SlideShare a Scribd company logo

Les tests de securite devops

Christophe Villeneuve
Christophe Villeneuve

Les tests de securite en DevOps dans un environnement de déploiement continue - Présentation effectuée à "Open Source Summit 2016" par Christophe Villeneuve La présentation montre qu'on n'échappe pas à la sécurité et qu'il faut anticiper cela

Internet
1 of 34
Download to read offline
Les tests de sécurité DevOps
Qui es tu ? Christophe Villeneuve
Ce qu'il vous attend... ● Aborder les tests de sécurité ● Mesurer votre qualité de sécurité Web ● Le DevOps de la sécurité avec vos outils Open Source
A l'abordage
L'importance des tests ● Pourquoi c'est utile ? ‐ Le code peut casse ‐ Changer le nom d'un fichier ‐ Pas le temps d'en faire ‐ C'est long manuellement ● Et l'intérêt… ‐ Coûte du temps au début ‐ En fait gagner ensuite ‐ Nécessite de la rigueur et de la constante
Les différents types de tests ● Tests unitaires ● Tests fonctionnels ● Tests intégrations ● Tests Automatisés ● Tests de charges ● Tests d'ergonomie ● Tests de sécurité
Humour : la sécurité Ca ne sert rien C'est de la vente forcée Ce n'est pas pour moi
Les menaces
Les risques ● Ne connaissent pas ‐ L'étendue des risques liés à la sécurité de leur site ● Significations du terme « piratage » ‐ voir définition Wikipedia ● Et surtout : ‐ Vol d'informations ‐ Usurpation d'identité ‐ Indisponibilité de service ‐ Défiguration de site ‐ Désinformation
La vie du hacker ● Des sites référencent ‐ Sur les failles ‐ Les alertes (veilles / R&D) ● Leurs métiers ● Des scanners ● ...
Les différents types d'attaques (1/2) ● Matériels ● Périphériques ● Smartphones
Les différents types d'attaques (2/2) ● Internet des Objets● Le web● Logiciels
Les mesures
CVE Security (1/3) ● Base de données des vulnérabilités (source d'informations) ● OS / Langages / CMS / Framework / Navigateurs...
CVE Security (2/3) ● Représentation annuelle
CVE Security (3/3)
Identifier les risques ● Systèmes trop verbeux ‐ DNS / Réseaux ● Système d'authentification faible ‐ SSH ● La gestion des droits ‐ Maillons faibles ● Les mots de passes systèmes ‐ Admin du poste / compte utilisateur ● Bases de données ‐ Stockage des informations sensibles ● Partage de fichiers ‐ Périphériques hardwaire ● Serveurs à l'abandon ● Vulnérabilités web ‐ Voir les rapports OWASP
Le mode parano ● Pour le service informatique ‐ Les tests de pénétration ● Tous les sites ‐ Les Firewall / Parefeu web ● Toutes les 3 à 4 semaines ‐ Analyser le code ● Toutes les 2 semaines
Analyse des freins... ● Temps d'installation ● Durée ● Temps d'analyse
DevOps / Outils
Quoi faire ? ● Un processus dans un déploiement continue ‐ En différentes petites étapes ● Exemple : Regardons les sites actuels ‐ Dans leur cycle de déploiement
