RETOUR D EXPÉRIENCE Mise en place de la sécurité des applications en grande entreprise Par Yves Lepage Directeur sécurité des applications In Fidem inc. 7 mai 2014
YVES LEPAGE QUI SUIS-JE? Aujourd hui Membre de ISO SC27 et OWASP Directeur principal en sécurité des applications Récemment 1 er directeur dédié à la sécurité des applications au Québec Il y a longtemps Directeur adjoint, responsable du développement et de la sécurité d un grand site web transactionnel Conseiller, administrateur de systèmes et développeur Auteur 2
RETOUR D EXPÉRIENCE MON HISTOIRE, MES SUCCÈS, MES ÉCHECS 1. Contexte d affaires de Desjardins 2. Arrivée en poste : Ma vision 3. Stratégie de mise en place de la vision 4. Les enjeux rencontrés 5. Adaptations de la stratégie et de la vision 6. Conclusion : Leçons apprises 3
CONTEXTE D AFFAIRES 40 000+ employés Une dizaine d entités : Caisses, Assurances de dommages, Fiducie, VMD, Cartes, Assurances de personnes, Gestion des actifs, etc. Création de la vice-présidence de sécurité, du poste et de son équipe : - Domaine en émergence - 2 employés - Peu de budget - Niveau de maturité 1 : Ad-Hoc (trouve et répare) 4
AU TOUT DÉBUT MON RÊVE, MA VISION Le rêve Créer le meilleur groupe de sécurité expert... au monde Permettre la création d applications impossibles à pirater La vision Créer un centre d expertise Implanter ISO 27034-1 et être un pionnier Être le Steve Jobs de la sécurité applicative! 5
DÉCOUVERTE ET PREMIERS CONSTATS Environnement de travail - Des milliers d applications - +/- 50 équipes de développement Premiers contacts avec les équipes de développement - Différentes définitions du mot «application» - Sécurité des applications :?!? Choc des idées : - «Nos applications sont en sécurité, elles sont protégées par un coupefeu» - «L application n est pas exposée à Internet, seul le portail web l est» - «On n a pas besoin de la sécurité pour nous montrer comment programmer» 6
STRATÉGIE DE MISE EN ŒUVRE 1 RE VERSION 1. Établissement des priorités 2. Pèlerinage et évangélisation 3. Mise en place d un bureau de services Bâtir la crédibilité Bâtir sur nos forces actuelles 4. Implantation de la norme ISO 27034 et développement de l expertise 7
1 RE ÉTAPE ÉTABLISSEMENT DES PRIORITÉS Comment obtenir des gains rapides? Priorités en trois (3) critères : - Transactionnel, exposé à Internet - Assujetti à PCI-DSS - Interne et traitant des données confidentielles Résultat : Il ne reste que quelques centaines d applications! 8
2 E ÉTAPE PÈLERINAGE ET ÉVANGÉLISATION Formation de base en développement sécuritaire, 4 heures, petits groupes de seniors, gratuite pour tous les développeurs (alliances internes) Au départ : - «Je suis acheteur du concept, mais je n ai rien budgété cette année» - «On pourrait commencer par de la formation, mais juste pour libérer mes programmeurs, ça va coûter cher» Résultats : les équipes visées sont passées de sceptiques à alliées et évangélistes Leçon no 1 : Patience et aptitudes relationnelles 9
3 E ÉTAPE BÂTIR LA CRÉDIBILITÉ Utilisation de l expertise existante en tests d intrusion Les tests d intrusion se sont avérés être un bon retour sur investissement Mais c est trop tard dans le cycle de vie Attention de ne pas tomber dans l excès de zèle! 10
BUDGETS Surprise! Malgré les succès, les budgets ne suivent pas la demande Combat inégal : on investit où? - dans le connu et prouvé? - ou bien dans la nouvelle patente qui n a pas fait ses preuves? Budget obtenu = au compte-gouttes 11
