SlideShare a Scribd company logo

Symposium privacy by design

Versusmind
Versusmind

Symposium sur le privacy by design présenté par Alexandre Perrin

Technology
1 of 53
Download to read offline
LE PRIVACY BY DESIGN
À propos
3 ▶ Découle d’un rapport de 1995 sur les Privacy-enhancing technologies ▶ Écrit par la Commissaire à l’Information et la Vie Privée de l’Ontario l’Autorité de Protection des Données Néerlandaise et l’Organisation Néerlandaise pour la Recherche Scientifique Appliquée ▶ Repris dans un avis par le contrôleur européen de la protection des données (CEPD) Le 22 mars 2010 Histoire du privacy by design
4 ▶ Prendre des mesures proactives et non réactives La prise en compte de la vie privée dès la conception consiste à prévoir et à prévenir les incidents d’atteinte à la vie privée avant qu’ils ne se produisent. ▶ Assurer la protection implicite de la vie privée Il s’agit de veiller à ce que les données à caractère personnel soient protégées de façon automatique. Ainsi, les nouvelles technologies doivent être paramétrées « par défaut » de façon à assurer un niveau de protection des données personnelles maximum. L’utilisateur lui-même n’a pas à définir lui-même les conditions d’utilisation de ses données. ▶ Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle La prise en compte de la vie privée ne doit pas empêcher la mise en oeuvre d’autres fonctionnalités. Il est possible de réaliser deux plusieurs objectifs à la fois sans les compromettre. Les 7 grands principes
5 ▶ Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques La protection de la vie privée est intégrée dans la conception et l’architecture des systèmes informatiques et des pratiques des organismes; elle n’y est pas greffée a posteriori. La protection de la vie privée devient donc un élément essentiel des fonctionnalités de base. Elle fait partie intégrante du système, sans porter atteinte à ses fonctions. ▶ Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements Des mesures de sécurité essentielles à la protection de la vie privée sont mises en oeuvre du début jusqu’à la fin. Cela permet d’assurer la conservation sécurisée des données, puis leur destruction sécurisée à la fin de leur période de conservation. Ainsi, la protection intégrée de la vie privée assure une gestion intégrale, sécurisée et de bout en bout des renseignements pendant toute leur période de conservation. Les 7 grands principes
6 ▶ Assurer la visibilité et la transparence Les éléments et le fonctionnement du système demeurent visibles et transparents, tant pour les utilisateurs que pour les fournisseurs. La vérification permet d’établir un climat de confiance. ▶ Respecter la vie privée des utilisateurs Il s’agit d’offrir aux clients la garantie d’un traitement des données qui soit à la fois parfaitement sûr et qui corresponde exactement à leur besoin, sans collecter plus de données que nécessaire. Les 7 grands principes
7 Quelques principes de sécurité
8 ▶ Prendre en compte de la sécurité dès la conception ● Cahier des charges des exigences de sécurité ▶ Évaluer la sécurité sur 4 critères ● Disponibilité ● Intégrité ● Confidentialité ● Traçabilité ▶ Gérer la sécurité par une appréciation des risques ● ISO 27005, Méthodes EBIOS, MEHARI, ... ▶ Appliquer les principes de défense en profondeur ● Plusieurs niveaux de protection mis en oeuvre dès la conception ● Chaque dispositif doit être considéré comme potentiellement vulnérable et doit être à minima doublé par un autre dispositif indépendant ▶ Former et sensibiliser les utilisateurs / développeurs ▶ Assurer le maintien en conditions de sécurité Principes fondamentaux de sécurité
Et pourtant... 9
Et pourtant... 10Source : 2017 Verizon Data Breaches Investigations Report
Dans la pratique... 11Source : The State of Risk-Based Security Management, Ponemon Institute - IBM