Contrôle de sécurité (1/2) ● Intégrer les Risques IT ‐ Stratégie métier et modèle opérationnel à la cartographie ● Développer les synergies ‐ Des filières Risque, Contrôle, Sécurité et Continuité ● Adopter un modèle de protection ‐ Les secrets et données personnelles proportionné ● Industrialiser ‐ Un accompagnement de sécurité des projets métiers
Contrôle de sécurité (2/2) ● Stimuler ‐ La gestion des identités et des accès ● Outiller ‐ La détection et la réaction aux incidents ● Innover et soutenir les équipes projets ‐ Notamment dans la relation avec leurs multiples sous-traitants https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx
Déploiement continue Développement Serveur validation Serveur intégration Outils SCA Tâches répétitives - Analyse de code - Contrôle du code - Déclencheur Build Serveur Préprod Serveur production Tests de sécurité automatisé Report & Notification
Mise en place / procédure
Plan de sécurité ● Identifier les API et les frameworks ● Imprimez les portions du code de sécurité (mécanisme) ‐ Authentification ‐ Mot de passe ● Planifiez-le● Anticipez les problèmes réglementaires
Sensibiliser les développeurs ● Les rapports OWASP ‐ TOP 10 Web ‐ TOP 10 mobile ‐ TOP 10 IoT ● Analyser le code dans l'Intégration continue
Equiper les développeurs ● Utilisation des frameworks sécurisés et reconnus ‐ Spring Security, JAAS, Apache Shiro, Symfony2, Drupal... ● Le framework OWASP ‐ ESAPI ● Outils de Feedback sur la sécurité avant l'étape de validation ‐ Ex : librairie SCA dans un IDE ATTENTION : Librairies externes / anciennes
Automatisation ● Associé dans les outils de déploiement (Build) ‐ Jenkins, Bamboo, TeamCity, etc. ● Test de sécurité statiques de vos API ‐ (SAST = Static Application Security Testing) ‐ Top 10 Strategic Technology Trends ● Test dynamique de sécurité des applications ‐ (DAST = Dynamic Application Security Testing) Résultat faible Bloquer le processus
Outils de tests de sécurité automatisé ● Plateforme de tests d'intrusion ‐ Metasploit, Aircrack-ng ● Tests résistence d'un password ‐ John the ripper ● Audit de monitoring, réseaux sans fil ‐ Aircrack-ng ● Sniffer, analyseur protocoles réseau & applicatif ‐ Wireshark ● Scanner de ports, vulnérabilités ‐ Nmap ● Récupération mot de passe ‐ Cain & Abel ● Emulation Navigateur web ‐ Paros Proxy, charles proxy ● Capture de requêtes, proxy applicatif ‐ Zed Attack Proxy, Paros Proxy ● Audit des applications web ‐ Burp Suite, Wfuzz, spiderfoot, cerveau
Les tests en déploiement continue Développement Serveur validation Serveur intégration Outils SCA Tâches répétitives - Analyse de code - Contrôle du code - Déclencheur Build Serveur Préprod Serveur production Tests de sécurité automatisé Report & Notification
Au final ● La sécurité en DevOps, c'est maintenant ‐ Il est toujours temps de s'en préoccuper ● La sécurité ne doit pas être comprise ● Il ne faut pas accablé ● Commencer petit
Plus loin ● Outils SCA : https://www.owasp.org/index.php/Source_Code_Analysis_Tools ● OWASP : https://www.owasp.org ●
Merci @hellosct1

