RETOUR D EXPÉRIENCE. Mise en place de la sécurité des applications en grande entreprise

Documents pareils
LA CAISSE DESJARDINS DE QUÉBEC

RAFFINEZ VOTRE STRATÉGIE DE PLACEMENT, SIMPLIFIEZ VOTRE VIE

Offre Exclusive. Médecins. Fédération des médecins résidents du Québec

Sommaire. Le quotidien du Service informatique. Qu est-ce que Panda Cloud Systems Management? Le cercle vertueux

STIDIA Présentation de la Société

Qu est-ce COMMENT que lafourchette et myfourchette?

Marketing. en 12 étapes clés. Une introduction au Marketing Automation Comment délivrer le bon contenu au bon moment à son interlocuteur

GESTION DE FLOTTE MOBILE (MDM), LE GUIDE DES BONNES PRATIQUES

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage.

Vous n avez aucune installation à faire et aucune mise à niveau ne vous complique la vie. Vous allez adorer votre nouveau site.

Suite Jedox La Business-Driven Intelligence avec Jedox

La sécurité entgv. avecpatrick Boucher

Avec sauvegardez sans y penser, partagez et bougez, vos données vous suivent! Retrouvez tous vos services du cloud pro en cliquant ici.

STEPHANE DODIER, M.B.A. Sommaire. Compétences. Formation académique Stephane Dodier MBA

COMMENT INVESTIR EN 2015 AVEC LE TRADING SOCIAL. Une publication

Dive Center Manager. Outil de gestion clients pour Centre de plongée

WEB15 IBM Software for Business Process Management. un offre complète et modulaire. Alain DARMON consultant avant-vente BPM

Attention : Ce document est un travail d étudiant, il n a pas été relu et vérifié par Marketing-etudiant.fr.

Panorama général des normes et outils d audit. François VERGEZ AFAI

fiche technique Smart Access Management Service de Ruckus MIGRER LE SMART WI-FI SUR LE CLOUD CARACTÉRISTIQUES ET AVANTAGES

dossier d information

LA SÉCURITÉ AVANT TOUT. Précieux conseils et informations de consommation actuelles au sujet du moyen de paiement en ligne paysafecard

Silk Portfolio : Une démarche allégée pour les tests, le développement et la gestion de vos applications

Découvrir les vulnérabilités au sein des applications Web

Service public d éducation et d information juridiques du Nouveau-Brunswick

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

dossier d information

La commandite. Comment créer des conditions gagnantes. 30 avril 2014

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

SENIOR SERVICE DELIVERY MANAGER E-GOV (M/F)

BUREAU VIRTUEL. Utilisation de l application sur ipad. Guide utilisateur. Sciences Po Utilisation du bureau virtuel sur ipad 1 / 6

Foire aux questions (FAQ)

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Robert Half Technologie : Le partenaire de vos recrutements

Devenez une entreprise connectée!

Les régimes d avantages sociaux au Canada

Découvrez La Formule Magique Pour Gagner De L argent Sur Internet

JUIN 2014 SITES INTERNET - APPLICATIONS - CRÉATIONS NUMÉRIQUES - PROGICIELS DE GESTION INTÉGRÉS

Systèmes d Information. Web/Digital

Présentation du programme de danse Questions-réponses

La Haute Disponibilité avec Avance

MicroAge. Votre partenaire d affaires en matière de technologie

Cloud Computing. La révolution industrielle informatique Alexis Savin

Les contes de la forêt derrière l école.

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

transformez le risque en valeur grâce à la conformité et à la sécurité numérique Your business technologists. Powering progress

Bienvenue dans l univers du e-commerce (commerce en ligne)

A5.2.4 Étude d une technologie, d'un composant, d'un outil

Quadruplez vos profits par employé

Release Notes POM v5

GUIDE POUR AGIR. Comment identifier ses. SAVOIR-FAIRE et. ses QUALITÉS J ORGANISE MA RECHERCHE. Avec le soutien du Fonds social européen

La demande de logement social en Ile de France. Le portail en ligne

Lettre motivation. En haut de la page

Foire aux questions sur l application Bell Télé

FICHE TECHNIQUE Suite AdminStudio

Rendez vous sur notre site.

Mutation digitale et conséquences sur l organisation de l entreprise et ses salariés

La philosophie Ludi. recréer cet esprit chaleureux et amical afin de faire passer des bons moments à ses internautes autour d une même passion.

