Valdes securite des application - barcamp2012
-
Upload
valdes-nzalli -
Category
Technology
-
view
377 -
download
2
Transcript of Valdes securite des application - barcamp2012
![Page 1: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/1.jpg)
SÉCURITÉ DES APPLICATIONS
Valdes T. NzalliTwitter : valdesjo77
Yaoundé, 19 Mai 2012
![Page 2: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/2.jpg)
• Pourquoi Sécuriser Nos Applications ?1
• Comment Sécuriser nos Applications ?2
• Intégration de la Sécurité dans notre SDLC3
De quoi sera-t-il question?
![Page 3: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/3.jpg)
POURQUOI SÉCURISER NOS APPLICATIONS ?
![Page 4: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/4.jpg)
Les différentes failles• Pour les Applications Web :
OWASP Top 10• Les Failles d’implémentation :
le fuzzing
![Page 5: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/5.jpg)
Les enjeux
• L’impact économique• Le l’image de marque• Exemple : Cas de la compagnie Itron
(USA)
![Page 6: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/6.jpg)
Quelques Chiffres
• Les pertes entrainées par les failles logicielles en 2011 (Source 1)
• Plus de 75% des applications web sur le marché contiennent des failles critiques (source 2)
![Page 7: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/7.jpg)
COMMENT SÉCURISER NOS APPLICATIONS ?
![Page 8: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/8.jpg)
Intégrer les bonnes Pratiques• La Software Development Life Cycle
• Le développement industriel : Software Fabric
![Page 9: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/9.jpg)
Time Spent
Scanner automatique
de Vulnérablités
Audit de Code Source
Tester la Sécurité de son Application
Test manuel
![Page 10: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/10.jpg)
INTÉGRATION DES MESURES DE SÉCURITÉ DANS LE SDLC?
![Page 11: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/11.jpg)
Temps Passé
Activ
ités
men
ées
Réparation des failles les plus critiques
Retester l’Application
Modèles de Developpement Sécurisé
Refaire un audit du
code Source
Identifier les failles
récurentes
![Page 12: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/12.jpg)
Les outils à utiliser I
• Les Scanneurs de Vulnérabilité : Accunetix, W3AF, Burp Suite, HP WebInspect
• Les outils d’analyse de code source : Yasca, PMD, Coverity, phpSniffer, cobertura
![Page 13: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/13.jpg)
Les outils à utiliser II
• Les machines virtuelles de Test : Damn Vulnerable Web Application, metasploitable,
• Les reférentiels d’audit d’application
![Page 14: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/14.jpg)
Les Facteurs environnementaux
• La sécurité du poste de développement
• La sécurité du serveur de code sources
• Les comportements des utilisateurs
![Page 15: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/15.jpg)
Case Study : Sécurité d’une Application Web
• Web Application Security Checklist (voir fichier excel join)
![Page 16: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/16.jpg)
Ressources
• OWASP Top 10 <www.owasp.org>
• OWASP Turkey Web Application Security Checklist v.2 www.webguvenligi.org
• Source 1 : Couts des failles 2011 http://threatpost.com/en_us/blogs/insecure-applications-we-are-84-percent-120611
• Source 2 : Microsoft SDLCthreatpost.com/en_us/blogs/microsofts-sdl-expands-beyond-redmond-051612
• Analyse de code Java : http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de-code-java
![Page 17: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/17.jpg)
QUESTIONS?
![Page 18: Valdes securite des application - barcamp2012](https://reader036.fdocuments.net/reader036/viewer/2022062419/558e1a9c1a28abcf5b8b457d/html5/thumbnails/18.jpg)
APPENDIX