Recommended

L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToguest3be047
 
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008FAN Fully Automated Nagios
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedTECOS
 
Presentation Supervision 2008
Presentation Supervision 2008Presentation Supervision 2008
Presentation Supervision 2008LINAGORA
 
Bonnes pratiques pour réussir votre projet de supervision Nagios
Bonnes pratiques pour réussir votre projet de supervision NagiosBonnes pratiques pour réussir votre projet de supervision Nagios
Bonnes pratiques pour réussir votre projet de supervision Nagiosguest3be047
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 

Recommended

L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
CD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToCD d’auto-installation de Nagios, Centreon et NaReTo
CD d’auto-installation de Nagios, Centreon et NaReToguest3be047
 
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008
FAN, Fully Automated Nagios, Rencontres Mondiales du Logiciel Libre 2008FAN Fully Automated Nagios
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedTECOS
 
Presentation Supervision 2008
Presentation Supervision 2008Presentation Supervision 2008
Presentation Supervision 2008LINAGORA
 
Bonnes pratiques pour réussir votre projet de supervision Nagios
Bonnes pratiques pour réussir votre projet de supervision NagiosBonnes pratiques pour réussir votre projet de supervision Nagios
Bonnes pratiques pour réussir votre projet de supervision Nagiosguest3be047
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Certilience
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoFrederic Leger
 
OpenSSL
OpenSSLOpenSSL
OpenSSLSafwane Madjeri
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
sshGate
sshGatesshGate
sshGateLINAGORA
 
memoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagiosmemoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagiosabouaalexis
 
A tous les niveaux la securite
A tous les niveaux la securiteA tous les niveaux la securite
A tous les niveaux la securiteChristophe Villeneuve
 
Nagios 3
Nagios 3Nagios 3
Nagios 3Hassan Magribi
 
mimikatz @ sthack
mimikatz @ sthackmimikatz @ sthack
mimikatz @ sthackBenjamin Delpy
 
Vie privee et les outils mozilla
Vie privee et les outils mozillaVie privee et les outils mozilla
Vie privee et les outils mozillaChristophe Villeneuve
 
Drupal 7 : tour d'horizon des nouveautés
Drupal 7 : tour d'horizon des nouveautésDrupal 7 : tour d'horizon des nouveautés
Drupal 7 : tour d'horizon des nouveautésLINAGORA
 
Le web en http 2
Le web en http 2Le web en http 2
Le web en http 2Christophe Villeneuve
 
Securite vie privee sont dans un bateau
Securite vie privee sont dans un bateauSecurite vie privee sont dans un bateau
Securite vie privee sont dans un bateauChristophe Villeneuve
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009FAN Fully Automated Nagios
 
StHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxZakariyaa AIT ELMOUDEN
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Supervision
SupervisionSupervision
SupervisionSouhaib El
 
Apache mariadb php pour un développement libre au RMLL 2015
Apache mariadb php pour un développement libre au RMLL 2015Apache mariadb php pour un développement libre au RMLL 2015
Apache mariadb php pour un développement libre au RMLL 2015Christophe Villeneuve
 
Phpotes #1 - 10.09.13
Phpotes #1 - 10.09.13Phpotes #1 - 10.09.13
Phpotes #1 - 10.09.13AnDaolVras
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChristophe Villeneuve
 
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...Christian Schneider
 

More Related Content

What's hot

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Certilience
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoFrederic Leger
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
memoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagiosmemoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagiosabouaalexis
 
Drupal 7 : tour d'horizon des nouveautés
Drupal 7 : tour d'horizon des nouveautésDrupal 7 : tour d'horizon des nouveautés
Drupal 7 : tour d'horizon des nouveautésLINAGORA
 
Securite vie privee sont dans un bateau
Securite vie privee sont dans un bateauSecurite vie privee sont dans un bateau
Securite vie privee sont dans un bateauChristophe Villeneuve
 
StHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxZakariyaa AIT ELMOUDEN
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Apache mariadb php pour un développement libre au RMLL 2015
Apache mariadb php pour un développement libre au RMLL 2015Apache mariadb php pour un développement libre au RMLL 2015
Apache mariadb php pour un développement libre au RMLL 2015Christophe Villeneuve
 
Phpotes #1 - 10.09.13
Phpotes #1 - 10.09.13Phpotes #1 - 10.09.13
Phpotes #1 - 10.09.13AnDaolVras
 

What's hot (20)

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falco
 
OpenSSL
OpenSSLOpenSSL
OpenSSL
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open Source
 
sshGate
sshGatesshGate
sshGate
 
memoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagiosmemoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagios
 
A tous les niveaux la securite
A tous les niveaux la securiteA tous les niveaux la securite
A tous les niveaux la securite
 
Nagios 3
Nagios 3Nagios 3
Nagios 3
 
mimikatz @ sthack
mimikatz @ sthackmimikatz @ sthack
mimikatz @ sthack
 
Vie privee et les outils mozilla
Vie privee et les outils mozillaVie privee et les outils mozilla
Vie privee et les outils mozilla
 