STRATÉGIE AJUSTÉE 2 E VERSION Formation de base -> avancée Évangéliser, communiquer, socialiser On continue! Conseil et accompagnement de Germaine -> Sœur Angèle Tests d intrusion Étendre les tests en mode projet Revue de code On essaie, en mode projet! Explorer l implantation de ISO 27034 Allez, on se lance! 12
REVUE DE CODE COMMENT S Y PRENDRE? Considérations : Échecs précédents d implantation d un outil d automatisation Solution retenue : Revue de code manuelle (expertise existante) + définition d un standard de codage sécuritaire Résultats : - Service pas très populaire au début - Popularité en croissance après avoir essayé - Les développeurs embarquent s ils voient qu on peut les aider (crédibilité) - Niveau de maturité 2 : Répétable (réactif) Attention : Le top 3 de OWASP est suffisant au démarrage Leçon 2: Les développeurs ont faim de sécurité applicative, nourrissez les 13
EXPERTISE COMMENT VAIS-JE LIVRER TOUT CELA? Expertise combinée (dév. + sécurité) = rareté - Expérience en programmation web obligatoire - Un super-extra-méga senior en sécurité applicative = est-ce que ça existe? Solutions : - Références internes, recrutement dans le milieu - Embauche sur passion en premier Piège : Doit entretenir la passion Leçon no 3 : L expertise est rare : soyez créatifs pour attirer les recrues 14
ASPECT MÉTHODOLOGIQUE POURQUOI ISO 27034? Problèmes vécus : - Peu d alignement sur le risque réel - Applications ne sont pas sécurisées uniformément par les projets (peu répétable) - Activités de sécurité sont réactives versus proactives ISO 27034 : - Méthodologie d intégration de la sécurité dans le cycle de développement = gagner en proactivité = baisser les coûts - Miser sur et encadrer les architectes de solutions 15
RÉSULTATS DES EFFORTS ISO 27034 1. Méthodologie de base (légère), intégrée avec la méthodologie de projet et de développement 2. Classification de l information + contexte applicatif + conformité = niveau de sécurité (confiance) 3. Architectes de solution formés : équipe de sécurité en soutien 4. Les coûts de la sécurité sont connus dès le début du projet et sont en lien avec le niveau de confiance 5. Transformation des tests d intrusion en contrôle prévisible par les équipes de développement 6. Niveau de maturité 3 : Proactif, intégré, répétable Leçon 4 : Soyez légers et à faible coût (évolutif) 16
LES AUTRES ÉLÉMENTS DE LA STRATÉGIE Continuer à améliorer l approche ISO 27034 Objectif : Atteindre le niveau de maturité 4 Définir une librairie de fonctions de sécurité (ESAPI) et des cas d abus Revue de code outillée (outil acquis, en test) Objectif : Gagner en efficience et pousser l intégration plus profondément dans le SDLC Attention : Les outils ne sont pas magiques 17
EN BOUT DE LIGNE ON A GAGNÉ? OU PAS? - Mobile: (ios, Android, web mobile) - Cloud: Composante applicatives imparties - HTML5: nouveaux problèmes de sécurité - Ajax, JSON: web en temps réel - SOA: composantes applicatives explosées - SAML: fédération d identités N oubliez pas d acquérir de l expertise en mode continu! 18
CONCLUSION 1. Domaine encore en émergence : de 1 à 2 directeurs en sécurité applicative en 4 ans au Québec Leçon 1 : Qualités premières requises : relations humaines et patience Peu de comparatif au Québec 2. C est réalisable Les activités pour le faire sont maintenant mieux connues Leçon 2 : Les développeurs ont faim de sécurité applicative, nourrissez les 3. Entourez-vous de gens compétents! Leçon 3 : L expertise est rare : soyez créatifs pour attirer les recrues La formation de vos équipes est un essentiel! 4. Priorité, priorité, priorité On ne peut pas tout faire Qu est-ce qui doit être protégé? Leçon 4 : Soyez légers et à faible coût (évolutif) 5. Domaine complexe qui ne cesse de changer et de se complexifier 19