Quelques conséquences 12 ▶ Utilisation de composants vulnérables ● The Mossack Fonesca (Panama Papers) breach, which was caused by a vulnerability in an old, unpatched version of Drupal. ● The VericalScope/Techsupportforum.com breach in which 45 million passwords and IP addresses were stolen from a network of over 1,100 websites and forums. The cause was said to be a known vulnerability in an old version of the vBulletin forum software. ● The Ubuntu forums breach in which 2 million usernames, IP addresses and passwords were compromised from the official Ubuntu forums. The cause was a SQL injection vulnerability in the Forumrunner add-on which had not been patched”. ▶ Erreurs de configuration ● The Mexican Voters Breach in which registration data of 93.4 million voters was publicly exposed, although probably not offered for sale on the dark net. The compromised database turned out to be a legitimate copy of the registration data belonging to a political party, who had uploaded it to AWS without securing it. ● The US Voters / Amazon / Google breach in which 154 million profiles of US voters with rich personal details was taken by a Serbian hacker. The data was stored in a CouchDB database which required no authentication, stored on Google Cloud Services.
Quelques conséquences 13 ▶ Injections ● The Philippines’ Commission on Elections breach, in which 77,736,795 records, representing the entire adult population of the Philippines (!) were stored in plaintext and easily obtained by a hacker via SQL injection. ● The i-Dressup breach, in which 5.5 million accounts of teenage girls, including passwords stored in plaintext, were compromised by an SQL injection which exploited an unknown vulnerability on the website. ● The Michigan State University breach, in which 400,000 names and email addresses were obtained by a 17-year-old hacker from the Netherlands who scanned the web for SQL injection vulnerabilities. Fortunately, passwords were encrypted in this case. ▶ Problèmes d’authentification ou d’habilitations ● A2 was the cause for the 17 Media Breach (30 million accounts breached for a streaming app), the Aerticket breach (data for 1.5 million German airline passengers breached), and the Kroger/Equifax breach (tax and salary data for 431,000 people who filled tax forms online). ● A6 was the cause for the Kerala beach (personal details breached for 34 million residents of the State of Kerala in India), the Indian Institute of Management breach (test scores of 2 million participants in the CAT psychometric exam were exposed on the Internet), and the BlueSnap/Regpack breach (324,000 payment records lost including CVV codes, allowing attackers to bypass credit card security).
Quelques conséquences 14 ▶ D’après une étude réalisée par Google entre mars 2016 et mars 2017, ● 788 000 identifiants Google auraient été volés par des keyloggers, ● 12 millions par des opérations de phishing et ● 3,3 milliards au travers d’applications tierces. ▶ Soit 250 000 par semaine
Pourquoi ? ▶ Manque de maturité dans le domaine ▶ La valeur ajoutée par la sécurité est difficile à démontrer ▶ La sécurité est mal intégrée aux projets ● Pas perçue comme un besoin d’affaire ● Perçue comme une couche de peinture qu’on applique au produit final ● on entend souvent: « L’important est que l’application fonctionne. Ensuite on verra pour la sécurité » ● remplaçons « l’application » par « l’avion » et voyons si c’est aussi bien accepté ▶ Perçue comme cause de dépassements de coût et de planning 15
16 Pourquoi sécuriser les développements ?
Conformité réglementaire et juridique ▶ RGPD ▶ LPM, NIS ▶ PCI-DSS ▶ Réglementations spécifiques au métier ▶ ... 17
Coûts 18
Couts 19Source : Ponemon Institute’s 2017 Cost of Data Breach Study - France
20 Solutions