Drupal 7 : tour d'horizon des nouveautés
Drupal 7 : tour d'horizon des nouveautésDrupal 7 : tour d'horizon des nouveautés
Drupal 7 : tour d'horizon des nouveautés
 
Le web en http 2
Le web en http 2Le web en http 2
Le web en http 2
 
Securite vie privee sont dans un bateau
Securite vie privee sont dans un bateauSecurite vie privee sont dans un bateau
Securite vie privee sont dans un bateau
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009
 
StHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy MimikatzStHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
StHack 2014 - Benjamin "@gentilkiwi" Delpy Mimikatz
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Supervision
SupervisionSupervision
Supervision
 
Apache mariadb php pour un développement libre au RMLL 2015
Apache mariadb php pour un développement libre au RMLL 2015Apache mariadb php pour un développement libre au RMLL 2015
Apache mariadb php pour un développement libre au RMLL 2015
 
Phpotes #1 - 10.09.13
Phpotes #1 - 10.09.13Phpotes #1 - 10.09.13
Phpotes #1 - 10.09.13
 

Viewers also liked

Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...Christian Schneider
 
Les réseaux Informatiques
Les réseaux InformatiquesLes réseaux Informatiques
Les réseaux InformatiquesKayl Mido
 
A la découverte de l'univers des échecs
A la découverte de l'univers des échecsA la découverte de l'univers des échecs
A la découverte de l'univers des échecsEchecs et Stratégie
 
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Arnold Stellio
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
Drupal avancé, un CMS pour développeurs - drupalfr - Eyrolles
Drupal avancé, un CMS pour développeurs - drupalfr - EyrollesDrupal avancé, un CMS pour développeurs - drupalfr - Eyrolles
Drupal avancé, un CMS pour développeurs - drupalfr - EyrollesChristophe Villeneuve
 
RGAA 3 dans un Web Accessible
RGAA 3 dans un Web AccessibleRGAA 3 dans un Web Accessible
RGAA 3 dans un Web Accessibleneuros
 
DevOps illustré : la jungle de la configuration d'une application
DevOps illustré : la jungle de la configuration d'une applicationDevOps illustré : la jungle de la configuration d'une application
DevOps illustré : la jungle de la configuration d'une applicationgdigugli
 
Php 7 Think php7
Php 7 Think php7Php 7 Think php7
Php 7 Think php7neuros
 
Livre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeursLivre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeursneuros
 
Veille et intelligence économique - 1/4 approche pratique
Veille et intelligence économique - 1/4 approche pratiqueVeille et intelligence économique - 1/4 approche pratique
Veille et intelligence économique - 1/4 approche pratiquePaulilh
 
Présentation PFE: réalisation d'un système de navigation indoor sur Android
Présentation PFE: réalisation d'un système de navigation indoor sur AndroidPrésentation PFE: réalisation d'un système de navigation indoor sur Android
Présentation PFE: réalisation d'un système de navigation indoor sur AndroidMouna Baccouch
 
Le monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big DataLe monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big DataClaude Falguiere
 
Secured Mobile Application Development in Android, Blackberry & iOS
Secured Mobile Application Development in Android, Blackberry & iOSSecured Mobile Application Development in Android, Blackberry & iOS
Secured Mobile Application Development in Android, Blackberry & iOSAppin Delhi
 
Intelligence économique et stratégie des entreprises rapport martre 1994
Intelligence économique et stratégie des entreprises rapport martre 1994Intelligence économique et stratégie des entreprises rapport martre 1994
Intelligence économique et stratégie des entreprises rapport martre 1994benj_2
 
[PFE] Master en ingénierie du logiciel
[PFE] Master en ingénierie du logiciel[PFE] Master en ingénierie du logiciel
[PFE] Master en ingénierie du logicielUSTHB & DELTALOG
 

Viewers also liked (20)

Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDB
 
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...
Security DevOps - Free pentesters' time to focus on high-hanging fruits // Ha...
 