BROCHURE D ENTREPRISE

«L avenir ne se prévoit pas, il se prépare. pare» Maurice Blondel Philosophe. Prospective stratégique et conduite du changement

LE REVOLUTIONNAIRE DU RECRUTEMENT

GUIDE DE L UTILISATEUR DE CONNEXION HOOPP

Crédit : Comment vous êtes coté

CA Workload Automation Agent pour implémentation mainframe Systèmes d exploitation, ERP, bases de données, services applicatifs et services Web

Catalyseur de vos systèmes de communication

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS?

Notre processus d embauche

Consultant.NET / SharePoint

Windows Phone conçu pour les entreprises.

[Budgets B2B] Le guide d optimisation financière. (marketing, commercial et digital)

Foire aux questions. Présentation

Le nouvel espace de travail : Prise en charge du modèle BYOD («Bring your own device»)

Le 1 er octobre 2013 sur RegionsJob. Les meilleurs développeurs IT en ligne sur RegionsJob

Le futur du travail est arrivé. Your time, our technologies

Analytics Platform. MicroStrategy. Business Intelligence d entreprise. Self-service analytics. Big Data analytics.

La reconquête de vos marges de manœuvre

Cortado Corporate Server

JOURNÉE THÉMATIQUE SUR LES RISQUES

Pensezdifféremment: la supervision unifiéeen mode SaaS

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

VAGINISME. Quelques pistes pour avancer?

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

5 clés pour plus de confiance en soi

Newsletter. since Chère cliente, cher client,

demander pourquoi mon site n'apparaît pas sur google ou pourquoi mon site n'est pas référencé par les moteurs de recherche?

Les vols via les mobiles

Comment rembourser votre hypothèque plus rapidement

Analyse statique de code dans un cycle de développement Web Retour d'expérience

l Amérique du Nord, l Amérique Centrale et du Sud, l Asie-Pacifique, l Europe, le Moyen-Orient et l Afrique

Garantir une meilleure prestation de services et une expérience utilisateur optimale

«Votre métier évolue, nous protégeons votre avenir.»

DHL OCEAN DIRECT (FCL) LA FIABILITÉ QUE VOUS EXIGEZ LA FLEXIBILITÉ DONT VOUS AVEZ BESOIN

Foire aux questions sur le compte d épargne libre d impôt (CELI)

Monitoring & Support

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

FICHE DE DESCRIPTION DE POSTE SOUS DIRECTION DES PERSONNELS CONTRACTUELS BUREAU DES VOLONTAIRES INTERNATIONAUX RH3D DESCRIPTION DU POSTE

Réception de Montréal Secteur des valeurs mobilières. Discours d ouverture

Transcription:

RETOUR D EXPÉRIENCE Mise en place de la sécurité des applications en grande entreprise Par Yves Lepage Directeur sécurité des applications In Fidem inc. 7 mai 2014

YVES LEPAGE QUI SUIS-JE? Aujourd hui Membre de ISO SC27 et OWASP Directeur principal en sécurité des applications Récemment 1 er directeur dédié à la sécurité des applications au Québec Il y a longtemps Directeur adjoint, responsable du développement et de la sécurité d un grand site web transactionnel Conseiller, administrateur de systèmes et développeur Auteur 2

RETOUR D EXPÉRIENCE MON HISTOIRE, MES SUCCÈS, MES ÉCHECS 1. Contexte d affaires de Desjardins 2. Arrivée en poste : Ma vision 3. Stratégie de mise en place de la vision 4. Les enjeux rencontrés 5. Adaptations de la stratégie et de la vision 6. Conclusion : Leçons apprises 3

CONTEXTE D AFFAIRES 40 000+ employés Une dizaine d entités : Caisses, Assurances de dommages, Fiducie, VMD, Cartes, Assurances de personnes, Gestion des actifs, etc. Création de la vice-présidence de sécurité, du poste et de son équipe : - Domaine en émergence - 2 employés - Peu de budget - Niveau de maturité 1 : Ad-Hoc (trouve et répare) 4

AU TOUT DÉBUT MON RÊVE, MA VISION Le rêve Créer le meilleur groupe de sécurité expert... au monde Permettre la création d applications impossibles à pirater La vision Créer un centre d expertise Implanter ISO 27034-1 et être un pionnier Être le Steve Jobs de la sécurité applicative! 5

