SlideShare a Scribd company logo

Waf, le bon outil, la bonne administration

Bee_Ware
Bee_Ware

Comment les évolutions architecturales des systèmes d’information influencent le positionnement et l’administration d’un pare-feu applicatif

Technology
1 of 30
Download to read offline
SÉCURITÉ APPLICATIVE Le bon outil, la bonne administration Jérôme CLAUZADE Product Management Director
A L’ORIGINE… + Le WAF a comblé une faiblesse des pare-feux réseau + On l’a déployé derrière eux + Les applications web étaient donc protégées de manière empirique + Malheureusement, c’est toujours le cas…
OÙ PLACER LE WAF ?
EN DMZ… OU PAS… + Nécessaire mais loin d’être suffisant car… + Un équipement en DMZ ne peut pas tout constater ni tout arrêter…
PRENONS L’EXEMPLE D’UN DOCUMENT XML CHIFFRÉ
UN RISQUE D’ATTAQUE + Le pare-feu réseau va faire son travail de filtrage de ports + Il n’est pas possible de laisser dans la DMZ les clefs privées nécessaires au déchiffrement du message XML + Le pare-feu applicatif situé en DMZ se retrouve donc dans l’incapacité total de faire son travail… + Il va donc transmettre en interne des messages qui sont potentiellement porteurs de contenus offensifs !
DÉPLOYER PLUSIEURS INSTANCES DU WAF + Il est nécessaire de passer par une deuxième instance du pare-feu applicatif, située en interne dans une zone protégée + Il sera alors possible de déployer les clefs de chiffrement en toute sécurité
CARTOGRAPHIE RESEAU APPLICATIVE + + + + Les murs en place ne sont pas assez hauts Les flux HTTP sont (souvent) cartographiés… … mais pas qualifiés … et rarement en interne accept SQL injection accept Command injection accept any HTTP based exploit…
CARTOGRAPHIE WEB SERVICES ?? + Il faut pouvoir analyser les documents + A l’intérieur des requêtes HTTP + … avec les ressources nécessaires Ressources = Connaissances + moyens techniques + moyens cryptographiques accept SQL injection accept Command injection accept any XML/JSON based exploit…
QUI EXPLOITE LE WAF ?
SÉCURITÉ APPLICATIVE ET PROCESS METIER
LES LIMITES DE L’ADMINISTRATION RÉSEAU + Historiquement, le pare-feu applicatif est à la charge de l’administrateur réseaux + Mais de nouvelles problématiques viennent agrandir son spectre fonctionnel + … Les limites de l’administrateur vont vite être atteintes !
LE CONSTAT + La sécurité applicative ne peut reposer sur : ✘1 produit ✘1 personne ✘1 endroit
?? ET DONC ?
Le pare-feu applicatif doit être capable d’intercepter et d’analyser tous les flux (internes, inter-applicatifs, mobiles, etc.)
Il faut donc un produit facilement administrable et facilement déployable
ET DONC…? + Bee Ware a conçu un mécanisme de déploiement automatisé, capable de piloter un grand nombre de machines + Point central de configuration + Gain de temps + Il est également possible de piloter l’ensemble des tâches (administration, supervision, configuration) grâce aux API
USUAL PRODUCTS + Plus on s’éloigne du réseau, plus le rôle de l’administrateur réseau diminue…
INTELLIGENCE APPLICATIVE >> 95% de l’intelligence du WAF est « applicative » Hémisphère Sécurité Détection d’intrusion Contrôle d’accès Audit de sécurité Disponibilité de service Etc. Hémisphère Applicatif Listes d’URL Journalisation Faux positifs Routage applicatif Etc. Zone réseau Déclaration d’IP
AU DELÀ DU PRODUIT + S’affranchir des contraintes matérielles • S’adapter à des infrastructures élastiques • Supporter les hyperviseurs du marché + Permettre le suivi de la consommation • Métriques d’allocation et d’utilisation des ressources • Gestion flottante des licences + Adapter le management de la solution • Autoriser le management centralisé ou dédié • Faciliter les audits
SÉCURITÉ APPLICATIVE ET PROCESS METIER + Les différentes entités auront à leur disposition un ensemble de services qui ne passera plus par l’administrateur réseau mais qui sera directement accessible dans le produit au travers d’API
EXEMPLES DE SERVICES
EXEMPLES DE SERVICES Je mets à jour l’application Je valide la conformité de ces nouvelles URL API Intégration des nouvelles URL dans la configuration Mise à jour de la configuration de sécurité et application de celle-ci Le WAF s’intègre dans les processus métier et non l’inverse
DU PRODUIT VERS LE SERVICE Fournir de multiples interfaces dédiées pour la configuration, la supervision, l’audit, etc. Chaque fonctionnalité doit être invocable comme un service, avec autorisation et trace Les clients ne doivent utiliser que ce dont ils ont besoin, et payer uniquement ce qu’ils sécurisent
POUR TOUTES LES ARCHITECTURES
AU PLUS TÔT + Le WAF peut jouer un rôle dès le développement des applications Exemple : OpenSAMM
EXEMPLE OPENSAMM Pourquoi ? + Identifier les risques applicatifs + Réduire la surface d’attaque + Optimiser le coût de la sécurité + Industrialiser la protection Environment Hardening Design Review
CONCLUSION L’évolution de la sécurité applicative passe par une refonte du rôle du WAF Le WAF n’est pas un module de pare-feu ou de répartiteur de charge La clé est l’adaptation aux processus métier C’est possible ! (Pensez API !)
CONTACTS Jérôme Clauzade Bee Ware jerome.clauzade@bee-ware.net 20 rue Billancourt 92100 Boulogne Billancourt Service commercial +33 (0)1 74 90 50 90 contact@bee-ware.net +33 (0) 1 74 90 50 96 sales@bee-ware.net
+ D’INFOS