Les réseaux Informatiques
Les réseaux InformatiquesLes réseaux Informatiques
Les réseaux Informatiques
 
A la découverte de l'univers des échecs
A la découverte de l'univers des échecsA la découverte de l'univers des échecs
A la découverte de l'univers des échecs
 
Cours de tactique aux echecs
Cours de tactique aux echecsCours de tactique aux echecs
Cours de tactique aux echecs
 
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
Memoire de fin d'études pour le diplome de Chef de Projet Informatique et Rés...
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Drupal avancé, un CMS pour développeurs - drupalfr - Eyrolles
Drupal avancé, un CMS pour développeurs - drupalfr - EyrollesDrupal avancé, un CMS pour développeurs - drupalfr - Eyrolles
Drupal avancé, un CMS pour développeurs - drupalfr - Eyrolles
 
Support JEE Spring Inversion de Controle IOC et Spring MVC
Support JEE Spring Inversion de Controle IOC et Spring MVCSupport JEE Spring Inversion de Controle IOC et Spring MVC
Support JEE Spring Inversion de Controle IOC et Spring MVC
 
RGAA 3 dans un Web Accessible
RGAA 3 dans un Web AccessibleRGAA 3 dans un Web Accessible
RGAA 3 dans un Web Accessible
 
DevOps illustré : la jungle de la configuration d'une application
DevOps illustré : la jungle de la configuration d'une applicationDevOps illustré : la jungle de la configuration d'une application
DevOps illustré : la jungle de la configuration d'une application
 
Php 7 Think php7
Php 7 Think php7Php 7 Think php7
Php 7 Think php7
 
Livre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeursLivre Drupal avance, un CMS pour développeurs
Livre Drupal avance, un CMS pour développeurs
 
Veille et intelligence économique - 1/4 approche pratique
Veille et intelligence économique - 1/4 approche pratiqueVeille et intelligence économique - 1/4 approche pratique
Veille et intelligence économique - 1/4 approche pratique
 
Présentation PFE: réalisation d'un système de navigation indoor sur Android
Présentation PFE: réalisation d'un système de navigation indoor sur AndroidPrésentation PFE: réalisation d'un système de navigation indoor sur Android
Présentation PFE: réalisation d'un système de navigation indoor sur Android
 
NoSQL et Big Data
NoSQL et Big DataNoSQL et Big Data
NoSQL et Big Data
 
Le monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big DataLe monitoring à l'heure de DevOps et Big Data
Le monitoring à l'heure de DevOps et Big Data
 
Secured Mobile Application Development in Android, Blackberry & iOS
Secured Mobile Application Development in Android, Blackberry & iOSSecured Mobile Application Development in Android, Blackberry & iOS
Secured Mobile Application Development in Android, Blackberry & iOS
 
Intelligence économique et stratégie des entreprises rapport martre 1994
Intelligence économique et stratégie des entreprises rapport martre 1994Intelligence économique et stratégie des entreprises rapport martre 1994
Intelligence économique et stratégie des entreprises rapport martre 1994
 
[PFE] Master en ingénierie du logiciel
[PFE] Master en ingénierie du logiciel[PFE] Master en ingénierie du logiciel
[PFE] Master en ingénierie du logiciel
 

Similar to Les tests de securite devops

Enib cours c.a.i. web - séance #6 : autour de la webapp
Enib cours c.a.i. web - séance #6 : autour de la webappEnib cours c.a.i. web - séance #6 : autour de la webapp
Enib cours c.a.i. web - séance #6 : autour de la webappHoracio Gonzalez
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement MicrosoftChristophe HERAL
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015Julien Vq
 
