Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Documents pareils

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

La Sécurité des Données en Environnement DataCenter

Présentation de la solution Open Source «Vulture» Version 2.0

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Les risques HERVE SCHAUER HSC

Web Application Firewalls (WAF)

Sécurité des applications Retour d'expérience

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Vulnérabilités et solutions de sécurisation des applications Web

Projet Sécurité des SI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Vulnérabilités et sécurisation des applications Web

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Trend Micro Deep Security

Solutions de sécurité des données Websense. Sécurité des données

L'écoute des conversations VoIP

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Groupe Eyrolles, 2004, ISBN :

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Découvrir les vulnérabilités au sein des applications Web

Sécurité des applications web. Daniel Boteanu

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Le scan de vulnérabilité

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Fermer les portes dérobées des applications réseau

Notions de sécurités en informatique

TECHNOLOGIE SOFTWARE DU FUTUR. Logiciel de gestion d entreprise pour le Web

Présenté par : Mlle A.DIB

LEA.C5. Développement de sites Web transactionnels

LA PROTECTION DES DONNÉES

Groupe Eyrolles, 2006, ISBN : X

Rappels réseaux TCP/IP

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Protection des protocoles

Single Sign-On open source avec CAS (Central Authentication Service)

Fiche Technique. Cisco Security Agent

Trusteer Pour la prévention de la fraude bancaire en ligne

F5 : SECURITE ET NOUVEAUX USAGES

Hébergement de sites Web

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Formations. «Produits & Applications»

I. Description de la solution cible

Protéger les données critiques de nos clients

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Atelier Sécurité / OSSIR

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Mise en place d une politique de sécurité

McAfee Network Security Platform Une approche d'une intelligence inégalée de la sécurité du réseau

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

La Gestion des Applications la plus efficace du marché

Tutoriel sur Retina Network Security Scanner

1 LE L S S ERV R EURS Si 5

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

Sécurité des Applications Web Comment Minimiser les Risques d Attaques les plus Courants

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Citrix NetScaler : une base solide pour la sécurité des datacenters de nouvelle génération

Sécurité des réseaux Les attaques

Les utilités d'un coupe-feu applicatif Web

z Fiche d identité produit

Impression de sécurité?

Indicateur et tableau de bord

Meilleures pratiques de l authentification:

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Document de présentation technique. Blocage du comportement

Eliminer les risques liés aux failles de sécurité dans les applications Web avec Rational AppScan. Kamel Moulaoui

NAS 224 Accès distant - Configuration manuelle

Catalogue «Intégration de solutions»

Tutorial Authentification Forte Technologie des identités numériques

Sécurisation du réseau

Gestion des incidents de sécurité. Une approche MSSP

FleXos : Présentation Zscaler

PACK SKeeper Multi = 1 SKeeper et des SKubes

Nouveaux outils de consolidation de la défense périmétrique

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Progressons vers l internet de demain

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Infrastructure Management

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Transcription:

Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA

Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système d'information. Notre fonction en tant qu'entreprise est d'aider nos clients: à identifier les ressources critiques dans l'entreprise, à mesurer le risque réel pour leurs affaires, à analyser les failles de sécurité à mettre en place des solutions adaptées à leur environnement. à rester informés de ce qui se passe dans le monde de la sécurité Navixia propose une approche flexible et personnalisée de la sécurité informatique grâce à une structure légère, efficace, mobile et extrêmement expérimentée dans les domaines de l analyse, de la limitation et de la gestion des risques ainsi que de la formation. 24 octobre 2006 Navixia SA 2

Agenda Pourquoi les applications Web sont-elles des cibles, quelles conséquences? Quels sont les composants exposés? Comment se protéger? les moyens technologiques Architecture 24 octobre 2006 Navixia SA 3

Pourquoi cibler les applications Web La visibilité Les faiblesses sont dans les applications Données Application Système Réseau Une ouverture sur des applications métiers 24 octobre 2006 Navixia SA 4

Les conséquences X-SS, SQL Injection, Directory Traversal, Cookie Poisoning... Quelles conséquences? Divulgation d information Modification et intégrité des données Compromission de système Vol d identité Fraude 24 octobre 2006 Navixia SA 5