Recommended

Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 

Recommended

Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FRITrust - Cybersecurity as a Service
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec ZabbixFourat Zouari
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingNoël
 

More Related Content

What's hot

Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec ZabbixFourat Zouari
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 

What's hot (20)

Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec Zabbix
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 

Viewers also liked

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingNoël
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Techdays 2013 (geek in da house - 2 (salah))
Techdays 2013 (geek in da house - 2 (salah))Techdays 2013 (geek in da house - 2 (salah))
Techdays 2013 (geek in da house - 2 (salah))proteus91
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueLaurent DAST
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nomNoël
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegardeNoël
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineZellagui Amine
 
06 04 arp
06 04 arp06 04 arp
06 04 arpNoël
 
06 03 route
06 03 route06 03 route
06 03 routeNoël
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfacesNoël
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec sslNoël
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedThomas Moegli
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logsNoël
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAMNoël
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur webNoël
 

Viewers also liked (20)

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et nating
 
Firewall
FirewallFirewall
Firewall
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
Techdays 2013 (geek in da house - 2 (salah))
Techdays 2013 (geek in da house - 2 (salah))Techdays 2013 (geek in da house - 2 (salah))
Techdays 2013 (geek in da house - 2 (salah))
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nom
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegarde
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
 
06 04 arp
06 04 arp06 04 arp
06 04 arp
 
06 03 route
06 03 route06 03 route
06 03 route
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfaces
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille Heartbleed
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logs
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAM
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
 

Similar to Waf, le bon outil, la bonne administration

What is Clever Cloud? [French version]
What is Clever Cloud? [French version]What is Clever Cloud? [French version]
What is Clever Cloud? [French version]Quentin Adam
 
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliancesWe620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliancesCERTyou Formation
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Oracle cloud-toolbox-vf
Oracle cloud-toolbox-vfOracle cloud-toolbox-vf
Oracle cloud-toolbox-vfANASYS
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?e-Xpert Solutions SA
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for BusinessNRC
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...UNIDEES Algérie
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 ABC Systemes
 
Wa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administrationWa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administrationCERTyou Formation
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility CenterNRC
 
Wallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilègesWallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilègesUNIDEES Algérie
 
Déploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIsDéploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIsNicolas Herbaut
 
2007-11-08~1801@L_INFORMATICIENHORS_SERIE
2007-11-08~1801@L_INFORMATICIENHORS_SERIE2007-11-08~1801@L_INFORMATICIENHORS_SERIE
2007-11-08~1801@L_INFORMATICIENHORS_SERIEArnaud Flotté-Dubarry
 

Similar to Waf, le bon outil, la bonne administration (20)

What is Clever Cloud? [French version]
What is Clever Cloud? [French version]What is Clever Cloud? [French version]
What is Clever Cloud? [French version]
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliancesWe620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Oracle cloud-toolbox-vf
Oracle cloud-toolbox-vfOracle cloud-toolbox-vf
Oracle cloud-toolbox-vf
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015
 
Wa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administrationWa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administration
 
Virtualization fr datasheet
Virtualization fr datasheetVirtualization fr datasheet
Virtualization fr datasheet
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
 
Wallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilègesWallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilèges
 
Déploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIsDéploiement, orchestration & sécurisation d’APIs
Déploiement, orchestration & sécurisation d’APIs
 
2007-11-08~1801@L_INFORMATICIENHORS_SERIE
2007-11-08~1801@L_INFORMATICIENHORS_SERIE2007-11-08~1801@L_INFORMATICIENHORS_SERIE
2007-11-08~1801@L_INFORMATICIENHORS_SERIE
 
Dev ops Monitoring
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
 

More from Bee_Ware

DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape reportBee_Ware
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challengesBee_Ware
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends studyBee_Ware
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance reportBee_Ware
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudBee_Ware
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBee_Ware
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Bee_Ware
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Bee_Ware
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to goBee_Ware
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAMBee_Ware
 
Websense security prediction 2014
Websense security prediction 2014Websense security prediction 2014
Websense security prediction 2014Bee_Ware
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéBee_Ware
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesBee_Ware
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security SurveyBee_Ware
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013Bee_Ware
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsBee_Ware
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Bee_Ware
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - FranceBee_Ware
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysisBee_Ware
 

More from Bee_Ware (20)

DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape report
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challenges
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance report
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - Kaspersky
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAM
 
Websense security prediction 2014
Websense security prediction 2014Websense security prediction 2014
Websense security prediction 2014
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santé
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security Survey
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cps
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - France
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis
 

Waf, le bon outil, la bonne administration

  • 1. SÉCURITÉ APPLICATIVE Le bon outil, la bonne administration Jérôme CLAUZADE Product Management Director
  • 2. A L’ORIGINE… + Le WAF a comblé une faiblesse des pare-feux réseau + On l’a déployé derrière eux + Les applications web étaient donc protégées de manière empirique + Malheureusement, c’est toujours le cas…
  • 4. EN DMZ… OU PAS… + Nécessaire mais loin d’être suffisant car… + Un équipement en DMZ ne peut pas tout constater ni tout arrêter…
  • 5. PRENONS L’EXEMPLE D’UN DOCUMENT XML CHIFFRÉ
  • 6. UN RISQUE D’ATTAQUE + Le pare-feu réseau va faire son travail de filtrage de ports + Il n’est pas possible de laisser dans la DMZ les clefs privées nécessaires au déchiffrement du message XML + Le pare-feu applicatif situé en DMZ se retrouve donc dans l’incapacité total de faire son travail… + Il va donc transmettre en interne des messages qui sont potentiellement porteurs de contenus offensifs !
  • 7. DÉPLOYER PLUSIEURS INSTANCES DU WAF + Il est nécessaire de passer par une deuxième instance du pare-feu applicatif, située en interne dans une zone protégée + Il sera alors possible de déployer les clefs de chiffrement en toute sécurité
  • 8. CARTOGRAPHIE RESEAU APPLICATIVE + + + + Les murs en place ne sont pas assez hauts Les flux HTTP sont (souvent) cartographiés… … mais pas qualifiés … et rarement en interne accept SQL injection accept Command injection accept any HTTP based exploit…
  • 9. CARTOGRAPHIE WEB SERVICES ?? + Il faut pouvoir analyser les documents + A l’intérieur des requêtes HTTP + … avec les ressources nécessaires Ressources = Connaissances + moyens techniques + moyens cryptographiques accept SQL injection accept Command injection accept any XML/JSON based exploit…
  • 11. SÉCURITÉ APPLICATIVE ET PROCESS METIER
  • 12. LES LIMITES DE L’ADMINISTRATION RÉSEAU + Historiquement, le pare-feu applicatif est à la charge de l’administrateur réseaux + Mais de nouvelles problématiques viennent agrandir son spectre fonctionnel + … Les limites de l’administrateur vont vite être atteintes !
  • 13. LE CONSTAT + La sécurité applicative ne peut reposer sur : ✘1 produit ✘1 personne ✘1 endroit
  • 15. Le pare-feu applicatif doit être capable d’intercepter et d’analyser tous les flux (internes, inter-applicatifs, mobiles, etc.)
  • 16. Il faut donc un produit facilement administrable et facilement déployable
  • 17. ET DONC…? + Bee Ware a conçu un mécanisme de déploiement automatisé, capable de piloter un grand nombre de machines + Point central de configuration + Gain de temps + Il est également possible de piloter l’ensemble des tâches (administration, supervision, configuration) grâce aux API
  • 18. USUAL PRODUCTS + Plus on s’éloigne du réseau, plus le rôle de l’administrateur réseau diminue…
  • 19. INTELLIGENCE APPLICATIVE >> 95% de l’intelligence du WAF est « applicative » Hémisphère Sécurité Détection d’intrusion Contrôle d’accès Audit de sécurité Disponibilité de service Etc. Hémisphère Applicatif Listes d’URL Journalisation Faux positifs Routage applicatif Etc. Zone réseau Déclaration d’IP
  • 20. AU DELÀ DU PRODUIT + S’affranchir des contraintes matérielles • S’adapter à des infrastructures élastiques • Supporter les hyperviseurs du marché + Permettre le suivi de la consommation • Métriques d’allocation et d’utilisation des ressources • Gestion flottante des licences + Adapter le management de la solution • Autoriser le management centralisé ou dédié • Faciliter les audits
  • 21. SÉCURITÉ APPLICATIVE ET PROCESS METIER + Les différentes entités auront à leur disposition un ensemble de services qui ne passera plus par l’administrateur réseau mais qui sera directement accessible dans le produit au travers d’API
  • 23. EXEMPLES DE SERVICES Je mets à jour l’application Je valide la conformité de ces nouvelles URL API Intégration des nouvelles URL dans la configuration Mise à jour de la configuration de sécurité et application de celle-ci Le WAF s’intègre dans les processus métier et non l’inverse
  • 24. DU PRODUIT VERS LE SERVICE Fournir de multiples interfaces dédiées pour la configuration, la supervision, l’audit, etc. Chaque fonctionnalité doit être invocable comme un service, avec autorisation et trace Les clients ne doivent utiliser que ce dont ils ont besoin, et payer uniquement ce qu’ils sécurisent
  • 25. POUR TOUTES LES ARCHITECTURES
  • 26. AU PLUS TÔT + Le WAF peut jouer un rôle dès le développement des applications Exemple : OpenSAMM
  • 27. EXEMPLE OPENSAMM Pourquoi ? + Identifier les risques applicatifs + Réduire la surface d’attaque + Optimiser le coût de la sécurité + Industrialiser la protection Environment Hardening Design Review
  • 28. CONCLUSION L’évolution de la sécurité applicative passe par une refonte du rôle du WAF Le WAF n’est pas un module de pare-feu ou de répartiteur de charge La clé est l’adaptation aux processus métier C’est possible ! (Pensez API !)
  • 29. CONTACTS Jérôme Clauzade Bee Ware jerome.clauzade@bee-ware.net 20 rue Billancourt 92100 Boulogne Billancourt Service commercial +33 (0)1 74 90 50 90 contact@bee-ware.net +33 (0) 1 74 90 50 96 sales@bee-ware.net