ISO 27034 ▶ Modèle pour faciliter l’intégration de la sécurité dans le cycle de vie des applications ● Concepts, principes ● Composants et processus ▶ Elle s’applique autant au développement interne qu’à l’acquisition ▶ Elle ne propose pas de règles de développement 21
ISO 27034 - principes 22
ISO 27034 - principes
ISO 27034 - périmètre 24 Personnes Processus Informations Logiciels Infrastructure ▶ Portée de la sécurité d’une application
ISO 27034 25
ISO 27034 26 Bonne pratiques et mesures de sécurité de l’entreprise Processus de l’entreprise relatifs à la sécurité modèle standard de cycle de vie sécurisé d’une application
Microsoft SDL 27
Microsoft SDL ▶ Compatible ISO 27034 28
Threat modeling ▶ Identification des assets ● Il faut savoir quoi protéger ■ Propriété intellectuelle ■ Données personnelles ■ Données financières ■ Réputation de l’entreprise ■ Serveur ■ ... 29
Threat modeling ▶ Data flow ● Permet de déterminer les vecteurs de menace et la surface d’attaque 30
Threat modeling ▶ Détermination des menaces 31
Threat modeling ▶ Détermination des menaces ● MITRE 32
Threat modeling ▶ CWE-89 ● Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') ▶ CWE-78 ● Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') ▶ CWE-79 ● Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') ▶ CWE-434 ● Unrestricted Upload of File with Dangerous Type ▶ CWE-352 ● Cross-Site Request Forgery (CSRF) ▶ CWE-601 ● URL Redirection to Untrusted Site ('Open Redirect') 33
Threat modeling ▶ SANS TOP 25 34
Threat modeling ▶ Détermination des menaces : ● OWASP Top 10 35
Threat modeling ▶ Cotation des risques 36
Threat modeling ▶ Classement des risques ▶ Le PO décide des risques à traiter 37
Problèmes avec SCRUM ▶ On ne peut pas tout réaliser dans chaque Sprint ▶ L’architecture, les User Stories et le design évoluent dans le temps ▶ La sensibilité des données, les sources de menaces et les protections à mettre en oeuvre ne sont pas toujours connues à l’avance ▶ Les équipes SCRUM disposent rarement des ressources nécessaires (expert sécurité, Threat modeler, ...) 38
Problèmes avec SCRUM 39
40 Et en SCRUM, on fait comment ?
Sprint 0 ▶ Formation de l’équipe ▶ Détermination des contraintes externes/internes ● Contexte légal ● Contexte réglementaire ● Contexte technique ● PSSI ● ... ▶ Analyse des besoins en sécurité sur les EPICS ● Détermine le niveau de criticité de l’application 41Source ANSSI
Sprint 0 ▶ Première analyse de risques 42 Source ANSSI
Sprint 0 ▶ Création du profil de sécurité de l’application ▶ Ajout de “security stories” dans le backlog produit 43
Sprint 0 ▶ Safecode Agile Dev Security - Security story 44
Sprint planning ▶ Etude de risque sur les User Stories ▶ Un risque se matérialise par une “evil story” ● «en tant qu’utilisateur, je réserve en ligne mon billet de spectacle». ● «En tant qu’hacktiviste,j’empêche les clients de réserver en ligne leur billet de spectacle en saturant le serveur applicatif par une attaque en déni de service. Ceci conduit à un impact préjudiciable sur l’image et la crédibilité du gestionnaire du service, voire une perte de clients» ▶ Le PO détermine comment traiter le risque : accepté, éviter, réduire, partager ▶ Chaque mesure pour réduire le risque se traduit par une tâche dans le backlog de sprint 45
Sprint planning 46 developper “As a developper, I want to verify every input
Sprint ▶ Vérification statique ● Audit de code et de configuration automatique ● Sonar ● Checkstyle ● … ● Audit de code manuel 47 CVE-2005-0455 dans RealPlayer - passe les vérifications statiques
Fin de Sprint ou Release ▶ Analyse dynamique ● OWASP ZAP ● Plugin Jenkins 48
Fin de Sprint ou Release ▶ RATS 49
Release ou fin de projet ▶ Envisager un pentest selon la criticité de l’application 50
Itération de sécurité ▶ Pas recommandé mais parfois nécessaire 51
Questions 52
The end 53