Industrialisation des développements logiciels
Industrialisation des développements logicielsIndustrialisation des développements logiciels
Industrialisation des développements logicielsSylvain Leroy
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continuneuros
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Automatisation des tests - objectifs et concepts - partie 2
Automatisation des tests - objectifs et concepts - partie 2Automatisation des tests - objectifs et concepts - partie 2
Automatisation des tests - objectifs et concepts - partie 2Christophe Rochefolle
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmTelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmMarc Hage Chahine
 
mise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfishmise en pratique de l'outil Skipfish
mise en pratique de l'outil SkipfishMounia EL
 
La relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiquesLa relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiquesEric SIBER
 
Saas Libre
Saas LibreSaas Libre
Saas Libregrolland
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel EverteamEverteam
 
Industrialisez vos projets Php
Industrialisez vos projets Php Industrialisez vos projets Php
Industrialisez vos projets Php ALTER WAY
 

Similar to Les tests de securite devops (20)

Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécurité
 
Enib cours c.a.i. web - séance #6 : autour de la webapp
Enib cours c.a.i. web - séance #6 : autour de la webappEnib cours c.a.i. web - séance #6 : autour de la webapp
Enib cours c.a.i. web - séance #6 : autour de la webapp
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
 
Valider par des tests - Blend
Valider par des tests - BlendValider par des tests - Blend
Valider par des tests - Blend
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
 
Industrialisation des développements logiciels
Industrialisation des développements logicielsIndustrialisation des développements logiciels
Industrialisation des développements logiciels
 
Cerberus Testing
Cerberus TestingCerberus Testing
Cerberus Testing
 
Integrons en mode continu
Integrons en mode continuIntegrons en mode continu
Integrons en mode continu
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Usine Logicielle 2013
Usine Logicielle 2013Usine Logicielle 2013
Usine Logicielle 2013
 
Automatisation des tests - objectifs et concepts - partie 2
Automatisation des tests - objectifs et concepts - partie 2Automatisation des tests - objectifs et concepts - partie 2
Automatisation des tests - objectifs et concepts - partie 2
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmTelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
 
mise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfishmise en pratique de l'outil Skipfish
mise en pratique de l'outil Skipfish
 
La relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiquesLa relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiques
 
Saas Libre
Saas LibreSaas Libre
Saas Libre
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
 
Industrialisez vos projets Php
Industrialisez vos projets Php Industrialisez vos projets Php
Industrialisez vos projets Php
 

More from Christophe Villeneuve

La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxChristophe Villeneuve
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webChristophe Villeneuve
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteChristophe Villeneuve
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Christophe Villeneuve
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activitesChristophe Villeneuve
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftChristophe Villeneuve
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthnChristophe Villeneuve
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueChristophe Villeneuve
 
La réalité mélangée dans vos applications
La réalité mélangée dans vos applicationsLa réalité mélangée dans vos applications
La réalité mélangée dans vos applicationsChristophe Villeneuve
 

More from Christophe Villeneuve (20)

MariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQLMariaDB une base de donnees NewSQL
MariaDB une base de donnees NewSQL
 
La boîte à outils de développements dans Firefox
La boîte à outils de développements dans FirefoxLa boîte à outils de développements dans Firefox
La boîte à outils de développements dans Firefox
 
pister les pisteurs
pister les pisteurspister les pisteurs
pister les pisteurs
 
controler vos donnees éthiques dans le web
controler vos donnees éthiques dans le webcontroler vos donnees éthiques dans le web
controler vos donnees éthiques dans le web
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
Mariadb une base de données NewSQL
Mariadb une base de données NewSQLMariadb une base de données NewSQL
Mariadb une base de données NewSQL
 
Open Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnanteOpen Source et contribution : Une association gagnante
Open Source et contribution : Une association gagnante
 
Pentest bus pirate
Pentest bus piratePentest bus pirate
Pentest bus pirate
 
Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?Peur de la migration vers l’open source ?
Peur de la migration vers l’open source ?
 
