View
762
Download
3
Category
Preview:
DESCRIPTION
PRésentation de la norme ISO 27034 au Club 27001 PAris
Citation preview
Document confidentiel - Advens® 2014 www.advens.fr
LA NORME ISO 27034
Sebastien Gioria Club 27001 – Paris 25 Septembre 2014
Document confidentiel - Advens® 2014 www.advens.fr 2
Agenda
§ Problématiques initiales et besoins exprimés pour la création de la norme
§ Les différents tomes § La norme ISO 27034-1:2011 § Questions/Réponses ?
Document confidentiel - Advens® 2014 www.advens.fr 3
http://www.google.fr/#q=sebastien gioria
‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader
‣ Innovation and Technology @Advens && Application Security Expert
Twitter :@SPoint
‣ Proud father of youngs kids trying to hack my digital life.
Document confidentiel - Advens® 2014 www.advens.fr 4
Qui sommes-nous ?
Nous aidons les organisations, publiques ou privées, à manager la sécurité de l'information pour en améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des compétences sectorielles
• Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service »
• Une approche pragmatique et des tableaux de bord actionnables
• Une vision globale et indépendante des technologies
Éléments clés
• Créée en 2000
• CA 10 millions euros
• 80 collaborateurs basés à Paris, Lille, Lyon, Grenoble, Niort
• Plus de 300 clients actifs en France et à l’international
• Prestataire d’audit de la sécurité des SI (PASSI) en cours par l’ANSSI
Document confidentiel - Advens® 2014 www.advens.fr 5
Problématiques initiales et besoins exprimés pour la création de la norme
Document confidentiel - Advens® 2014 www.advens.fr 6
99% des applications Web sont vulnérables**
En moyenne, une application contient 13 failles**
3,61$ par ligne de code, c’est le coût de la non qualité/sécurité dans un développement***
*Source : Ponemon Institute 2013 **Sources Cenzic 2013
***Source : Castsoftware 2012
80% des budgets sécurité sont consacrés à l’infrastructure alors que les applications concentrent 90% des vulnérabilités*
Document confidentiel - Advens® 2014 www.advens.fr 7
Différentes causes pour les mêmes résultats
Les utilisateurs cherchent agilité et autonomie ➜ Se tournent vers le Cloud sans évaluer la sécurité ➜ Bypassent la DSI, le RSSI ➜ Cherchent à optimiser les coûts et des délais rapides
Les développeurs manquent de moyens ➜ Manquent de sensibilisation et de formation ➜ Utilisent des méthodologies dans lesquelles la sécurité n’est pas intégrée ➜ Répondent à des cahiers des charges qui n’intègrent pas d’exigences
Les éditeurs ne maîtrisent pas la sécurité dans leurs produits ➜ Pression du marché / Time to market ➜ Absence de clauses sécurité dans les achats et dans les appels d’offres
Document confidentiel - Advens® 2014 www.advens.fr 8
Problématiques des utilisateurs finaux
§ Les vulnérabilités applicatives ont un impact plus fort qu'il y a 10 ans. § L'environnement technologique est complexe § Il est difficile de garder toujours le même niveau de sécurité, en particulier
lors de la maintenance de l'application § Il faut rester conforme aux différents contextes règlementaires et législatifs § Il y a peu ou pas de contrôle sur les applications acquises
› vulnérabilités ? › configuration / installation ? › opérations ?
§ Pas ou peu d'exigences de sécurité lors des A.O ou sur les contrats › dépendance du fournisseur › pas de droit de regard client parfois (clauses d'audit interdites) › ...