Recommended

Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
Antoine Vigneron
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
Antoine Vigneron
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
Hushapp by Syneidis
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
Alghajati
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
ALTITUDE CONCEPT SPRL
 

Recommended

Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
Antoine Vigneron
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
Antoine Vigneron
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
Hushapp by Syneidis
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
Alghajati
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
ALTITUDE CONCEPT SPRL
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Décideurs IT
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
Antoine Vigneron
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Antoine Vigneron
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
Personal Interactor
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
ELCA Informatique SA / ELCA Informatik AG
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
ITrust - Cybersecurity as a Service
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust - Cybersecurity as a Service
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
Dimassi Khoulouda
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
Kiwi Backup
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
arnaudm
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Microsoft Ideas
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
Blidaoui Abdelhak
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers9
 

More Related Content

What's hot

Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Décideurs IT
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
Dimassi Khoulouda
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Microsoft Ideas
 

What's hot (20)

Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
 

Similar to Symposium privacy by design

resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
Everteam
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
hediajegham
 

Similar to Symposium privacy by design (20)

resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
 
Un site web conforme à la loi - le pourquoi et comment
Un site web conforme à la loi - le pourquoi et commentUn site web conforme à la loi - le pourquoi et comment
Un site web conforme à la loi - le pourquoi et comment
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
 