Foxfooding semaine 3
Foxfooding semaine 3Foxfooding semaine 3
Foxfooding semaine 3
 
Foxfooding
FoxfoodingFoxfooding
Foxfooding
 
Accessibilite web wcag rgaa
Accessibilite web wcag rgaaAccessibilite web wcag rgaa
Accessibilite web wcag rgaa
 
Mozilla french speaking community activites
Mozilla french speaking community activitesMozilla french speaking community activites
Mozilla french speaking community activites
 
Monitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et MicrosoftMonitoring dynamique : Grafana et Microsoft
Monitoring dynamique : Grafana et Microsoft
 
Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?Etes vous-pret pour php8 ?
Etes vous-pret pour php8 ?
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthn
 
Send large files with addons
Send large files with addonsSend large files with addons
Send large files with addons
 
Tests d'accessibilite par la pratique
Tests d'accessibilite par la pratiqueTests d'accessibilite par la pratique
Tests d'accessibilite par la pratique
 
Donnez la voix aux machines
Donnez la voix aux machinesDonnez la voix aux machines
Donnez la voix aux machines
 
La réalité mélangée dans vos applications
La réalité mélangée dans vos applicationsLa réalité mélangée dans vos applications
La réalité mélangée dans vos applications
 

Les tests de securite devops

  • 1. Les tests de sécurité DevOps
  • 3. Ce qu'il vous attend... ● Aborder les tests de sécurité ● Mesurer votre qualité de sécurité Web ● Le DevOps de la sécurité avec vos outils Open Source
  • 5. L'importance des tests ● Pourquoi c'est utile ? ‐ Le code peut casse ‐ Changer le nom d'un fichier ‐ Pas le temps d'en faire ‐ C'est long manuellement ● Et l'intérêt… ‐ Coûte du temps au début ‐ En fait gagner ensuite ‐ Nécessite de la rigueur et de la constante
  • 6. Les différents types de tests ● Tests unitaires ● Tests fonctionnels ● Tests intégrations ● Tests Automatisés ● Tests de charges ● Tests d'ergonomie ● Tests de sécurité
  • 7. Humour : la sécurité Ca ne sert rien C'est de la vente forcée Ce n'est pas pour moi
  • 9. Les risques ● Ne connaissent pas ‐ L'étendue des risques liés à la sécurité de leur site ● Significations du terme « piratage » ‐ voir définition Wikipedia ● Et surtout : ‐ Vol d'informations ‐ Usurpation d'identité ‐ Indisponibilité de service ‐ Défiguration de site ‐ Désinformation
  • 10. La vie du hacker ● Des sites référencent ‐ Sur les failles ‐ Les alertes (veilles / R&D) ● Leurs métiers ● Des scanners ● ...
  • 11. Les différents types d'attaques (1/2) ● Matériels ● Périphériques ● Smartphones
  • 12. Les différents types d'attaques (2/2) ● Internet des Objets● Le web● Logiciels
  • 14. CVE Security (1/3) ● Base de données des vulnérabilités (source d'informations) ● OS / Langages / CMS / Framework / Navigateurs...
  • 15. CVE Security (2/3) ● Représentation annuelle
  • 17. Identifier les risques ● Systèmes trop verbeux ‐ DNS / Réseaux ● Système d'authentification faible ‐ SSH ● La gestion des droits ‐ Maillons faibles ● Les mots de passes systèmes ‐ Admin du poste / compte utilisateur ● Bases de données ‐ Stockage des informations sensibles ● Partage de fichiers ‐ Périphériques hardwaire ● Serveurs à l'abandon ● Vulnérabilités web ‐ Voir les rapports OWASP
  • 18. Le mode parano ● Pour le service informatique ‐ Les tests de pénétration ● Tous les sites ‐ Les Firewall / Parefeu web ● Toutes les 3 à 4 semaines ‐ Analyser le code ● Toutes les 2 semaines