Document confidentiel - Advens® 2014 www.advens.fr 9
Besoins exprimés pour la création
§ L'utilisateur final a besoin d'outils pour définir les exigences des le début du projet
§ L'editeur a besoin d'outils pour se conformer aux exigences
§ L'auditeur a besoin d'outils pour évaluer la sécurité des applications › Processus › Méthode › Critères de controle
Document confidentiel - Advens® 2014 www.advens.fr 10
Les différents tomes de la série 27034
Document confidentiel - Advens® 2014 www.advens.fr 11
ISO27034, une norme en 7 tomes
§ 27034-1 : Concepts et survol global – › Etat : 60.60
§ 27034-2 : Cadre normatif de l'organisation - Que faut-il utiliser ? › Etat : 40.20
§ 27034-3 : Processus de gestion de la sécurité d'une application - Comment intégrer dans le processus la sécurité ? › Etat : 10.99
§ 27034-4 : Validation de la sécurité d'une application (organisation, application, humaine) › Etat 10.99
§ 27034-5 : Protocoles et structures de données des contrôles de sécurité applicative › Etat : 30.20
§ 27034-6 : Pratique de sécurité pour des cas spécifiques d'applications (exemples, case study) › Etat 30.20
§ 27034-7 : Application security control attribute predictability (concept américain J) › Etat 10.99
Document confidentiel - Advens® 2014 www.advens.fr 12
Liens avec les autres normes ISO - § 0.5
Document confidentiel - Advens® 2014 www.advens.fr 13
La norme dans le détail
Document confidentiel - Advens® 2014 www.advens.fr 14
Objectifs de la norme ISO 27034
§ Proposer un modèle permettant de faciliter l'intégration de la sécurité dans le cycle de vie de développement d'une application › qu'elle soit développée en interne › qu'elle soit en partie "achetée" › qu'elle soit en mode SAAS
§ Proposer un modèle pouvant s'adapter aux processus et méthodologie de l'organisation
§ Mais en aucun cas › de proposer des contrôles ou règles de développement => voir
OWASP ;)
Document confidentiel - Advens® 2014 www.advens.fr 15
Principes
§ La sécurité est une exigence métier § La sécurité d'une application dépend de son contexte
d'utilisation § La sécurité d'une application doit pouvoir être démontrée § Il est nécessaire de pouvoir connaitre le bon niveau
d'investissement financier pour sécuriser l'application § La portée de la sécurité d'une application est
› tout ce qui au sein de l'organisation peut mettre en péril l'information critique
› tout ce qu'il faut contrôler pour protéger l'information › inclut les personnes, processus, et l'infrastructure
technologique
Document confidentiel - Advens® 2014 www.advens.fr 16
Portée de la sécurité d'une application - § 6.3
Document confidentiel - Advens® 2014 www.advens.fr 17
Principes - processus - § 7
Processus de gestion des risques appliqué à chaque
applicatif
Cadre normatif de l'organisation
Document confidentiel - Advens® 2014 www.advens.fr 18
Cadre normatif de l'organisation – §8
Documente les standards et pratiques de l'organisation : • processus de gesiont de
projet,... • politiques de sécurité • regles de developpemet,
• ...
Documente le contexte réglementaire et legislatif ou sont utilisées les applications
Documente les produits, services et technologies utilisées par l'organisation, et permet de déterminer les menaces auquelles fait face l'application
Dépot des spécifications et besoins fonctionnels ainsi que les solutions utilisées pour y répondre. On y trouve aussi le code, les librairies, ...
Roles, responsabilittés et quelifications pour le projet. S'assure que tous les acteurs pour les processus sont définis et assure la séparation des privilèges
Contient tous les contrôles de sécurité applicative approuvés C'est aussi un recueil des bonnes pratiques
Contient tous les processus de sécurité impliqués par la sécurité des applications de l'organisation
Modèle de cycle de vie standard pour la sécurité d'une application (cf slide suivant)
Document confidentiel - Advens® 2014 www.advens.fr 19
Modèle de cycle de vie pour la sécurité applicative - § 8.1.2.7
Buts : • aider l'organisation à valider le cycle de vie de chacune des applications • aider l'organisation à s'assurer que les problèmes de sécurité sont correctement
adressés • aider l'organisation à minimiser le cout et l'impact de l'ISO27034 dans les projets • fournir un modèle standard pour le partage des ASCs a travers les projets
Document confidentiel - Advens® 2014 www.advens.fr 20
Controle de Sécurité Applicative (ASC) § 8.1.2.6.5
§ Mesure de réduction du risque § Crée, approuvé et maintenu par l'organisation § Utilisé par les équipes de projet, d'opération, d'assurance qualité et d'audit § Peut être utilisé comme critère d'acception lors du développement § Vérifiable / Auditable § Décrit formellement dans un format standard (XML)
Document confidentiel - Advens® 2014 www.advens.fr 21
Librairie des controles de sécurité applicative § 8.1.2.6.2
§ Peut être vue comme une grille
Document confidentiel - Advens® 2014 www.advens.fr 22
Application Level of Trust § 8.1.2.6.4
§ Indice de tolérance au risque § Concrétisé par un ensemble de contrôle (cf une colonne de la grille de la librairie des
contrôles) § Plusieurs niveaux sont définis :
› Targeted Level of Trust : niveau de confiance cible définit par le propriétaire de l'application suite à l'analyse des risques
› Actual Level of Trust : niveau de confiance réel, suite a un audit par ex
Document confidentiel - Advens® 2014 www.advens.fr 23
Processus de gestion de la sécurité § 7.3
Détermination des élément impactant l sécurité de l'application : • specs • acteurs • information • contexte business/relegislatif et
technologique Identification, analyse et evaluation du risque Deduction des exigences de sécurité
Détermination du niveau de sécurité/confiance par le propriétaire de l'application
Extraction de l'ONF, des contrôles pertinents pour réduire les risques en fonction du 1 et du 2
Il en sort un cadre appelé ANF. Il contient toute l'information relative à la sécurité de l'application
Tous les controles de l'ANF sont utilisés pendant le cycle de vie de l'application Réalisation des activités de sécurité de tous les contrôles Réalisation de toutes les activités de vérification des contrôles
Vérification du résultat de toutes les activités de vérification et tous les contrôles Le résultat qui en sort est le niveau de confiance réel
Document confidentiel - Advens® 2014 www.advens.fr 24
Processus de vérification de la sécurité § 8.5
Document confidentiel - Advens® 2014 www.advens.fr 25
Apports directes de la norme
§ Un cadre standard de gestion des risques applicatifs § Un futur référentiel permettant de « vérifier » / « valider »
le niveau de sécurité d’une application § Des processus permettant la certification des
entreprises/applications
ET PUIS C’EST TOUT !!!
