Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

1,888 views

Published on

Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)

Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011

Published in: Technology
  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download Full EPUB Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download Full doc Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download PDF EBOOK here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download EPUB Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... Download doc Ebook here { http://shorturl.at/mzUV6 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

  1. 1. Workshop 3<br />Externalisation des développements, cloudcomputing et SaaS. Quelles mesures pour réduire les risques à la signature du contrat?<br />Antonio Fontes<br />le 27 mai 2011 à Genève<br />CrownePlaza Geneva<br />Symposium dédié à la Cybersécurité en Suisse<br />Rôle de l’Etat et les attentes des PME<br />1<br />
  2. 2. Bio<br />Antonio Fontes<br />6 ans d’expérience dans la sécurité logicielle et protection des données<br />Fondateur et Directeur de la société L7 SecuritéSàrl<br />Intervenant régulier HES-SO/HEIGVD – Sécurité web<br />Focus:<br />Menaces, risques, et contremesures dans les architectures et services web<br />Sécurité dans le cycle de développement logiciel<br />Etablissement du modèle de menace (threatmodeling) <br />Evaluation/vérification de la sécurité/conformité<br />Analyse de performance<br />OWASP:<br />OWASP Suisse: membre du Comité, coordinateur Romandie<br />OWASP Genève: chapter leader<br />2<br />
  3. 3. Agenda<br />Revue d'actualité: le contexte, la menace<br />Théorie:<br />Cycle de développement d'une application web<br />Architectures web<br />Opportunités pour l'organisation:<br />Externalisation d'un développement web<br />Déploiement de l'application sur un service Cloud<br />Location d'une application web (SaaS)<br />Outils à disposition des organisations<br />Clôture<br />3<br />
  4. 4. contexte et menace...<br />
  5. 5. Etude de cas: SONY<br />5<br />
  6. 6. Etude de cas: SONY<br />6<br />77 millions d’utilisateurs<br />
  7. 7. Etude de cas: SONY<br />7<br />
  8. 8. Etude de cas: SONY<br />8<br />
  9. 9. Etude de cas: SONY<br />9<br />Détails de l'intrusion informatique auprès de Sony Entertainment Online (SOE) (1er mai 2011)<br />Photo: Dave Oshry<br />
  10. 10. Etude de cas: Lastpass<br />10<br />Quelqu'uncomprend-ilcela au sein de votreorganisation?<br />
  11. 11. Etude de cas: SONY (2)<br />11<br />101 millions<br />
  12. 12. Etude de cas: Montreux Jazz<br />12<br />
  13. 13. Etude de cas: SONY (3)<br />13<br />23 mai 2011<br />
  14. 14. Etude de cas: SONY (3)<br />Source: neowin.net<br />14<br />
  15. 15. Etude de cas: SONY<br />Dédommagement aux 101 mio. d'utilisateurs:<br />1 an d'assurance "dommages vol d'identité" USD 1mio.$<br />1 an d'assurance "surveillance cartes"<br />30 jours de service offerts<br />2 jeux vidéo offerts<br />23 jours d'interruption de service<br />Taux de disponibilité: 93%<br />15<br />
  16. 16. Etude de cas: SONY<br />Deux actions collectives (class action):<br />2 mai 2011 (E.U.)<br />Négligence: pas de chiffrement de données, pas de pare-feux applicatifs, pas de notification aux clients<br />Non respect des garanties de service: interruption de plus d'une semaine<br />27 avril 2011 (Canada) <br />Dommage à la sphère privée <br />Des dommages pour le montant d'1 milliard de $ sont réclamés<br />16<br />
  17. 17. Etude de cas: SONY<br />Coût de l'intrusion:<br />Immédiat: USD 172mio.<br />Estimé, attendu: USD >1mia. (incl. actions civiles)<br />Profits attendus pour l'année fiscale 2011-2012 (avril): <br />USD 972mio.<br />17<br />