Les composants Serveur Web Main Frame Navigateur Web Serveur Web & Application Web Utilisateur Base de données Client Front-End Back-End 24 octobre 2006 Navixia SA 6

Se protéger Les solutions techniques sont des palliatifs Capacité à valider le code Développement externalisé Compétences locales Difficile de faire corriger une application Développement externalisé Accès au développeur Faible sensibilité et connaissance des développeurs 24 octobre 2006 Navixia SA 7

Firewall Internet Applicative : 5+ TCP IP MAC Physique } Attaques Capacités 24 octobre 2006 Navixia SA 8

Détection des Pré-attaques Vous êtes une cible parmi les autres Identifier le trafic de reconnaissance, une étape inévitable Principe Apprendre les serveurs actifs Observer les activités de reconnaissance Envoyer de leurres : simulation de faux systèmes vulnérables Prouver l intention malveillante Bloquer la source malveillante 24 octobre 2006 Navixia SA 9

Détection des Pré-attaques Internet? x b 24 octobre 2006 Navixia SA 10

Détection des Pré-attaques Avantages de ces solutions: Pas de signature ou de mises à jour (`` zero day ) Précision Blocage automatique Rapports et statistiques Pas d administration : faible TCO 24 octobre 2006 Navixia SA 11

Proxy inverse Offrir un Front-End robuste et sécurisé Intégrer efficacement le SSL Mettre facilement en place une solution SSL Décharger le serveur Web Déchiffrer le trafic pour analyse Intégrer une authentification forte et un Web SSO 24 octobre 2006 Navixia SA 12

Proxy inverse Serveur Authentification HTTPS HTTP + SSO Internet SQL or Net APIs 24 octobre 2006 Navixia SA 13

Firewall applicatif Analyse en temps réel Inspection des méthodes et headers HTTP Validation de protocole (XML ) Protection contre : Cross-Site Scripting SQL Injection Parameter Tampering Cookie Poisoning Etc. Contrôle d accès aux ressources Web Création d un ``profile dynamique recherche de déviance 24 octobre 2006 Navixia SA 14

Firewall applicatif HTTPS HTTP Internet 24 octobre 2006 Navixia SA 15

Patching virtuel Une probématique connue : le patch Serveur de production Effets négatifs et retour en arrière périlleux Systèmes qui ne sont plus supportés Protège des vulnérabilités critiques distantes Arcticle dans IBcom d octobre 2006 24 octobre 2006 Navixia SA 16

Patching virtuel Internet 24 octobre 2006 Navixia SA 17

Scanners Des outils communs aux attaquants, attaqués et auditeurs Mesure du risque Pendant le développement Récurrent Plusieurs types: Scanners réseaux : réseau & système Scanners Web Scanners de base de données 24 octobre 2006 Navixia SA 18

Audit de base de données Détermine l utilisation de la base (audit) Recommandé dans le cadre des régulations Séparation des tâches d audit et d administration Les solutions: Audit de l activité Quelles requêtes? Quelle fréquence? Création d un profile, pouvant être lié à la partie Web 24 octobre 2006 Navixia SA 19

Audit de base de données Internet 24 octobre 2006 Navixia SA 20

Security Information Management 24 octobre 2006 Navixia SA 21

Architecture La segmentation Base de données intermédiaire Architecture du code Modules APIs inter-modules fiables 24 octobre 2006 Navixia SA 22

Aujourd hui Les moyens technologiques pallient les lacunes de développement Sensibilisation des développeurs Perfectionnement des moteurs d analyse comportementale 24 octobre 2006 Navixia SA 23

et demain? Web 2.0 : Une évolution plus collaboratif va influencer les applications Web d entreprise Gravite autour de l information L utilisateur est autant créateur que consommateur de l information L utilisateur réagit plus ouvertement à l information (moins guidé par l application) Le risque: véracité de l information (données). Manipulation : robots 24 octobre 2006 Navixia SA 24

QUESTIONS? www.navixia.com