• Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
332
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
14
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Document confidentiel - Advens® 2013www.advens.fr EPISODE 4 Sécurité des Applications : Sécurité des applications dans le Cloud Application Security Academy Saison 1
  • 2. Document confidentiel - Advens® 2013www.advens.fr 2 Introduction Sébastien GIORIA Consultant senior en Sécurité des SI Chapter Leader de l'OWASP pour la France sebastien.gioria@advens.fr @AppSecAcademy #AppSecAcademy Posez vos questions dans la fenêtre de chat Slides envoyés par email Vidéo Replay
  • 3. Document confidentiel - Advens® 2013www.advens.fr 3 Qui sommes-nous ? Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Nos différences • La valorisation de la fonction sécurité • Une approche métier s’appuyant sur des compétences sectorielles • Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » • Une approche pragmatique et des tableaux de bord actionnables • Une vision globale et indépendante des technologies Éléments clés • Créée en 2000 • CA 8 millions euros • 80 collaborateurs basés à Paris, Lille, Lyon • Plus de 300 clients actifs en France et à l’international • Organisme certificateur agréé par l’ARJEL (*) * Autorité de Régulation des Jeux En Ligne – www.arjel.fr
  • 4. Document confidentiel - Advens® 2013www.advens.fr 4 Application Security Academy – la Saison 1  Episode 1 : Une introduction à la Sécurité des Applications › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 2 : Sécurité des applications mobiles › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 3 : Protection des services en ligne › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 5 : Panorama des technologies de sécurisation Application Security Academy Saison 1
  • 5. Document confidentiel - Advens® 2013www.advens.fr 5 Cloud ?  Gartner évalue le marché du cloud public à environ 131 milliards de dollars (monde) pour 2013, 207 milliards en 2016  5 caractéristiques essentielles définissent le Cloud  Différents modèles d’infrastructure de cloud : › Public ; grand public › Privé ; dédié à une entreprise › Partagé ; mutualisé sur une communauté › Hybride; mixe d’un des précédents Réservoir de ressources Accès Réseaux rapide Facturation à l’usage Elasticité (redimensionnement facile) Accès au service par l’utilisateur à la demande
  • 6. Document confidentiel - Advens® 2013www.advens.fr 6  IaaS : Infrastructure As a Service  PaaS : Platform As A Service  SaaS : Software As A Service Différents modèles d’architecture de Cloud Matériel DataCenter Abstraction APIs MiddleWare Applications Données Présentation APIs Meta- Données Contenu PAAS IAAS SAAS Connectivité
  • 7. Document confidentiel - Advens® 2013www.advens.fr 7 Qui contrôle quoi ? Données Applications Machine Virtuelle Serveur Stockage Réseau Interne Données Applications Machine Virtuelle Serveur Stockage Hébergeur Données Applications Machine Virtuelle Serveur Stockage Réseau IaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau PaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau SaaS public L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Réseau
  • 8. Document confidentiel - Advens® 2013www.advens.fr 8 10 Risques sur le cloud Auditabilité et risques sur les données Gestion des identités Risques légaux Gestion de la continuité d’activité Usage des données non autorisées Sécurité du transfert de données Partage des ressources Analyse des incidents Sécurité de l’infrastructure Exposition des environnements de pré-production Source : © OWASP : OWASP Top10 Cloud Risks 2013
  • 9. Document confidentiel - Advens® 2013www.advens.fr 9 Gérér les risques sur les données • Mettre en place un processus d’audit des prestataires • Procédures de changement matériel • Tests d’intrusions • Audit globaux • Mettre en place du chiffrement des données sensibles • VPN de connexion • Sauvegardes chiffrées • Attention à la perte de la maitrise des données • Contractualiser l’usage • Procédures d’accès des administrateurs • Utilisation des données après fin du contrat Sécurité du transfert de données Partage des ressources Usage des données non autorisées Auditabilité et risques sur les données Exposition des environnements de pré-production
