Workshop 3<br />Externalisation des développements, cloudcomputing et SaaS. Quelles mesures pour réduire les risques à la ...
Bio<br />Antonio Fontes<br />6 ans d’expérience dans la sécurité logicielle et protection des données<br />Fondateur et Di...
Agenda<br />Revue d'actualité: le contexte, la menace<br />Théorie:<br />Cycle de développement d'une application web<br /...
contexte et menace...<br />
Etude de cas: SONY<br />5<br />
Etude de cas: SONY<br />6<br />77 millions d’utilisateurs<br />
Etude de cas: SONY<br />7<br />
Etude de cas: SONY<br />8<br />
Etude de cas: SONY<br />9<br />Détails de l'intrusion informatique auprès de Sony Entertainment Online (SOE)  (1er mai 201...
Etude de cas: Lastpass<br />10<br />Quelqu'uncomprend-ilcela au sein de votreorganisation?<br />
Etude de cas: SONY (2)<br />11<br />101 millions<br />
Etude de cas: Montreux Jazz<br />12<br />
Etude de cas: SONY (3)<br />13<br />23 mai 2011<br />
Etude de cas: SONY (3)<br />Source: neowin.net<br />14<br />
Etude de cas: SONY<br />Dédommagement aux 101 mio. d'utilisateurs:<br />1 an d'assurance "dommages vol d'identité" USD 1mi...
Etude de cas: SONY<br />Deux actions collectives (class action):<br />2 mai 2011 (E.U.)<br />Négligence: pas de chiffremen...
Etude de cas: SONY<br />Coût de l'intrusion:<br />Immédiat: USD 172mio.<br />Estimé, attendu: USD >1mia. (incl. actions ci...
SQL Injection?<br />https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project<br />18<br />
Etude de cas: Wordpress<br />19<br />
Etude de cas: Infomaniak<br />20<br />
Etude de cas: Infomaniak<br />21<br />
Etude de cas: Infomaniak<br />22<br />
Le contexte de l'organisation<br />Problématique externe:<br />Adoption croissante du « tout web »<br />Intérêt « hostile ...
Le contexte de l'organisation<br />Enjeux lors du développement:<br />Plusieurs dizaines de technologies web à gérer<br />...
Le contexte de l'organisation<br />Enjeux lors de l'externalisation:<br />Environnement technologique complexe, pour la ma...
Le contexte de l'organisation<br />Impacts les plus fréquents d'incidents "web":<br />Perte/Vol/Extorsion de données confi...
un peu de théorie<br />(mais pas trop, rassurez-vous!)<br />27<br />
Architecture web: base<br />28<br />
Architecture web: base<br />29<br />
Architecture web: hébergeur<br />30<br />
Architecture web: hébergeur<br />31<br />
Architecture web: cloud<br />32<br />
Architecture web: cloud<br />33<br />
Architecture web: cloud<br />34<br />
Architecture web: SaaS<br />35<br />
Architecture web: SaaS<br />36<br />
Développement externalisé<br />37<br />
le cycle de développement web<br />38<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opé...
Cycle de développement web<br />39<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérat...
Cycle de développement web<br />40<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérat...