  18. 18. SQL Injection?<br />https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project<br />18<br />
  19. 19. Etude de cas: Wordpress<br />19<br />
  20. 20. Etude de cas: Infomaniak<br />20<br />
  21. 21. Etude de cas: Infomaniak<br />21<br />
  22. 22. Etude de cas: Infomaniak<br />22<br />
  23. 23. Le contexte de l'organisation<br />Problématique externe:<br />Adoption croissante du « tout web »<br />Intérêt « hostile » croissant dans les services en ligne<br />Population « malveillante » croissante<br />Le piratage/La sécurité des applications web est « simple » à comprendre/enseigner<br />Risque faible d’être rattrapé par les autorités / peu de barrières à l'entrée<br />23<br />
  24. 24. Le contexte de l'organisation<br />Enjeux lors du développement:<br />Plusieurs dizaines de technologies web à gérer<br />Équipes internes hétérogènes, pratiques diverses<br />Culture de l’urgence<br />Rotation du personnel, fuite du savoir-faire<br />Manque de sensibilisation aux risques des applications web<br />Méconnaissance du consensus des bonnes pratiques<br />24<br />
  25. 25. Le contexte de l'organisation<br />Enjeux lors de l'externalisation:<br />Environnement technologique complexe, pour la majorité des acteurs impliqués<br />Manque de connaissances quant aux risques des applications web et leurs contrôles associés<br />Manque de labels sur lesquels s'appuyer<br />Opacité générale des fournisseurs:<br />Terme "sécurité" galvaudé, souvent confondu avec "contrôle d'accès"<br />Le mythe "SSL"<br />25<br />
  26. 26. Le contexte de l'organisation<br />Impacts les plus fréquents d'incidents "web":<br />Perte/Vol/Extorsion de données confidentielles ou stratégiques<br />Réduction/paralysie de l'activité de l'organisation<br />Compromission des systèmes "internes"<br />Frais de rétablissement largement sous-estimés<br />26<br />
  27. 27. un peu de théorie<br />(mais pas trop, rassurez-vous!)<br />27<br />
  28. 28. Architecture web: base<br />28<br />
  29. 29. Architecture web: base<br />29<br />
  30. 30. Architecture web: hébergeur<br />30<br />
  31. 31. Architecture web: hébergeur<br />31<br />
  32. 32. Architecture web: cloud<br />32<br />
  33. 33. Architecture web: cloud<br />33<br />
  34. 34. Architecture web: cloud<br />34<br />
  35. 35. Architecture web: SaaS<br />35<br />
  36. 36. Architecture web: SaaS<br />36<br />
  37. 37. Développement externalisé<br />37<br />
  38. 38. le cycle de développement web<br />38<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />
  39. 39. Cycle de développement web<br />39<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />nyuhuhuu@flickr.com<br />
  40. 40. Cycle de développement web<br />40<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br /><ul><li> Etudes
  41. 41. Besoin
  42. 42. Spécifications techniques + fonctionnelles
  43. 43. Code source
  44. 44. Exécutables
  45. 45. Application
  46. 46. Docs / guides
  47. 47. Incident
  48. 48. Problème
  49. 49.
  50. 50. Demande, besoin, idée</li></ul>ENTREE<br /><ul><li> Conception, architecture
  51. 51. Codage
  52. 52. Test unitaires
  53. 53. Test fonctionnel
  54. 54. Test technique
  55. 55. Doc
  56. 56. Installation
  57. 57. Intégration
  58. 58. Vérification
  59. 59. Traitement de bugs
  60. 60. Etudes (faisabilité, opportunité)</li></ul>ACTIVITES<br /><ul><li> Spécifications techniques / fonctionnelles
  61. 61. Plans qualité (+ tests)
  62. 62. Code compilé / exécutable
  63. 63. Rapport de tests unitaires
  64. 64. Application
  65. 65. Recette
  66. 66. Docs / guides
  67. 67. Go en production
  68. 68. Application corrigée
  69. 69. Etudes
  70. 70. Décision: Go/nogo</li></ul>LIVRABLES<br />40<br />
  71. 71. Cycle de développement web<br />41<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />A chaque phase:<br /><ul><li> des enjeux spécifiques
  72. 72. des acteurs spécifiques
  73. 73. des livrables spécifiques
  74. 74. des risques spécifiques
  75. 75. des bonnes pratiques spécifiques
  76. 76. des contrôles spécifiques
  77. 77. etc.
  78. 78. Etudes
  79. 79. Besoin
  80. 80. Spécifications techniques + fonctionnelles
  81. 81. Code source
  82. 82. Exécutables
  83. 83. Application
  84. 84. Docs / guides
  85. 85. Incident
  86. 86. Problème
  87. 87.
  88. 88. Demande, besoin, idée</li></ul>ENTREE<br /><ul><li> Conception, architecture
  89. 89. Codage
  90. 90. Test unitaires
  91. 91. Test fonctionnel
  92. 92. Test technique
  93. 93. Doc
  94. 94. Installation
  95. 95. Intégration
  96. 96. Vérification
  97. 97. Traitement de bugs
  98. 98. Etudes (faisabilité, opportunité)</li></ul>ACTIVITES<br /><ul><li> Spécifications techniques / fonctionnelles
  99. 99. Plans qualité (+ tests)
  100. 100. Code compilé / exécutable
  101. 101. Rapport de tests unitaires
  102. 102. Application
  103. 103. Recette
  104. 104. Docs / guides
  105. 105. Go en production
  106. 106. Application corrigée
  107. 107. Etudes
  108. 108. Décision: Go/nogo</li></ul>LIVRABLES<br />41<br />
  109. 109. Opportunités pour l'organisation:<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Acroître la confiance "sécurité":<br /><ul><li> compréhension des enjeux
  110. 110. compétences
  111. 111. bonnes pratiques
  112. 112. contrôle
  113. 113. conformité</li></li></ul><li>opportunités pour l'organisation: <br />externalisation du développement web<br />43<br />
  114. 114. Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques:<br /><ul><li> rôle de la réglementation
  115. 115. rôle et enjeux pour l'organisation
  116. 116. mauvaise conception du produit</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures:<br /><ul><li> analyse des besoins
  117. 117. classification / impacts
  118. 118. conception sécurisée
  119. 119. revue de la conception</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques:<br /><ul><li> méconnaissance technologique
  120. 120. codage non sécurisé
  121. 121. sécurité non testée</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures :<br /><ul><li> Pratiques de codage sécurisé
  122. 122. Expertise technologique
  123. 123. Vérification de la sécurité</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques:<br /><ul><li> déploiement non sécurisé
  124. 124. pas de processus de réponse
  125. 125. absence d'indicateurs</li></li></ul><li>Opportunités: développement web<br />Analyse<br />Conception<br />Vérification<br />Déploiement<br />Opérations<br />Codage<br />Mesures:<br /><ul><li> sécurité de l'environnement
  126. 126. processus de traitement des incidents
  127. 127. indicateurs de sécurité</li></li></ul><li>opportunités pour l'organisation: <br />hébergement de l'application et environnements cloud<br />50<br />
  128. 128. Opportunités: cloud<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques "cloud":<br /><ul><li> cycle de vie des données inconnu
  129. 129. guidance de déploiement sécurisé absente
  130. 130. incapacité de tester la sécurité
  131. 131. territorialité inconnue
  132. 132. cohabitation avec les autres clients?
  133. 133. traitement des incidents
  134. 134. …</li></li></ul><li>Opportunités: cloud<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures "cloud":<br /><ul><li> guidance de déploiement sécurisé
  135. 135. prise d'informations
  136. 136. contrat</li></ul>- Prise en compte des risques et mesures "web"<br />
  137. 137. opportunités pour l'organisation: <br />SaaS (location du service)<br />53<br />
  138. 138. Opportunités: SaaS<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Risques "SaaS":<br /><ul><li> Service présentant des vulnérabilités
