Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Les Assises de la Sécurité 2016
EXPERT en TRES HAUTE SECURITE
LEADER en INFOGERANCE ECOMMERCE
WWW.NBS-SYSTEM.COM
EVALUER E...
1990 – 2016: 50 Nuances d’hébergement
‘90 « datacenter » on-premise
‘00 « SI internalisé & Liaison DC »
‘10 « SI minimalis...
Legacy: 1990 - 2000
Le règne du On-Premise
Aka l’informatique-à-papa
Self-hosted
• Serveurs contrôlés par l’IT interne
– Faible industrialisation
– Faible sensibilisation
• Politique de patch...
Self-hosted
• Point de vue « attaque »
– Attaques ciblées, souvent par ingénierie sociale
– L’exploitation reste un domain...
Quand l’hybridation
n’était pas encore un buzzword
2000 Bubbles
L’Internet ou le cheval de Troie
• Liaisons et ouverture sur le monde
• Avènement des DataCenters
– Faiblement sécurisés e...
Premier shift de paradigme
• Le tournant :
– Internet accessible
• Point de vue « attaque »
– L’ère de l’exploitation de f...
La virtualisation ouvre la voie
à l’infrastructure logicielle
2010-2016 : Dématérialisation
VMware, Xen, KVM…
• Technologies de virtualisation éprouvées
– Explosion du nombre de machines fantômes
– Dématérialisatio...
Maturité Défensive
• Externalisation partielle des problématiques d’infra :
– Mieux maitrisées ou déléguées
– Echange cont...
Maturité Attaquants
• Bien que les SQLi existent depuis ~2000, cette époque voit leur
popularisation :
– De plus en plus c...
Comment évaluer ses prestataires ?
• PSSI :
– « Politique de patch »
– Audit réel des prestataires
– Augmentation d’applic...
Deuxième shift de paradigme
• Shift :
– Je sème mes machines virtuelles à tous vents
• Point de vue attaquant
– L’ère du «...
« On peut configurer 1000
microservices 1 fois… non »
2016 : l’agilité au service du chaos
Who needs a sysadmin !
16
CI : la constitution du container
• De bonnes habitudes sont apparues
– Intégration continue
– Code repositories
– Orchest...
But wait, there’s more !
18
Réversibilité et pérennité
• Dans quelle mesure le prestataire et/ou la solution proposée est elle réversible ou
100% dépe...
Réversibilité et pérennité
Build
Check
Run
20
Un nouveau contexte
21
Pass****
Evaluer la sécurité du prestataire ?
• Disponibilité :
– Plus aucun contrôle sur les opérations d’infrastructure (maintena...
DON’T PANIC
Et du coup?
Contact
NBS System
8 rue Bernard Buffet,
75017 Paris
+33.1.58.56.60.80
contact@nbs-system.com
24
Présenté par
Emile HEITOR...
Upcoming SlideShare
Loading in …5
×

Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS

346 views

Published on

On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS

  1. 1. Les Assises de la Sécurité 2016 EXPERT en TRES HAUTE SECURITE LEADER en INFOGERANCE ECOMMERCE WWW.NBS-SYSTEM.COM EVALUER ET CONTROLER LA SECURITÉ DE SES PRESTATAIRES CLOUD, PaaS et SaaS Intervenants Thibault Koechlin Emile Heitor
  2. 2. 1990 – 2016: 50 Nuances d’hébergement ‘90 « datacenter » on-premise ‘00 « SI internalisé & Liaison DC » ‘10 « SI minimaliste & Déporté en DC » ‘15 « SaaS, plus de SI »
  3. 3. Legacy: 1990 - 2000 Le règne du On-Premise Aka l’informatique-à-papa
  4. 4. Self-hosted • Serveurs contrôlés par l’IT interne – Faible industrialisation – Faible sensibilisation • Politique de patching inexistante • Robustesse des prestataires peu regardée – Menaces locales • Disquettes • Collaborateur malveillant • Pirates – Début des accès à l’Internet • Workstations souvent en DMZ • Peu ou pas de filtrage 4
  5. 5. Self-hosted • Point de vue « attaque » – Attaques ciblées, souvent par ingénierie sociale – L’exploitation reste un domaine émergeant (phrack : 85) • Point de vue « défense et évaluation » – Pratiquement inexistant 5
  6. 6. Quand l’hybridation n’était pas encore un buzzword 2000 Bubbles
  7. 7. L’Internet ou le cheval de Troie • Liaisons et ouverture sur le monde • Avènement des DataCenters – Faiblement sécurisés et normalisés – Infrastructure publique – Protocoles d’administration en clair – Liaisons On-Premise ➡ DC • Méthodologies de développement – Versionning trop peu utilisé – Revues de code pratiquement inexistantes 7
  8. 8. Premier shift de paradigme • Le tournant : – Internet accessible • Point de vue « attaque » – L’ère de l’exploitation de failles mémoire – Engouement des mafias limité • Et la défense ? – L’analyse du risque d’intrusion reste balbutiant – On évalue autant la robustesse des infrastructures que la qualité des systèmes 8
  9. 9. La virtualisation ouvre la voie à l’infrastructure logicielle 2010-2016 : Dématérialisation
  10. 10. VMware, Xen, KVM… • Technologies de virtualisation éprouvées – Explosion du nombre de machines fantômes – Dématérialisation, déploiement accessible à tous • Fin des problématiques d’infrastructure et de casse matérielle – On l’a échangé contre la gestion de la sécurité des hyperviseurs, dont les patchs coutent « cher » en downtime. • Extension du domaine de la lutte – OVH, online, Hetzner : le nouveau temporaire qui dure – Les faibles coûts aidant, augmentation exponentielle 10
  11. 11. Maturité Défensive • Externalisation partielle des problématiques d’infra : – Mieux maitrisées ou déléguées – Echange contre du contrôle d’exposition publique – Démocratisation du VPS généralise aussi les DDoS • Sécurité des solutions de virtualisation : encore peu travaillé, les attaques bluepill/redpill restent des fantasmes techniques. – Début de XEN : 2003 – Rachat de XEN par Citrix : 2007 – Première XSA : 2011 (dernière XSA : 190) 11
  12. 12. Maturité Attaquants • Bien que les SQLi existent depuis ~2000, cette époque voit leur popularisation : – De plus en plus complexe pour les attaquants de se baser juste sur des bugs de corruption de mémoire : • les mises à jour se font plus régulièrement, • certaines solutions de hardening apparaissent. – Vulnérabilités « web » beaucoup plus accessibles • création d’exploit fonctionnel et stable • Temps de création passe de jours/semaines à quelques heures/minutes • Démocratisation des attaques – Augmentation de la surface d’attaque 12
  13. 13. Comment évaluer ses prestataires ? • PSSI : – « Politique de patch » – Audit réel des prestataires – Augmentation d’applications web customs développe les tests d’intrusions et audit de code source. • Avoir un WAF/IDS/IPS est encore rare 13
  14. 14. Deuxième shift de paradigme • Shift : – Je sème mes machines virtuelles à tous vents • Point de vue attaquant – L’ère du « OR 1=1 » : Exploitation de failles web. – Audit et création d’exploits beaucoup plus triviales. – Mafias « classiques » s’emparent du sujets : l’éco-système se met doucement en place (vente des kits de phisihing, mais commerce des DDoS reste modéré) • Et la défense ? – Analyse du risque d’intrusion mature : PSSI et de patching policy – Périmètre partiel : la virtualisation encore laissée à l’écart. 14
  15. 15. « On peut configurer 1000 microservices 1 fois… non » 2016 : l’agilité au service du chaos
  16. 16. Who needs a sysadmin ! 16
  17. 17. CI : la constitution du container • De bonnes habitudes sont apparues – Intégration continue – Code repositories – Orchestration & industrialisation – Plus grande coopération communautaire • De fausses idées se sont installées – Plus besoin d’expert système – Grace aux machines éphémères, plus besoin de veille • Ainsi que de mauvais réflexes – Des centaines de milliers de containers fantômes – Architecture au rabais, au mépris de la pérennité – Nouvelle forme de shadow-IT : le container devient la nouvelle boite de Schrodinger 17
  18. 18. But wait, there’s more ! 18
  19. 19. Réversibilité et pérennité • Dans quelle mesure le prestataire et/ou la solution proposée est elle réversible ou 100% dépendante de telle ou telle technologie d’un provider de cloud public. • L’application web Serverless tout en fonction lambda développé pourrait-elle fonctionner sans API Gateway et les buckets S3 ? • Technologies donnant l’illusion de l’isolation : passerelle directe vers toute l’infrastructure – Nécessité d’un grand contrôle des accès – Revues de code plus importantes que jamais • Dépendance aux API et modifications du fournisseur 19
  20. 20. Réversibilité et pérennité Build Check Run 20
  21. 21. Un nouveau contexte 21 Pass****
  22. 22. Evaluer la sécurité du prestataire ? • Disponibilité : – Plus aucun contrôle sur les opérations d’infrastructure (maintenance, MàJ…) – Nécessité de prendre en compte une infrastructure volatile, éphémère – Auto-scalabilité : Nécessité pour le prestataire de réévaluer ses méthodologies • Confidentialité : – Quel médias sont utilisés pour le stockage ? Sont-ils chiffrés ? Qui détient les clés privées ? – Les droits sur les composants sont-ils audités à intervalle régulier ? • Intégrité : – Le découpage des utilisateurs et groupes est-il suffisamment fin (root account car « plus facile » ) – A partir de quel niveau de privilèges les utilisateurs disposent de la 2FA ? • Traçabilité : – Reporting automatique ? – Audit récurrent automatisé sur les droits / filtrage (ie. Scout) 22
  23. 23. DON’T PANIC Et du coup?
  24. 24. Contact NBS System 8 rue Bernard Buffet, 75017 Paris +33.1.58.56.60.80 contact@nbs-system.com 24 Présenté par Emile HEITOR & Thibault KOECHLIN Retrouvez-nous sur notre stand n°36

×