Your SlideShare is downloading. ×
0
Document confidentiel - Advens® 2013www.advens.fr
EPISODE 4
Sécurité des Applications :
Sécurité des applications dans le ...
Document confidentiel - Advens® 2013www.advens.fr 2
Introduction
Sébastien GIORIA
Consultant senior en Sécurité des SI
Cha...
Document confidentiel - Advens® 2013www.advens.fr 3
Qui sommes-nous ?
Depuis plus de dix ans, nous aidons les organisation...
Document confidentiel - Advens® 2013www.advens.fr 4
Application Security Academy – la Saison 1
 Episode 1 : Une introduct...
Document confidentiel - Advens® 2013www.advens.fr 5
Cloud ?
 Gartner évalue le marché du cloud public à environ 131 milli...
Document confidentiel - Advens® 2013www.advens.fr 6
 IaaS : Infrastructure As a Service
 PaaS : Platform As A Service
 ...
Document confidentiel - Advens® 2013www.advens.fr 7
Qui contrôle quoi ?
Données
Applications
Machine
Virtuelle
Serveur
Sto...
Document confidentiel - Advens® 2013www.advens.fr 8
10 Risques sur le cloud
Auditabilité et risques
sur les données
Gestio...
Document confidentiel - Advens® 2013www.advens.fr 9
Gérér les risques sur les données
• Mettre en place un processus d’aud...
Document confidentiel - Advens® 2013www.advens.fr 10
Gérer l’accès aux données
 Vérifier la possibilité de délégation des...
Document confidentiel - Advens® 2013www.advens.fr 11
Conformité et risques légaux
 Vérifier les lieux de détention des do...
Document confidentiel - Advens® 2013www.advens.fr 12
Sécuriser l’IAAS - Une stratégie simple en 5 points
1. Une sélection ...
Document confidentiel - Advens® 2013www.advens.fr 13
Sécuriser le PAAS
 En plus des éléments de l’IAAS il convient de por...
Document confidentiel - Advens® 2013www.advens.fr 14
Sécuriser le SAAS
 En plus de la vision IAAS, il convient de pouvoir...
Document confidentiel - Advens® 2013www.advens.fr 15
Et le développement sur le PAAS ?
 Développer dans le cloud == dével...
Document confidentiel - Advens® 2013www.advens.fr 16
Sécurité des
Applications dans le
Cloud
Gouvernance Conception Vérifi...
Document confidentiel - Advens® 2013www.advens.fr 17
Questions / Réponses
Posez vos questions dans
la fenêtre de chat
Document confidentiel - Advens® 2013www.advens.fr 18
Merci et à bientôt !
 Episode 5 :
Panorama des technologies de sécur...
Upcoming SlideShare
Loading in...5
×

Securite des Applications dans le Cloud

410

Published on

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
410
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Securite des Applications dans le Cloud"