 Besoin
 Spécifications techniques + fonctionnelles
 Code source
 Exécutables
 Application
 Docs / guides
 Incident
 Problème
 …
 Demande, besoin, idée</li></ul>ENTREE<br /><ul><li> Conception, architecture
 Codage
  Test unitaires
Test fonctionnel
 Test technique
 Doc
 Installation
 Intégration
 Vérification
 Traitement de bugs
 Etudes (faisabilité, opportunité)</li></ul>ACTIVITES<br /><ul><li> Spécifications techniques / fonctionnelles
 Plans qualité (+ tests)
 Code compilé / exécutable
 Rapport de tests unitaires
 Application
Recette
Upcoming SlideShare
Loading in...5
×

Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

1,446
-1

Published on

Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)

Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,446
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
31
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide
  • http://news.cnet.com/8301-31021_3-20057921-260.htmlhttp://dockets.justia.com/docket/california/candce/3:2011cv02063/240051/
  • http://news.cnet.com/8301-31021_3-20057921-260.htmlhttp://dockets.justia.com/docket/california/candce/3:2011cv02063/240051/
  • http://news.cnet.com/8301-31021_3-20057921-260.htmlhttp://dockets.justia.com/docket/california/candce/3:2011cv02063/240051/
  • 1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)
  • 1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)
  • 1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)
  • 1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)
  • Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

    1. 1. Workshop 3<br />Externalisation des développements, cloudcomputing et SaaS. Quelles mesures pour réduire les risques à la signature du contrat?<br />Antonio Fontes<br />le 27 mai 2011 à Genève<br />CrownePlaza Geneva<br />Symposium dédié à la Cybersécurité en Suisse<br />Rôle de l’Etat et les attentes des PME<br />1<br />
    2. 2. Bio<br />Antonio Fontes<br />6 ans d’expérience dans la sécurité logicielle et protection des données<br />Fondateur et Directeur de la société L7 SecuritéSàrl<br />Intervenant régulier HES-SO/HEIGVD – Sécurité web<br />Focus:<br />Menaces, risques, et contremesures dans les architectures et services web<br />Sécurité dans le cycle de développement logiciel<br />Etablissement du modèle de menace (threatmodeling) <br />Evaluation/vérification de la sécurité/conformité<br />Analyse de performance<br />OWASP:<br />OWASP Suisse: membre du Comité, coordinateur Romandie<br />OWASP Genève: chapter leader<br />2<br />
    3. 3. Agenda<br />Revue d'actualité: le contexte, la menace<br />Théorie:<br />Cycle de développement d'une application web<br />Architectures web<br />Opportunités pour l'organisation:<br />Externalisation d'un développement web<br />Déploiement de l'application sur un service Cloud<br />Location d'une application web (SaaS)<br />Outils à disposition des organisations<br />Clôture<br />3<br />
    4. 4. contexte et menace...<br />
    5. 5. Etude de cas: SONY<br />5<br />
    6. 6. Etude de cas: SONY<br />6<br />77 millions d’utilisateurs<br />
    7. 7. Etude de cas: SONY<br />7<br />
    8. 8. Etude de cas: SONY<br />8<br />
    9. 9. Etude de cas: SONY<br />9<br />Détails de l'intrusion informatique auprès de Sony Entertainment Online (SOE) (1er mai 2011)<br />Photo: Dave Oshry<br />
    10. 10. Etude de cas: Lastpass<br />10<br />Quelqu'uncomprend-ilcela au sein de votreorganisation?<br />
    11. 11. Etude de cas: SONY (2)<br />11<br />101 millions<br />
    12. 12. Etude de cas: Montreux Jazz<br />12<br />
    13. 13. Etude de cas: SONY (3)<br />13<br />23 mai 2011<br />
    14. 14. Etude de cas: SONY (3)<br />Source: neowin.net<br />14<br />
    15. 15. Etude de cas: SONY<br />Dédommagement aux 101 mio. d'utilisateurs:<br />1 an d'assurance "dommages vol d'identité" USD 1mio.$<br />1 an d'assurance "surveillance cartes"<br />30 jours de service offerts<br />2 jeux vidéo offerts<br />23 jours d'interruption de service<br />Taux de disponibilité: 93%<br />15<br />