Symposium privacy by design

  • 1. LE PRIVACY BY DESIGN
  • 3. 3 ▶ Découle d’un rapport de 1995 sur les Privacy-enhancing technologies ▶ Écrit par la Commissaire à l’Information et la Vie Privée de l’Ontario l’Autorité de Protection des Données Néerlandaise et l’Organisation Néerlandaise pour la Recherche Scientifique Appliquée ▶ Repris dans un avis par le contrôleur européen de la protection des données (CEPD) Le 22 mars 2010 Histoire du privacy by design
  • 4. 4 ▶ Prendre des mesures proactives et non réactives La prise en compte de la vie privée dès la conception consiste à prévoir et à prévenir les incidents d’atteinte à la vie privée avant qu’ils ne se produisent. ▶ Assurer la protection implicite de la vie privée Il s’agit de veiller à ce que les données à caractère personnel soient protégées de façon automatique. Ainsi, les nouvelles technologies doivent être paramétrées « par défaut » de façon à assurer un niveau de protection des données personnelles maximum. L’utilisateur lui-même n’a pas à définir lui-même les conditions d’utilisation de ses données. ▶ Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle La prise en compte de la vie privée ne doit pas empêcher la mise en oeuvre d’autres fonctionnalités. Il est possible de réaliser deux plusieurs objectifs à la fois sans les compromettre. Les 7 grands principes
  • 5. 5 ▶ Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques La protection de la vie privée est intégrée dans la conception et l’architecture des systèmes informatiques et des pratiques des organismes; elle n’y est pas greffée a posteriori. La protection de la vie privée devient donc un élément essentiel des fonctionnalités de base. Elle fait partie intégrante du système, sans porter atteinte à ses fonctions. ▶ Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements Des mesures de sécurité essentielles à la protection de la vie privée sont mises en oeuvre du début jusqu’à la fin. Cela permet d’assurer la conservation sécurisée des données, puis leur destruction sécurisée à la fin de leur période de conservation. Ainsi, la protection intégrée de la vie privée assure une gestion intégrale, sécurisée et de bout en bout des renseignements pendant toute leur période de conservation. Les 7 grands principes
  • 6. 6 ▶ Assurer la visibilité et la transparence Les éléments et le fonctionnement du système demeurent visibles et transparents, tant pour les utilisateurs que pour les fournisseurs. La vérification permet d’établir un climat de confiance. ▶ Respecter la vie privée des utilisateurs Il s’agit d’offrir aux clients la garantie d’un traitement des données qui soit à la fois parfaitement sûr et qui corresponde exactement à leur besoin, sans collecter plus de données que nécessaire. Les 7 grands principes
  • 8. 8 ▶ Prendre en compte de la sécurité dès la conception ● Cahier des charges des exigences de sécurité ▶ Évaluer la sécurité sur 4 critères ● Disponibilité ● Intégrité ● Confidentialité ● Traçabilité ▶ Gérer la sécurité par une appréciation des risques ● ISO 27005, Méthodes EBIOS, MEHARI, ... ▶ Appliquer les principes de défense en profondeur ● Plusieurs niveaux de protection mis en oeuvre dès la conception ● Chaque dispositif doit être considéré comme potentiellement vulnérable et doit être à minima doublé par un autre dispositif indépendant ▶ Former et sensibiliser les utilisateurs / développeurs ▶ Assurer le maintien en conditions de sécurité Principes fondamentaux de sécurité
  • 10. Et pourtant... 10Source : 2017 Verizon Data Breaches Investigations Report
  • 11. Dans la pratique... 11Source : The State of Risk-Based Security Management, Ponemon Institute - IBM
  • 12. Quelques conséquences 12 ▶ Utilisation de composants vulnérables ● The Mossack Fonesca (Panama Papers) breach, which was caused by a vulnerability in an old, unpatched version of Drupal. ● The VericalScope/Techsupportforum.com breach in which 45 million passwords and IP addresses were stolen from a network of over 1,100 websites and forums. The cause was said to be a known vulnerability in an old version of the vBulletin forum software. ● The Ubuntu forums breach in which 2 million usernames, IP addresses and passwords were compromised from the official Ubuntu forums. The cause was a SQL injection vulnerability in the Forumrunner add-on which had not been patched”. ▶ Erreurs de configuration ● The Mexican Voters Breach in which registration data of 93.4 million voters was publicly exposed, although probably not offered for sale on the dark net. The compromised database turned out to be a legitimate copy of the registration data belonging to a political party, who had uploaded it to AWS without securing it. ● The US Voters / Amazon / Google breach in which 154 million profiles of US voters with rich personal details was taken by a Serbian hacker. The data was stored in a CouchDB database which required no authentication, stored on Google Cloud Services.