Document confidentiel - Advens® 2014 www.advens.fr 26
Inconvénients / Effort de déploiements
§ Définir les rôles et responsabilités : › peut être assez complexe suivant le S.I › complexe dans le cas de S.I infogérés (Cloud....) existants
§ Documenter les processus et les composants › Les mettre a jour pour coller a la norme
§ Créer les cadres normatifs de l’organisation
§ Mettre en oeuvre le processus : 1. dans l’organisation 2. dans les projets !
Gérer le changement !
Document confidentiel - Advens® 2014 www.advens.fr 27
Apports indirects (Avantages) de la norme
§ Apporte une augmentation du niveau de sécurité des applications § Uniformisation et normalisation de la sécurité des applications :
› OWASP ASVS › OWASP OpenSAMM › BSIMM (Cigital) › SDL (Microsoft) › .....
§ Meilleur controle des fournisseurs d’applications (internes, externes) § Réutilisation des composants, processus et contrôles existants
Roles Responsabiltié Bénéfice de la norme
Managers Gérer le cout de l’implémentation et du maintient de la sécurité applicative
Permet de prouver que l’application a atteint le niveau de sécurité voulu et qu’elle le maintient
Developers Comprendre ou la sécurité doit être appliqué dans chacune des phase du cycle de vie de l’application
Permet d’identifier et implémenter les controles de sécurité nécessaires
Auditors Vérifier les contrôles pour prouver le niveau de sécurité de l’application
Permet de standardiser le processus de certification en sécurité applicative
End users N/A Permet de s’assurer que l’application peut être utilisée en toute sécurité.
Document confidentiel - Advens® 2014 www.advens.fr 28
Les questions qui fachent ! ou pas !
§ Existe-t-il des certifications ISO 27034 ? › Réponse : Oui via le PECB ! (LSTI si vous m’entendez, venez me voir J)
− ISO 27034 Lead Auditor − ISO 27034 Lead Implementer − ISO 27034 Fundations
§ Existe-t-il des entreprises ayant implémentées la norme ? › Réponse : Oui !
− Au moins Microsoft (facile vu que la SDL colle dans l’annexe A....) ; cf blog microsoft.com
« Microsoft has used a risk based approach to guide software security investments through a program of continuous improvement and processes since the Security Development Lifecycle (SDL) became a company-wide mandatory policy in 2004. In 2012, Microsoft used ISO/IEC 27034-1, an international application security standard as a baseline to evaluate mandatory engineering policies, standards, and procedures along with their supporting people, processes, and tools. All current mandatory application security related policies, standards, and procedures along with their supporting people, processes, and tools meet or exceed the guidance in ISO/IEC 27034-1 as published in 2011. »
− Un équipementier serait en cours en France.... − Différentes sociétés canadiennes (facile, le créateur de la norme est canadien ;))
Document confidentiel - Advens® 2014 www.advens.fr 29
Prochaines dates
§ Application Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 - http://www.appsec-forum.ch/
› Secure Coding for Java – 1 Day training › SonarQube pour la sécurité applicative
§ CLUSIR InfoNord – 16 Décembre 2014 › Le paradigme de la sécurité des objets connectés; Présentation de
l’OWASP Top10 IoT
§ Confoo 2015 – Montreal – 16 au 20 Février 2015
§ OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015
Document confidentiel - Advens® 2014 www.advens.fr 30
?
Questions / Réponses
Document confidentiel - Advens® 2014 www.advens.fr 31
Merci pour votre participation
www.advens.fr/blog
Groupe LinkedIn Webinars – 9 épisodes
Application Security
Academy Saisons 1, 2 et 3
Découvrez nos ressources sur la sécurité des applications
Document confidentiel - Advens® 2014 www.advens.fr
VOTRE CONTACT
4 square Edouard VII – 75009 Paris T + 33 (0)1 84 16 30 25� F +33 (0)3 20 70 54 28 � M +33 (0)6 70 59 11 44 sebastien.gioria@advens.fr � www.advens.fr
Sébastien Gioria | Innovation & Technologies
Recommended