Upload
antonio-fontes
View
1.260
Download
0
Embed Size (px)
DESCRIPTION
Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011
Citation preview
1
Symposium dédié à la Cybersécurité en SuisseRôle de l’Etat et les attentes des PME
le 27 mai 2011 à GenèveCrowne Plaza Geneva
Workshop 3Externalisation des développements,
cloud computing et SaaS. Quelles mesures pour réduire les risques à la signature du contrat?
Antonio Fontes
2
Bio
Antonio Fontes– 6 ans d’expérience dans la sécurité logicielle et protection des données– Fondateur et Directeur de la société L7 Securité Sàrl– Intervenant régulier HES-SO/HEIGVD – Sécurité web
Focus:– Menaces, risques, et contremesures dans les architectures et services
web– Sécurité dans le cycle de développement logiciel– Etablissement du modèle de menace (threat modeling) – Evaluation/vérification de la sécurité/conformité– Analyse de performance
OWASP:– OWASP Suisse: membre du Comité, coordinateur Romandie– OWASP Genève: chapter leader
3
Agenda
• Revue d'actualité: le contexte, la menace• Théorie:– Cycle de développement d'une application web– Architectures web
• Opportunités pour l'organisation:– Externalisation d'un développement web– Déploiement de l'application sur un service Cloud– Location d'une application web (SaaS)
• Outils à disposition des organisations• Clôture
contexte et menace...
5
Etude de cas: SONY
6
Etude de cas: SONY
77 millions d’utilisateurs
7
Etude de cas: SONY
8
Etude de cas: SONY
9
Etude de cas: SONY
Détails de l'intrusion informatique auprès de Sony Entertainment Online (SOE) (1er mai 2011)
Photo: Dave Oshry
10
Etude de cas: Lastpass
Quelqu'un comprend-il cela au sein de votre
organisation?
11
Etude de cas: SONY (2)
101 millions
12
Etude de cas: Montreux Jazz
13
Etude de cas: SONY (3)23 mai 2011
14
Etude de cas: SONY (3)
Source: neowin.net
15
Etude de cas: SONY
• Dédommagement aux 101 mio. d'utilisateurs:– 1 an d'assurance "dommages vol d'identité" USD
1mio.$– 1 an d'assurance "surveillance cartes"– 30 jours de service offerts– 2 jeux vidéo offerts
• 23 jours d'interruption de service– Taux de disponibilité: 93%
16
Etude de cas: SONY
• Deux actions collectives (class action):– 2 mai 2011 (E.U.)• Négligence: pas de chiffrement de données, pas de
pare-feux applicatifs, pas de notification aux clients• Non respect des garanties de service: interruption de
plus d'une semaine
– 27 avril 2011 (Canada) • Dommage à la sphère privée • Des dommages pour le montant d'1 milliard de $ sont
réclamés
17
Etude de cas: SONY
• Coût de l'intrusion:– Immédiat: USD 172mio.– Estimé, attendu: USD >1mia. (incl. actions civiles)
• Profits attendus pour l'année fiscale 2011-2012 (avril): – USD 972mio.
18
SQL Injection?
• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
19
Etude de cas: Wordpress
20
Etude de cas: Infomaniak
21
Etude de cas: Infomaniak
22
Etude de cas: Infomaniak
23
Le contexte de l'organisation
• Problématique externe:– Adoption croissante du « tout web »– Intérêt « hostile » croissant dans les services en
ligne– Population « malveillante » croissante– Le piratage/La sécurité des applications web est
« simple » à comprendre/enseigner– Risque faible d’être rattrapé par les autorités / peu
de barrières à l'entrée
24
Le contexte de l'organisation
• Enjeux lors du développement:– Plusieurs dizaines de technologies web à gérer– Équipes internes hétérogènes, pratiques diverses– Culture de l’urgence– Rotation du personnel, fuite du savoir-faire– Manque de sensibilisation aux risques des
applications web– Méconnaissance du consensus des bonnes
pratiques
25
Le contexte de l'organisation
• Enjeux lors de l'externalisation:– Environnement technologique complexe, pour la
majorité des acteurs impliqués– Manque de connaissances quant aux risques des
applications web et leurs contrôles associés– Manque de labels sur lesquels s'appuyer– Opacité générale des fournisseurs:• Terme "sécurité" galvaudé, souvent confondu avec
"contrôle d'accès"• Le mythe "SSL"
26
Le contexte de l'organisation
• Impacts les plus fréquents d'incidents "web":– Perte/Vol/Extorsion de données confidentielles ou
stratégiques– Réduction/paralysie de l'activité de l'organisation– Compromission des systèmes "internes"– Frais de rétablissement largement sous-estimés
27
un peu de théorie(mais pas trop, rassurez-vous!)
28
Architecture web: base
29
Architecture web: base
30
Architecture web: hébergeur
31
Architecture web: hébergeur
32
Architecture web: cloud
33
Architecture web: cloud
34
Architecture web: cloud
35
Architecture web: SaaS
36
Architecture web: SaaS
37
Développement externalisé
38
le cycle de développement web
Analyse Conception Codage Vérification Déploiement Opérations
39
Cycle de développement web
Analyse Conception Codage Vérification Déploiement Opérations
40
Cycle de développement web
40
ENTR
EEAC
TIVI
TES
LIVR
ABLE
S
- Etudes- Besoin
- Conception, architecture
- Spécifications techniques / fonctionnelles- Plans qualité (+ tests)
- Spécifications techniques + fonctionnelles
- Codage- Test unitaires
- Code compilé / exécutable- Rapport de tests unitaires
- Code source- Exécutables
-Test fonctionnel - Test technique- Doc
- Application-Recette- Docs / guides
- Application- Docs / guides
- Installation- Intégration- Vérification
- Go en production
- Incident- Problème- …
- Traitement de bugs
- Application corrigée
- Demande, besoin, idée
- Etudes (faisabilité, opportunité)
- Etudes-Décision: Go/nogo
Analyse Conception Codage Vérification Déploiement Opérations
41
Cycle de développement web
41
ENTR
EEAC
TIVI
TES
LIVR
ABLE
S
- Etudes- Besoin
- Conception, architecture
- Spécifications techniques / fonctionnelles- Plans qualité (+ tests)
- Spécifications techniques + fonctionnelles
- Codage- Test unitaires
- Code compilé / exécutable- Rapport de tests unitaires
- Code source- Exécutables
-Test fonctionnel - Test technique- Doc
- Application-Recette- Docs / guides
- Application- Docs / guides
- Installation- Intégration- Vérification
- Go en production
- Incident- Problème- …
- Traitement de bugs
- Application corrigée
- Demande, besoin, idée
- Etudes (faisabilité, opportunité)
- Etudes-Décision: Go/nogo
Analyse Conception Codage Vérification Déploiement Opérations
A chaque phase:- des enjeux spécifiques- des acteurs spécifiques- des livrables spécifiques- des risques spécifiques- des bonnes pratiques spécifiques- des contrôles spécifiques- etc.