  • 13. Quelques conséquences 13 ▶ Injections ● The Philippines’ Commission on Elections breach, in which 77,736,795 records, representing the entire adult population of the Philippines (!) were stored in plaintext and easily obtained by a hacker via SQL injection. ● The i-Dressup breach, in which 5.5 million accounts of teenage girls, including passwords stored in plaintext, were compromised by an SQL injection which exploited an unknown vulnerability on the website. ● The Michigan State University breach, in which 400,000 names and email addresses were obtained by a 17-year-old hacker from the Netherlands who scanned the web for SQL injection vulnerabilities. Fortunately, passwords were encrypted in this case. ▶ Problèmes d’authentification ou d’habilitations ● A2 was the cause for the 17 Media Breach (30 million accounts breached for a streaming app), the Aerticket breach (data for 1.5 million German airline passengers breached), and the Kroger/Equifax breach (tax and salary data for 431,000 people who filled tax forms online). ● A6 was the cause for the Kerala beach (personal details breached for 34 million residents of the State of Kerala in India), the Indian Institute of Management breach (test scores of 2 million participants in the CAT psychometric exam were exposed on the Internet), and the BlueSnap/Regpack breach (324,000 payment records lost including CVV codes, allowing attackers to bypass credit card security).
  • 14. Quelques conséquences 14 ▶ D’après une étude réalisée par Google entre mars 2016 et mars 2017, ● 788 000 identifiants Google auraient été volés par des keyloggers, ● 12 millions par des opérations de phishing et ● 3,3 milliards au travers d’applications tierces. ▶ Soit 250 000 par semaine
  • 15. Pourquoi ? ▶ Manque de maturité dans le domaine ▶ La valeur ajoutée par la sécurité est difficile à démontrer ▶ La sécurité est mal intégrée aux projets ● Pas perçue comme un besoin d’affaire ● Perçue comme une couche de peinture qu’on applique au produit final ● on entend souvent: « L’important est que l’application fonctionne. Ensuite on verra pour la sécurité » ● remplaçons « l’application » par « l’avion » et voyons si c’est aussi bien accepté ▶ Perçue comme cause de dépassements de coût et de planning 15
  • 17. Conformité réglementaire et juridique ▶ RGPD ▶ LPM, NIS ▶ PCI-DSS ▶ Réglementations spécifiques au métier ▶ ... 17
  • 19. Couts 19Source : Ponemon Institute’s 2017 Cost of Data Breach Study - France
  • 21. ISO 27034 ▶ Modèle pour faciliter l’intégration de la sécurité dans le cycle de vie des applications ● Concepts, principes ● Composants et processus ▶ Elle s’applique autant au développement interne qu’à l’acquisition ▶ Elle ne propose pas de règles de développement 21
  • 22. ISO 27034 - principes 22
  • 23. ISO 27034 - principes
  • 24. ISO 27034 - périmètre 24 Personnes Processus Informations Logiciels Infrastructure ▶ Portée de la sécurité d’une application
  • 26. ISO 27034 26 Bonne pratiques et mesures de sécurité de l’entreprise Processus de l’entreprise relatifs à la sécurité modèle standard de cycle de vie sécurisé d’une application
  • 29. Threat modeling ▶ Identification des assets ● Il faut savoir quoi protéger ■ Propriété intellectuelle ■ Données personnelles ■ Données financières ■ Réputation de l’entreprise ■ Serveur ■ ... 29
  • 30. Threat modeling ▶ Data flow ● Permet de déterminer les vecteurs de menace et la surface d’attaque 30
  • 32. Threat modeling ▶ Détermination des menaces ● MITRE 32
  • 33. Threat modeling ▶ CWE-89 ● Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') ▶ CWE-78 ● Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') ▶ CWE-79 ● Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') ▶ CWE-434 ● Unrestricted Upload of File with Dangerous Type ▶ CWE-352 ● Cross-Site Request Forgery (CSRF) ▶ CWE-601 ● URL Redirection to Untrusted Site ('Open Redirect') 33
  • 35. Threat modeling ▶ Détermination des menaces : ● OWASP Top 10 35
  • 37. Threat modeling ▶ Classement des risques ▶ Le PO décide des risques à traiter 37
  • 38. Problèmes avec SCRUM ▶ On ne peut pas tout réaliser dans chaque Sprint ▶ L’architecture, les User Stories et le design évoluent dans le temps ▶ La sensibilité des données, les sources de menaces et les protections à mettre en oeuvre ne sont pas toujours connues à l’avance ▶ Les équipes SCRUM disposent rarement des ressources nécessaires (expert sécurité, Threat modeler, ...) 38
  • 40. 40 Et en SCRUM, on fait comment ?
  • 41. Sprint 0 ▶ Formation de l’équipe ▶ Détermination des contraintes externes/internes ● Contexte légal ● Contexte réglementaire ● Contexte technique ● PSSI ● ... ▶ Analyse des besoins en sécurité sur les EPICS ● Détermine le niveau de criticité de l’application 41Source ANSSI
  • 42. Sprint 0 ▶ Première analyse de risques 42 Source ANSSI
  • 43. Sprint 0 ▶ Création du profil de sécurité de l’application ▶ Ajout de “security stories” dans le backlog produit 43
  • 44. Sprint 0 ▶ Safecode Agile Dev Security - Security story 44
  • 45. Sprint planning ▶ Etude de risque sur les User Stories ▶ Un risque se matérialise par une “evil story” ● «en tant qu’utilisateur, je réserve en ligne mon billet de spectacle». ● «En tant qu’hacktiviste,j’empêche les clients de réserver en ligne leur billet de spectacle en saturant le serveur applicatif par une attaque en déni de service. Ceci conduit à un impact préjudiciable sur l’image et la crédibilité du gestionnaire du service, voire une perte de clients» ▶ Le PO détermine comment traiter le risque : accepté, éviter, réduire, partager ▶ Chaque mesure pour réduire le risque se traduit par une tâche dans le backlog de sprint 45
  • 47. Sprint ▶ Vérification statique ● Audit de code et de configuration automatique ● Sonar ● Checkstyle ● … ● Audit de code manuel 47 CVE-2005-0455 dans RealPlayer - passe les vérifications statiques
  • 48. Fin de Sprint ou Release ▶ Analyse dynamique ● OWASP ZAP ● Plugin Jenkins 48
  • 49. Fin de Sprint ou Release ▶ RATS 49
  • 50. Release ou fin de projet ▶ Envisager un pentest selon la criticité de l’application 50
  • 51. Itération de sécurité ▶ Pas recommandé mais parfois nécessaire 51