Politique concernant la confidentialité des informations ? 27www.vumetric.com
  • 28. Certifications  SANS GIAC Web Application Penetration Testing (GWAPT)  ISC2 Certified Secure Software Lifecycle Professional (CSSLP)  SANS GIAC Certified Penetration Tester (GPEN)  Offensive Security Certified Professional (OSCP)  EC-Council Certified Ethical Hacker (CEH)  EC-Council Licensed Penetration Tester (LPT)  ISECOM OSSTMM Professional Security Tester (OPST) 28www.vumetric.com
  • 29. Standards  OWASP Top 10 Most Critical Web Application Security Risks  OWASP Open Web Application Security Project Testing Guide  OWASP Software Assurance Maturity Model (SAMM)  OWASP Application Security Verification Standard (ASVS)  MITRE Common Weakness Enumeration (CWE)  MITRE Common Attack Pattern Enumeration and Classification (CAPEC) 29www.vumetric.com
  • 30. Conclusion  Les tests de sécurité doivent être intégrés au sein du cycle de développement  À défaut de tout tester, il est nécessaire de déterminer les applications nécessitants une attention particulière en terme de sécurité  Possibilité de combiner les différents types de tests afin d’obtenir une couverture adéquate de la cible  Plus que tout, il est essentiel de former et de sensibiliser les développeurs aux enjeux de sécurité – Les ressources de l’OWASP sont la meilleure porte d’entrée – Considérer la participation au chapitre OWASP-Quebec ! 30www.vumetric.com
  • 31. © 2017 Vumetric Inc. www.vumetric.com vumetric Merci de votre attention ! Patrick Chevalier CISSP, CISA, CSSLP, GIAC, CPTE pchevalier@vumetric.com 1-877-805-RISK