  • 19. Analyse des freins... ● Temps d'installation ● Durée ● Temps d'analyse
  • 21. Quoi faire ? ● Un processus dans un déploiement continue ‐ En différentes petites étapes ● Exemple : Regardons les sites actuels ‐ Dans leur cycle de déploiement
  • 22. Contrôle de sécurité (1/2) ● Intégrer les Risques IT ‐ Stratégie métier et modèle opérationnel à la cartographie ● Développer les synergies ‐ Des filières Risque, Contrôle, Sécurité et Continuité ● Adopter un modèle de protection ‐ Les secrets et données personnelles proportionné ● Industrialiser ‐ Un accompagnement de sécurité des projets métiers
  • 23. Contrôle de sécurité (2/2) ● Stimuler ‐ La gestion des identités et des accès ● Outiller ‐ La détection et la réaction aux incidents ● Innover et soutenir les équipes projets ‐ Notamment dans la relation avec leurs multiples sous-traitants https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx
  • 24. Déploiement continue Développement Serveur validation Serveur intégration Outils SCA Tâches répétitives - Analyse de code - Contrôle du code - Déclencheur Build Serveur Préprod Serveur production Tests de sécurité automatisé Report & Notification
  • 25. Mise en place / procédure
  • 26. Plan de sécurité ● Identifier les API et les frameworks ● Imprimez les portions du code de sécurité (mécanisme) ‐ Authentification ‐ Mot de passe ● Planifiez-le● Anticipez les problèmes réglementaires
  • 27. Sensibiliser les développeurs ● Les rapports OWASP ‐ TOP 10 Web ‐ TOP 10 mobile ‐ TOP 10 IoT ● Analyser le code dans l'Intégration continue
  • 28. Equiper les développeurs ● Utilisation des frameworks sécurisés et reconnus ‐ Spring Security, JAAS, Apache Shiro, Symfony2, Drupal... ● Le framework OWASP ‐ ESAPI ● Outils de Feedback sur la sécurité avant l'étape de validation ‐ Ex : librairie SCA dans un IDE ATTENTION : Librairies externes / anciennes
  • 29. Automatisation ● Associé dans les outils de déploiement (Build) ‐ Jenkins, Bamboo, TeamCity, etc. ● Test de sécurité statiques de vos API ‐ (SAST = Static Application Security Testing) ‐ Top 10 Strategic Technology Trends ● Test dynamique de sécurité des applications ‐ (DAST = Dynamic Application Security Testing) Résultat faible Bloquer le processus
  • 30. Outils de tests de sécurité automatisé ● Plateforme de tests d'intrusion ‐ Metasploit, Aircrack-ng ● Tests résistence d'un password ‐ John the ripper ● Audit de monitoring, réseaux sans fil ‐ Aircrack-ng ● Sniffer, analyseur protocoles réseau & applicatif ‐ Wireshark ● Scanner de ports, vulnérabilités ‐ Nmap ● Récupération mot de passe ‐ Cain & Abel ● Emulation Navigateur web ‐ Paros Proxy, charles proxy ● Capture de requêtes, proxy applicatif ‐ Zed Attack Proxy, Paros Proxy ● Audit des applications web ‐ Burp Suite, Wfuzz, spiderfoot, cerveau
  • 31. Les tests en déploiement continue Développement Serveur validation Serveur intégration Outils SCA Tâches répétitives - Analyse de code - Contrôle du code - Déclencheur Build Serveur Préprod Serveur production Tests de sécurité automatisé Report & Notification
  • 32. Au final ● La sécurité en DevOps, c'est maintenant ‐ Il est toujours temps de s'en préoccuper ● La sécurité ne doit pas être comprise ● Il ne faut pas accablé ● Commencer petit
  • 33. Plus loin ● Outils SCA : https://www.owasp.org/index.php/Source_Code_Analysis_Tools ● OWASP : https://www.owasp.org ●