  139. 139. Environnement mal protégé
  140. 140. Traitement des incidents de sécurité
  141. 141. Isolation entre clients
  142. 142. etc.  cloud?</li></li></ul><li>Opportunités: SaaS<br />Analyse<br />Conception<br />Codage<br />Vérification<br />Déploiement<br />Opérations<br />Mesures "SaaS":<br /><ul><li> Prise d'informations
  143. 143. Contrat
  144. 144. Traitement des incidents de sécurité</li></li></ul><li>"Servez-vous!"outils à disposition des organisations<br />56<br />
  145. 145. OWASP<br />Open Web Application Security Project<br />https://www.owasp.org<br />Fondation à but non lucratif, ouverte et internationale<br />Projets OWASP<br />Sections OWASP (Local Chapters)<br />OWASP Suisse https://www.owasp.org/index.php/Switzerland<br />OWASP Genève https://www.owasp.org/index.php/Geneva<br />57<br />
  146. 146. Stratégie OWASP<br />58<br />Menace<br />Site web<br />Comité<br />Application Web<br />Web Application<br />Personnes<br />Sous-Comités<br />Processus<br />Sommet<br />Outils<br />Chapitres<br />Projets<br />Patrimoine<br />Conférences<br />Membres<br />
  147. 147. Projets OWASP: outils<br />59<br />https://www.owasp.org/index.php/Category:OWASP_Project<br />Analyser<br />Concevoir<br />Implémenter<br />Vérifier<br />Déployer<br />Répondre<br />AntiSAMMY<br />ModSecurity CRS<br />JBroFuzz<br />ESAPI<br />LiveCD<br />DirBuster<br />WebScarab<br />CSRFGuard<br />WebScarab<br />Encoding<br />Orizon<br />O2<br />Code Crawler<br />Zed Attack Proxy<br />Stinger<br />Academy portal, Broken Web applications, ESAPI Swingset, Webgoat<br />
  148. 148. Projets OWASP: référentiels<br />60<br />https://www.owasp.org/index.php/Category:OWASP_Project<br />Analyser<br />Concevoir<br />Implémenter<br />Vérifier<br />Déployer<br />Répondre<br />Development<br />Secure contract<br />Code Review<br />Code Review<br />Backend Security<br />Threat risk modeling<br />J2EE Security<br />Testing<br />Testing<br />Application security requirements<br />RoR Security<br />ASVS<br />.NET Security<br />AJAX Security<br />PHP Security<br />Secure coding practices<br />Academy, Appsec FAQ, Appsec metrics, Common Vuln. List, Education, Exams, Legal, OWASP Top 10<br />OWASP Top 10 Web applications security risks<br />
  149. 149. Top 10<br />Référentiel des 10 risques de sécurité majeurs sur les applications web<br />Utilisable comme base pour "négocier" les exigences minimales en matière de sécurité <br />61<br />https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project<br />
  150. 150. Secure Software ContractAnnex<br />Guide OWASP<br />Compagnon de route pour l'élaboration ou l'évaluation de contrats de services menant à des applications web mieux sécurisées<br />62<br />https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex<br />
  151. 151. Conclusion<br />L'externalisation de services liés aux applications web est une délégation.<br />Cette délégation doit inclure la mise à disposition de services protégeant le patrimoine de l'organisation.<br />Des outils sont mis à la disposition des organisations pour obtenir de la confiance, et de l'assurance.<br />La gouvernance reste nécessaire: ces mesures doivent implémenter une stratégie. <br />63<br />
  152. 152. Plus?<br />La dernière version de cette présentation sera prochainement disponible sur http://www.slideshare.net<br />Outils:<br />Top 10 web applications securityrisks (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex<br />Secure contractannex (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex<br />Cloud computing: Riskassessment (ENISA)http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment<br />64<br />
  153. 153. 65<br />Merci!<br />contact: antonio.fontes@l7securite.ch<br />

×