  1. 1. Document confidentiel - Advens® 2013www.advens.fr EPISODE 4 Sécurité des Applications : Sécurité des applications dans le Cloud Application Security Academy Saison 1
  2. 2. Document confidentiel - Advens® 2013www.advens.fr 2 Introduction Sébastien GIORIA Consultant senior en Sécurité des SI Chapter Leader de l'OWASP pour la France sebastien.gioria@advens.fr @AppSecAcademy #AppSecAcademy Posez vos questions dans la fenêtre de chat Slides envoyés par email Vidéo Replay
  3. 3. Document confidentiel - Advens® 2013www.advens.fr 3 Qui sommes-nous ? Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Nos différences • La valorisation de la fonction sécurité • Une approche métier s’appuyant sur des compétences sectorielles • Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » • Une approche pragmatique et des tableaux de bord actionnables • Une vision globale et indépendante des technologies Éléments clés • Créée en 2000 • CA 8 millions euros • 80 collaborateurs basés à Paris, Lille, Lyon • Plus de 300 clients actifs en France et à l’international • Organisme certificateur agréé par l’ARJEL (*) * Autorité de Régulation des Jeux En Ligne – www.arjel.fr
  4. 4. Document confidentiel - Advens® 2013www.advens.fr 4 Application Security Academy – la Saison 1  Episode 1 : Une introduction à la Sécurité des Applications › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 2 : Sécurité des applications mobiles › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 3 : Protection des services en ligne › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 5 : Panorama des technologies de sécurisation Application Security Academy Saison 1
  5. 5. Document confidentiel - Advens® 2013www.advens.fr 5 Cloud ?  Gartner évalue le marché du cloud public à environ 131 milliards de dollars (monde) pour 2013, 207 milliards en 2016  5 caractéristiques essentielles définissent le Cloud  Différents modèles d’infrastructure de cloud : › Public ; grand public › Privé ; dédié à une entreprise › Partagé ; mutualisé sur une communauté › Hybride; mixe d’un des précédents Réservoir de ressources Accès Réseaux rapide Facturation à l’usage Elasticité (redimensionnement facile) Accès au service par l’utilisateur à la demande
  6. 6. Document confidentiel - Advens® 2013www.advens.fr 6  IaaS : Infrastructure As a Service  PaaS : Platform As A Service  SaaS : Software As A Service Différents modèles d’architecture de Cloud Matériel DataCenter Abstraction APIs MiddleWare Applications Données Présentation APIs Meta- Données Contenu PAAS IAAS SAAS Connectivité
  7. 7. Document confidentiel - Advens® 2013www.advens.fr 7 Qui contrôle quoi ? Données Applications Machine Virtuelle Serveur Stockage Réseau Interne Données Applications Machine Virtuelle Serveur Stockage Hébergeur Données Applications Machine Virtuelle Serveur Stockage Réseau IaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau PaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau SaaS public L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Réseau
  8. 8. Document confidentiel - Advens® 2013www.advens.fr 8 10 Risques sur le cloud Auditabilité et risques sur les données Gestion des identités Risques légaux Gestion de la continuité d’activité Usage des données non autorisées Sécurité du transfert de données Partage des ressources Analyse des incidents Sécurité de l’infrastructure Exposition des environnements de pré-production Source : © OWASP : OWASP Top10 Cloud Risks 2013
  9. 9. Document confidentiel - Advens® 2013www.advens.fr 9 Gérér les risques sur les données • Mettre en place un processus d’audit des prestataires • Procédures de changement matériel • Tests d’intrusions • Audit globaux • Mettre en place du chiffrement des données sensibles • VPN de connexion • Sauvegardes chiffrées • Attention à la perte de la maitrise des données • Contractualiser l’usage • Procédures d’accès des administrateurs • Utilisation des données après fin du contrat Sécurité du transfert de données Partage des ressources Usage des données non autorisées Auditabilité et risques sur les données Exposition des environnements de pré-production
  10. 10. Document confidentiel - Advens® 2013www.advens.fr 10 Gérer l’accès aux données  Vérifier la possibilité de délégation des identités  Mettre en place des processus de revue des identités  Vérifier les identités externes à l’organisation  Vérifier l’infrastructure : › Redondance des équipements Gestion des identités Continuité d’activité Sécurité de l’infrastructure
  11. 11. Document confidentiel - Advens® 2013www.advens.fr 11 Conformité et risques légaux  Vérifier les lieux de détention des données › La CNIL n’autorise pas les données en dehors de France/Europe/Safe Harbor  Définir les mécanismes d’analyses des incidents applicatifs › Qui a accès à quoi › Qu’est-ce qui est tracé ? › Comment effectuer de l’analyse post-incident ?  Qui/Comment sont gérées les infrastructures ? › Sous-Traitants ? Qui y a accès ? Risques Légaux Analyse des incidents
  12. 12. Document confidentiel - Advens® 2013www.advens.fr 12 Sécuriser l’IAAS - Une stratégie simple en 5 points 1. Une sélection rigoureuse du prestataire › Dispose de certifications (ISO 27, PCI-DSS, …) › Transparence sur les éléments fournis › Connectivité auditable 2. Une capacité applicative a toute épreuve › Scan de vulnérabilité possible › Intégration globale avec les plateformes logicielles › Mise a jour régulière et offre évolutive de logiciels 3. Une gestion de l’authentification correcte › Authentification multi-facteur › Intégration possible avec la politique et l’annuaire interne 4. Une gestion des opérations propre › Intégration des logs dans la stratégie globale de l’entreprise › Un monitoring complet et accessible 5. Un chiffrement des données › Chiffrement des disques › Chiffrement des SGBD › Chiffrement réseau › Chiffrement des sauvegardes
  13. 13. Document confidentiel - Advens® 2013www.advens.fr 13 Sécuriser le PAAS  En plus des éléments de l’IAAS il convient de porter attention à : › Changer les éléments par défauts de configuration › Sécuriser l’accès à la plateforme (SSH/IPSec/TLS) › Sécuriser l’accès aux SGBD › Mettre en place des filtres(firewalls) des différents services › Mettre en place des mécanismes d’analyse de logs et de d’IPS › Mettre en place les bons patchs, régulièrement › Tester et auditer les applications.
  14. 14. Document confidentiel - Advens® 2013www.advens.fr 14 Sécuriser le SAAS  En plus de la vision IAAS, il convient de pouvoir correctement : › Auditer le prestataire au niveau de la sécurité applicative − Scans de vulnérabilités/Tests d’intrusions › Disposer de la possibilité de sécuriser les interfaces d’administration (chiffrement, multi-facteur d’authentification) › Chiffrer les données sensibles sans le prestataire. › S’assurer d’avoir un environnement de test pour vérifier avant mise a jour › Disposer d’une possibilité de « refuser » les montées de version non validées › Disposer de solutions d’extractions des données sous forme standard (XML, CSV)
  15. 15. Document confidentiel - Advens® 2013www.advens.fr 15 Et le développement sur le PAAS ?  Développer dans le cloud == développer sur un système web/WebServices  Quelques précautions sont nécessaires : › Utiliser les « WAF cloud » › Développer de manière sécurisé en portant attention : − Aux données sensibles − Aux interfaces d’administration − Aux bases d’authentification › Attention aux APIs propriétaires La confiance, n’exclut par le contrôle !
  16. 16. Document confidentiel - Advens® 2013www.advens.fr 16 Sécurité des Applications dans le Cloud Gouvernance Conception Vérification Déploiement Par quoi commencer ? • Vérifier la localisation des données • Mettre en place un contrat de réversibilité • Chiffrer les données • Chiffrer la transmission des données • Tester la sécurité du prestataire • Analyser la connectivité du prestataire • Mettre en place un bouclier virtuel sur sur les applications
  17. 17. Document confidentiel - Advens® 2013www.advens.fr 17 Questions / Réponses Posez vos questions dans la fenêtre de chat
  18. 18. Document confidentiel - Advens® 2013www.advens.fr 18 Merci et à bientôt !  Episode 5 : Panorama des technologies de sécurisation Mardi 10 décembre à 11h. Application Security Academy Saison 1
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×