  • 10. Document confidentiel - Advens® 2013www.advens.fr 10 Gérer l’accès aux données  Vérifier la possibilité de délégation des identités  Mettre en place des processus de revue des identités  Vérifier les identités externes à l’organisation  Vérifier l’infrastructure : › Redondance des équipements Gestion des identités Continuité d’activité Sécurité de l’infrastructure
  • 11. Document confidentiel - Advens® 2013www.advens.fr 11 Conformité et risques légaux  Vérifier les lieux de détention des données › La CNIL n’autorise pas les données en dehors de France/Europe/Safe Harbor  Définir les mécanismes d’analyses des incidents applicatifs › Qui a accès à quoi › Qu’est-ce qui est tracé ? › Comment effectuer de l’analyse post-incident ?  Qui/Comment sont gérées les infrastructures ? › Sous-Traitants ? Qui y a accès ? Risques Légaux Analyse des incidents
  • 12. Document confidentiel - Advens® 2013www.advens.fr 12 Sécuriser l’IAAS - Une stratégie simple en 5 points 1. Une sélection rigoureuse du prestataire › Dispose de certifications (ISO 27, PCI-DSS, …) › Transparence sur les éléments fournis › Connectivité auditable 2. Une capacité applicative a toute épreuve › Scan de vulnérabilité possible › Intégration globale avec les plateformes logicielles › Mise a jour régulière et offre évolutive de logiciels 3. Une gestion de l’authentification correcte › Authentification multi-facteur › Intégration possible avec la politique et l’annuaire interne 4. Une gestion des opérations propre › Intégration des logs dans la stratégie globale de l’entreprise › Un monitoring complet et accessible 5. Un chiffrement des données › Chiffrement des disques › Chiffrement des SGBD › Chiffrement réseau › Chiffrement des sauvegardes
  • 13. Document confidentiel - Advens® 2013www.advens.fr 13 Sécuriser le PAAS  En plus des éléments de l’IAAS il convient de porter attention à : › Changer les éléments par défauts de configuration › Sécuriser l’accès à la plateforme (SSH/IPSec/TLS) › Sécuriser l’accès aux SGBD › Mettre en place des filtres(firewalls) des différents services › Mettre en place des mécanismes d’analyse de logs et de d’IPS › Mettre en place les bons patchs, régulièrement › Tester et auditer les applications.
  • 14. Document confidentiel - Advens® 2013www.advens.fr 14 Sécuriser le SAAS  En plus de la vision IAAS, il convient de pouvoir correctement : › Auditer le prestataire au niveau de la sécurité applicative − Scans de vulnérabilités/Tests d’intrusions › Disposer de la possibilité de sécuriser les interfaces d’administration (chiffrement, multi-facteur d’authentification) › Chiffrer les données sensibles sans le prestataire. › S’assurer d’avoir un environnement de test pour vérifier avant mise a jour › Disposer d’une possibilité de « refuser » les montées de version non validées › Disposer de solutions d’extractions des données sous forme standard (XML, CSV)
  • 15. Document confidentiel - Advens® 2013www.advens.fr 15 Et le développement sur le PAAS ?  Développer dans le cloud == développer sur un système web/WebServices  Quelques précautions sont nécessaires : › Utiliser les « WAF cloud » › Développer de manière sécurisé en portant attention : − Aux données sensibles − Aux interfaces d’administration − Aux bases d’authentification › Attention aux APIs propriétaires La confiance, n’exclut par le contrôle !
  • 16. Document confidentiel - Advens® 2013www.advens.fr 16 Sécurité des Applications dans le Cloud Gouvernance Conception Vérification Déploiement Par quoi commencer ? • Vérifier la localisation des données • Mettre en place un contrat de réversibilité • Chiffrer les données • Chiffrer la transmission des données • Tester la sécurité du prestataire • Analyser la connectivité du prestataire • Mettre en place un bouclier virtuel sur sur les applications
  • 17. Document confidentiel - Advens® 2013www.advens.fr 17 Questions / Réponses Posez vos questions dans la fenêtre de chat
  • 18. Document confidentiel - Advens® 2013www.advens.fr 18 Merci et à bientôt !  Episode 5 : Panorama des technologies de sécurisation Mardi 10 décembre à 11h. Application Security Academy Saison 1