Opportunités pour l'organisation:
Analyse Conception Codage Vérification Déploiement Opérations
Acroître la confiance "sécurité":- compréhension des enjeux- compétences- bonnes pratiques- contrôle- conformité
43
opportunités pour l'organisation: externalisation du développement web
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Risques:- rôle de la réglementation- rôle et enjeux pour l'organisation- mauvaise conception du produit
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Mesures:- analyse des besoins- classification / impacts- conception sécurisée- revue de la conception
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Risques:- méconnaissance technologique- codage non sécurisé- sécurité non testée
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Mesures :- Pratiques de codage sécurisé- Expertise technologique- Vérification de la sécurité
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Risques:- déploiement non sécurisé- pas de processus de réponse- absence d'indicateurs
Opportunités: développement web
Analyse Conception Vérification Déploiement Opérations
Mesures:- sécurité de l'environnement-processus de traitement des incidents- indicateurs de sécurité
Codage
50
opportunités pour l'organisation: hébergement de l'application et
environnements cloud
Opportunités: cloud
Analyse Conception Codage Vérification Déploiement Opérations
Risques "cloud":- cycle de vie des données inconnu- guidance de déploiement sécurisé absente- incapacité de tester la sécurité- territorialité inconnue- cohabitation avec les autres clients?- traitement des incidents-…
Opportunités: cloud
Mesures "cloud":- guidance de déploiement sécurisé- prise d'informations- contrat- Prise en compte des risques et mesures "web"
Analyse Conception Codage Vérification Déploiement Opérations
53
opportunités pour l'organisation: SaaS (location du service)
Opportunités: SaaS
Risques "SaaS":- Service présentant des vulnérabilités- Environnement mal protégé- Traitement des incidents de sécurité- Isolation entre clients- etc. cloud?
Analyse Conception Codage Vérification Déploiement Opérations
Opportunités: SaaS
Mesures "SaaS":- Prise d'informations- Contrat- Traitement des incidents de sécurité
Analyse Conception Codage Vérification Déploiement Opérations
56
"Servez-vous!"outils à disposition des organisations
57
OWASP
• Open Web Application Security Project• https://www.owasp.org• Fondation à but non lucratif, ouverte et
internationale• Projets OWASP• Sections OWASP (Local Chapters)– OWASP Suisse https://www.owasp.org/index.php/Switzerland
– OWASP Genève https://www.owasp.org/index.php/Geneva
58
Stratégie OWASP
Web Application
Outils
Processus
Personnes
Menace
Patrimoine
Sommet
Sous-Comités
Comité
Chapitres
Projets
Application Web
Conférences
Membres
Site web
59
Projets OWASP: outils
Analyser Concevoir Implémenter Vérifier Déployer Répondre
AntiSAMMY
ESAPI
ModSecurity CRS
JBroFuzz
LiveCD
WebScarab
Academy portal, Broken Web applications, ESAPI Swingset, Webgoat
CSRFGuard
Encoding
Code Crawler
DirBuster
WebScarab
OrizonO2
Zed Attack Proxy
Stinger
https://www.owasp.org/index.php/Category:OWASP_Project
60
Projets OWASP: référentiels
Development
RoR Security
Code Review
Testing
ASVS
Academy, Appsec FAQ, Appsec metrics, Common Vuln. List, Education, Exams, Legal, OWASP Top 10
.NET Security
Secure coding practices
Code Review
Testing
Secure contract
Backend Security
Threat risk modeling
AJAX Security
Application security
requirements
J2EE Security
PHP Security
Analyser Concevoir Implémenter Vérifier Déployer Répondre
https://www.owasp.org/index.php/Category:OWASP_Project
OWASP Top 10 Web applications security risks
61
Top 10• Référentiel des 10
risques de sécurité majeurs sur les applications web
• Utilisable comme base pour "négocier" les exigences minimales en matière de sécurité
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
62
Secure Software Contract Annex• Guide OWASP• Compagnon de route
pour l'élaboration ou l'évaluation de contrats de services menant à des applications web mieux sécurisées
https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
63
Conclusion
• L'externalisation de services liés aux applications web est une délégation.
• Cette délégation doit inclure la mise à disposition de services protégeant le patrimoine de l'organisation.
• Des outils sont mis à la disposition des organisations pour obtenir de la confiance, et de l'assurance.
• La gouvernance reste nécessaire: ces mesures doivent implémenter une stratégie.
64
Plus?
• La dernière version de cette présentation sera prochainement disponible sur http://www.slideshare.net
• Outils:– Top 10 web applications security risks (OWASP)
https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
– Secure contract annex (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
– Cloud computing: Risk assessment (ENISA) http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment