SÉCURITÉ POUR CTO DE STARTUP

Transcription

1 SÉCURITÉ POUR CTO DE STARTUP

2 La sécurité ne doit jamais être la priorité

3 NOUS SOMMES EN PLEIN DANS LA RÉVOLUTION NUMÉRIQUE Contexte économique

4 DANS LE DIGITAL, C EST LE RAPIDE QUI MANGE LE LENT L importance du Hme to market

5 POUR ALLER VITE IL FAUT ACCEPTER LE RISQUE La sécurité est un frein The biggest risk is not taking any risk... In a world that changing really quickly, the only strategy that is guaranteed to fail is not taking risks. Mark Zuckerberg

6 SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec DHH, le dev hipster Stallman, le guru GNU/Linux parano

7 SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Il faut me?re en ligne mon nouvel cloud SaaS de de projet super simple, ça s'appelle Basecamp! Dev hipster Ops parano

8 SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Cloud/SaaS/ Basecamp??? Dev hipster Ops parano

9 SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Tu as pensé aux Backups? Monitoring? C'est pas pour demain... Performances? Securité? Scalabilité? Dev hipster Ops parano

10 AUaques dans la vraie vie

11 ALLOMATCH.COM : POUR NE PLUS JAMAIS RATER UN MATCH Allomatch

12 THEODO : TODAY, BUSINESS PROBLEMS NEED SMART CODERS Theodo

13 L'ATTAQUE INFORMATIQUE AVEUGLE Le bot Contexte : Phpmyadmin disponible sur le port 81, pas à jour Symptôme : impossible de se loguer en ssh, sshd avait été compromis mais en 32 bit et pas 64 bits Solutions : mettre à jour les serveurs, minimum de services exposés, Firewall

14 L'ATTAQUE INFORMATIQUE AVEUGLE Le bot Contexte : ElasticSearch bindé sur l'ip publique, pas à jour Symptôme : la VM débranchée à cause d'un flood Solutions : mettre à jour les serveurs, minimum de services exposés, Firewall

15 L'ATTAQUE INVOLONTAIRE La négligence Contexte : Sous-traitance de sous-traitance Symptôme : 1 millions de mots de passe en clair! Solutions : protéger un minimum les données!

16 L'ATTAQUE INVOLONTAIRE La négligence Contexte : Heartbleed Symptôme : j'ai testé sur des sites avec succès Solutions : mettre à jour plus vite!

17 L'ATTAQUE INFORMATIQUE CIBLÉE Le partenaire mal- intenhonné Contexte : accès git+ssh sur thor.theodo.fr donné au développeur d un client Symptôme : serveur débranché par Online à cause d un flood sortant par ircbot installé sur thor... Solutions : ne pas donner des accès à tout le monde, Firewall

18 L'ATTAQUE INFORMATIQUE INTERNE Le salarié mal- intenhonné Contexte : développeur intolérant des hipsters Symptôme : Travis-CI, attaqué par ce développeur, veut diffamer publiquement Theodo Solutions : gérer les tensions (management), le système judiciaire...

19 L'ATTAQUE PHYSIQUE Le vol Contexte : Pierre-Olivier rentre après un rendez-vous Symptôme : Pierre-Olivier se fait agresser et voler son ordinateur portable devant les bureaux Solutions : tout dans le cloud! Et chiffrer les disques des ordinateurs portables

20 Le Minimum Secured Product

21 FAIRE CONFIANCE AU SAAS Outsourcer Gestion des mots de passe, Two-factor Authentication... Merci Google Apps, Dropbox, etc.

22 DEV : NE PAS LAISSER DE FAILLES BÊTES DANS VOTRE SITE WEB L'importance du framework XSS, CSRF, injection SQL, mots de passe en clair Utilisez un framework! Symfony2 par exemple :-)

23 OPS : SCRIPTER LA CONFIG SERVEUR Provisioning Gestion de clefs SSH et firewalls Ansible, Puppet, SSHKeys

24 OPS : INFOGÉRER LA MISE A JOUR Infogérance Heartbleed, shell bomb... Il faut que quelqu'un mette à jour

25 La sécurité agile Rugged development

26 L'AGILITÉ EST SOUVENT ASSOCIÉE À SCRUM ET LE DEV ITERATIF Développement agile Source:

27 MAIS SI LA SÉCURITÉ BLOQUE LES DEVS, CE N'EST PAS AGILE! Dev VS ops

28 C'EST LE BUT DE DEVOPS : RÉSOUDRE LE PROBLÈME DES SILOS DéfiniHon de Devops Devops c est Faire travailler toute l organisa@on IT en équipe Avec un but commun : la performance technique orientée business

29 FINI LA LIGNE MAGINOT, ON EST RENTRÉ DANS L'ÈRE INTERNET!!! Sécurité profonde

30 IL FAUT SÉCURISER CHAQUE SERVEUR COMME S'IL ÉTAIT PUBLIC Sécurité profonde La sécurité est au niveau de l'appli chaque service est protégé les risques doivent être répartis

31 UN SERVEUR QUI MEURT ET RESSUSCITE A CHAQUE DEPLOY Infrastructure résiliente Un deploy est une image reprovisionnée (Docker?) Une garantie de mise à jour régulière Ça tue les infections Mais ça nécessite plus de Devops (Qui met à jour en cas d'heartbleed?)

32 L'ARCHITECTURE MICRO SERVICES Infrastructure n- Her Architecture à base de containers immutables (Docker) pas d'accès prévu vers l'intérieur firewall total sur chaque container sauf un port limitation des accès à la prod

33 PENETRATION TESTS DANS L'INTÉGRATION CONTINUE AutomaHser l'auaque "Battle-tested code without the battle" OWASP ZAP Gauntlt Nessus

34 POST- MORTEM ET FEEDBACKS LOOPS AmélioraHon conhnue Remplacer l'audit power-point! attaques en mode grey hat post-mortem formation

35 VOUS VOULEZ CRÉER LA SÉCURITÉ AGILE? Theodo.Academy Rejoignez la THEODO.ACADEMY! Formation CTO en 5 ans Réseau de startups agiles en France et bientôt au UK Incubation pour créer votre propre startup

36 LES LIVRES À LIRE POUR ALLER PLUS LOIN GeVng Real The Lean Startup Scrum en The Phoenix Project

37