    16. 16. Etude de cas: SONY<br />Deux actions collectives (class action):<br />2 mai 2011 (E.U.)<br />Négligence: pas de chiffrement de données, pas de pare-feux applicatifs, pas de notification aux clients<br />Non respect des garanties de service: interruption de plus d'une semaine<br />27 avril 2011 (Canada) <br />Dommage à la sphère privée <br />Des dommages pour le montant d'1 milliard de $ sont réclamés<br />16<br />
    17. 17. Etude de cas: SONY<br />Coût de l'intrusion:<br />Immédiat: USD 172mio.<br />Estimé, attendu: USD >1mia. (incl. actions civiles)<br />Profits attendus pour l'année fiscale 2011-2012 (avril): <br />USD 972mio.<br />17<br />
    18. 18. SQL Injection?<br />https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project<br />18<br />
    19. 19. Etude de cas: Wordpress<br />19<br />
    20. 20. Etude de cas: Infomaniak<br />20<br />
    21. 21. Etude de cas: Infomaniak<br />21<br />
    22. 22. Etude de cas: Infomaniak<br />22<br />
    23. 23. Le contexte de l'organisation<br />Problématique externe:<br />Adoption croissante du « tout web »<br />Intérêt « hostile » croissant dans les services en ligne<br />Population « malveillante » croissante<br />Le piratage/La sécurité des applications web est « simple » à comprendre/enseigner<br />Risque faible d’être rattrapé par les autorités / peu de barrières à l'entrée<br />23<br />
    24. 24. Le contexte de l'organisation<br />Enjeux lors du développement:<br />Plusieurs dizaines de technologies web à gérer<br />Équipes internes hétérogènes, pratiques diverses<br />Culture de l’urgence<br />Rotation du personnel, fuite du savoir-faire<br />Manque de sensibilisation aux risques des applications web<br />Méconnaissance du consensus des bonnes pratiques<br />24<br />
    25. 25. Le contexte de l'organisation<br />Enjeux lors de l'externalisation:<br />Environnement technologique complexe, pour la majorité des acteurs impliqués<br />Manque de connaissances quant aux risques des applications web et leurs contrôles associés<br />Manque de labels sur lesquels s'appuyer<br />Opacité générale des fournisseurs:<br />Terme "sécurité" galvaudé, souvent confondu avec "contrôle d'accès"<br />Le mythe "SSL"<br />25<br />
    26. 26. Le contexte de l'organisation<br />Impacts les plus fréquents d'incidents "web":<br />Perte/Vol/Extorsion de données confidentielles ou stratégiques<br />Réduction/paralysie de l'activité de l'organisation<br />Compromission des systèmes "internes"<br />Frais de rétablissement largement sous-estimés<br />26<br />
    27. 27. un peu de théorie<br />(mais pas trop, rassurez-vous!)<br />27<br />
    28. 28. Architecture web: base<br />28<br />
    29. 29. Architecture web: base<br />29<br />
    30. 30. Architecture web: hébergeur<br />30<br />
    31. 31. Architecture web: hébergeur<br />31<br />
    32. 32. Architecture web: cloud<br />32<br />
    33. 33. Architecture web: cloud<br />33<br />
    34. 34. Architecture web: cloud<br />34<br />
    35. 35. Architecture web: SaaS<br />35<br />
    36. 36. Architecture web: SaaS<br />36<br />
    37. 37. Développement externalisé<br />37<br />
    38. 38. le cycle de développement web<br />38<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />
    39. 39. Cycle de développement web<br />39<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />nyuhuhuu@flickr.com<br />
    40. 40. Cycle de développement web<br />40<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br /><ul><li> Etudes
    41. 41. Besoin
    42. 42. Spécifications techniques + fonctionnelles
    43. 43. Code source
    44. 44. Exécutables
    45. 45. Application
    46. 46. Docs / guides
    47. 47. Incident
    48. 48. Problème
    49. 49.
    50. 50. Demande, besoin, idée</li></ul>ENTREE<br /><ul><li> Conception, architecture
    51. 51. Codage
    52. 52. Test unitaires
    53. 53. Test fonctionnel
    54. 54. Test technique
    55. 55. Doc
    56. 56. Installation
    57. 57. Intégration
    58. 58. Vérification
    59. 59. Traitement de bugs
    60. 60. Etudes (faisabilité, opportunité)</li></ul>ACTIVITES<br /><ul><li> Spécifications techniques / fonctionnelles
    61. 61. Plans qualité (+ tests)
    62. 62. Code compilé / exécutable
    63. 63. Rapport de tests unitaires
    64. 64. Application
    65. 65. Recette
    66. 66. Docs / guides
    67. 67. Go en production
    68. 68. Application corrigée
    69. 69. Etudes
    70. 70. Décision: Go/nogo</li></ul>LIVRABLES<br />40<br />
    71. 71. Cycle de développement web<br />41<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />A chaque phase:<br /><ul><li> des enjeux spécifiques
    72. 72. des acteurs spécifiques
    73. 73. des livrables spécifiques
    74. 74. des risques spécifiques
    75. 75. des bonnes pratiques spécifiques
    76. 76. des contrôles spécifiques
    77. 77. etc.
    78. 78. Etudes
    79. 79. Besoin
    80. 80. Spécifications techniques + fonctionnelles
    81. 81. Code source
    82. 82. Exécutables
    83. 83. Application
    84. 84. Docs / guides
    85. 85. Incident
    86. 86. Problème
    87. 87.
    88. 88. Demande, besoin, idée</li></ul>ENTREE<br /><ul><li> Conception, architecture
    89. 89. Codage
    90. 90. Test unitaires
    91. 91. Test fonctionnel
    92. 92. Test technique
    93. 93. Doc
    94. 94. Installation
    95. 95. Intégration
    96. 96. Vérification
    97. 97. Traitement de bugs
    98. 98. Etudes (faisabilité, opportunité)</li></ul>ACTIVITES<br /><ul><li> Spécifications techniques / fonctionnelles
    99. 99. Plans qualité (+ tests)
    100. 100. Code compilé / exécutable
    101. 101. Rapport de tests unitaires
    102. 102. Application
    103. 103. Recette
    104. 104. Docs / guides
    105. 105. Go en production
    106. 106. Application corrigée
    107. 107. Etudes
    108. 108. Décision: Go/nogo</li></ul>LIVRABLES<br />41<br />
    109. 109. Opportunités pour l'organisation:<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Acroître la confiance "sécurité":<br /><ul><li> compréhension des enjeux
    110. 110. compétences
    111. 111. bonnes pratiques
    112. 112. contrôle
    113. 113. conformité</li></li></ul><li>opportunités pour l'organisation: <br />externalisation du développement web<br />43<br />
    114. 114. Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques:<br /><ul><li> rôle de la réglementation
    115. 115. rôle et enjeux pour l'organisation
    116. 116. mauvaise conception du produit</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures:<br /><ul><li> analyse des besoins
    117. 117. classification / impacts
    118. 118. conception sécurisée
    119. 119. revue de la conception</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques:<br /><ul><li> méconnaissance technologique
    120. 120. codage non sécurisé
    121. 121. sécurité non testée</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures :<br /><ul><li> Pratiques de codage sécurisé
    122. 122. Expertise technologique
    123. 123. Vérification de la sécurité</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques:<br /><ul><li> déploiement non sécurisé
    124. 124. pas de processus de réponse
    125. 125. absence d'indicateurs</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Vérification<br />Déploiement<br />Opérations<br />Codage<br />Mesures:<br /><ul><li> sécurité de l'environnement
    126. 126. processus de traitement des incidents
    127. 127. indicateurs de sécurité</li></li></ul><li>opportunités pour l'organisation: <br />hébergement de l'application et environnements cloud<br />50<br />
    128. 128. Opportunités: cloud<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques "cloud":<br /><ul><li> cycle de vie des données inconnu
    129. 129. guidance de déploiement sécurisé absente
    130. 130. incapacité de tester la sécurité
    131. 131. territorialité inconnue
    132. 132. cohabitation avec les autres clients?
    133. 133. traitement des incidents
    134. 134. …</li></li></ul><li>Opportunités: cloud<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures "cloud":<br /><ul><li> guidance de déploiement sécurisé
    135. 135. prise d'informations
    136. 136. contrat</li></ul>- Prise en compte des risques et mesures "web"<br />
    137. 137. opportunités pour l'organisation: <br />SaaS (location du service)<br />53<br />
    138. 138. Opportunités: SaaS<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques "SaaS":<br /><ul><li> Service présentant des vulnérabilités
    139. 139. Environnement mal protégé
    140. 140. Traitement des incidents de sécurité
    141. 141. Isolation entre clients
    142. 142. etc.  cloud?</li></li></ul><li>Opportunités: SaaS<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures "SaaS":<br /><ul><li> Prise d'informations
    143. 143. Contrat
    144. 144. Traitement des incidents de sécurité</li></li></ul><li>"Servez-vous!"outils à disposition des organisations<br />56<br />
    145. 145. OWASP<br />Open Web Application Security Project<br />https://www.owasp.org<br />Fondation à but non lucratif, ouverte et internationale<br />Projets OWASP<br />Sections OWASP (Local Chapters)<br />OWASP Suisse https://www.owasp.org/index.php/Switzerland<br />OWASP Genève https://www.owasp.org/index.php/Geneva<br />57<br />
    146. 146. Stratégie OWASP<br />58<br />Menace<br />Site web<br />Comité<br />Application Web<br />Web Application<br />Personnes<br />Sous-Comités<br />Processus<br />Sommet<br />Outils<br />Chapitres<br />Projets<br />Patrimoine<br />Conférences<br />Membres<br />
    147. 147. Projets OWASP: outils<br />59<br />https://www.owasp.org/index.php/Category:OWASP_Project<br />Analyser<br />Concevoir<br />Implémenter<br />Vérifier<br />Déployer<br />Répondre<br />AntiSAMMY<br />ModSecurity CRS<br />JBroFuzz<br />ESAPI<br />LiveCD<br />DirBuster<br />WebScarab<br />CSRFGuard<br />WebScarab<br />Encoding<br />Orizon<br />O2<br />Code Crawler<br />Zed Attack Proxy<br />Stinger<br />Academy portal, Broken Web applications, ESAPI Swingset, Webgoat<br />
    148. 148. Projets OWASP: référentiels<br />60<br />https://www.owasp.org/index.php/Category:OWASP_Project<br />Analyser<br />Concevoir<br />Implémenter<br />Vérifier<br />Déployer<br />Répondre<br />Development<br />Secure contract<br />Code Review<br />Code Review<br />Backend Security<br />Threat risk modeling<br />J2EE Security<br />Testing<br />Testing<br />Application security requirements<br />RoR Security<br />ASVS<br />.NET Security<br />AJAX Security<br />PHP Security<br />Secure coding practices<br />Academy, Appsec FAQ, Appsec metrics, Common Vuln. List, Education, Exams, Legal, OWASP Top 10<br />OWASP Top 10 Web applications security risks<br />
    149. 149. Top 10<br />Référentiel des 10 risques de sécurité majeurs sur les applications web<br />Utilisable comme base pour "négocier" les exigences minimales en matière de sécurité <br />61<br />https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project<br />
    150. 150. Secure Software ContractAnnex<br />Guide OWASP<br />Compagnon de route pour l'élaboration ou l'évaluation de contrats de services menant à des applications web mieux sécurisées<br />62<br />https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex<br />
    151. 151. Conclusion<br />L'externalisation de services liés aux applications web est une délégation.<br />Cette délégation doit inclure la mise à disposition de services protégeant le patrimoine de l'organisation.<br />Des outils sont mis à la disposition des organisations pour obtenir de la confiance, et de l'assurance.<br />La gouvernance reste nécessaire: ces mesures doivent implémenter une stratégie. <br />63<br />
    152. 152. Plus?<br />La dernière version de cette présentation sera prochainement disponible sur http://www.slideshare.net<br />Outils:<br />Top 10 web applications securityrisks (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex<br />Secure contractannex (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex<br />Cloud computing: Riskassessment (ENISA)http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment<br />64<br />
    153. 153. 65<br />Merci!<br />contact: antonio.fontes@l7securite.ch<br />
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×