DÉCOUVERTE ET PREMIERS CONSTATS Environnement de travail - Des milliers d applications - +/- 50 équipes de développement Premiers contacts avec les équipes de développement - Différentes définitions du mot «application» - Sécurité des applications :?!? Choc des idées : - «Nos applications sont en sécurité, elles sont protégées par un coupefeu» - «L application n est pas exposée à Internet, seul le portail web l est» - «On n a pas besoin de la sécurité pour nous montrer comment programmer» 6

STRATÉGIE DE MISE EN ŒUVRE 1 RE VERSION 1. Établissement des priorités 2. Pèlerinage et évangélisation 3. Mise en place d un bureau de services Bâtir la crédibilité Bâtir sur nos forces actuelles 4. Implantation de la norme ISO 27034 et développement de l expertise 7

1 RE ÉTAPE ÉTABLISSEMENT DES PRIORITÉS Comment obtenir des gains rapides? Priorités en trois (3) critères : - Transactionnel, exposé à Internet - Assujetti à PCI-DSS - Interne et traitant des données confidentielles Résultat : Il ne reste que quelques centaines d applications! 8

2 E ÉTAPE PÈLERINAGE ET ÉVANGÉLISATION Formation de base en développement sécuritaire, 4 heures, petits groupes de seniors, gratuite pour tous les développeurs (alliances internes) Au départ : - «Je suis acheteur du concept, mais je n ai rien budgété cette année» - «On pourrait commencer par de la formation, mais juste pour libérer mes programmeurs, ça va coûter cher» Résultats : les équipes visées sont passées de sceptiques à alliées et évangélistes Leçon no 1 : Patience et aptitudes relationnelles 9

3 E ÉTAPE BÂTIR LA CRÉDIBILITÉ Utilisation de l expertise existante en tests d intrusion Les tests d intrusion se sont avérés être un bon retour sur investissement Mais c est trop tard dans le cycle de vie Attention de ne pas tomber dans l excès de zèle! 10

BUDGETS Surprise! Malgré les succès, les budgets ne suivent pas la demande Combat inégal : on investit où? - dans le connu et prouvé? - ou bien dans la nouvelle patente qui n a pas fait ses preuves? Budget obtenu = au compte-gouttes 11

STRATÉGIE AJUSTÉE 2 E VERSION Formation de base -> avancée Évangéliser, communiquer, socialiser On continue! Conseil et accompagnement de Germaine -> Sœur Angèle Tests d intrusion Étendre les tests en mode projet Revue de code On essaie, en mode projet! Explorer l implantation de ISO 27034 Allez, on se lance! 12

REVUE DE CODE COMMENT S Y PRENDRE? Considérations : Échecs précédents d implantation d un outil d automatisation Solution retenue : Revue de code manuelle (expertise existante) + définition d un standard de codage sécuritaire Résultats : - Service pas très populaire au début - Popularité en croissance après avoir essayé - Les développeurs embarquent s ils voient qu on peut les aider (crédibilité) - Niveau de maturité 2 : Répétable (réactif) Attention : Le top 3 de OWASP est suffisant au démarrage Leçon 2: Les développeurs ont faim de sécurité applicative, nourrissez les 13

EXPERTISE COMMENT VAIS-JE LIVRER TOUT CELA? Expertise combinée (dév. + sécurité) = rareté - Expérience en programmation web obligatoire - Un super-extra-méga senior en sécurité applicative = est-ce que ça existe? Solutions : - Références internes, recrutement dans le milieu - Embauche sur passion en premier Piège : Doit entretenir la passion Leçon no 3 : L expertise est rare : soyez créatifs pour attirer les recrues 14

ASPECT MÉTHODOLOGIQUE POURQUOI ISO 27034? Problèmes vécus : - Peu d alignement sur le risque réel - Applications ne sont pas sécurisées uniformément par les projets (peu répétable) - Activités de sécurité sont réactives versus proactives ISO 27034 : - Méthodologie d intégration de la sécurité dans le cycle de développement = gagner en proactivité = baisser les coûts - Miser sur et encadrer les architectes de solutions 15

RÉSULTATS DES EFFORTS ISO 27034 1. Méthodologie de base (légère), intégrée avec la méthodologie de projet et de développement 2. Classification de l information + contexte applicatif + conformité = niveau de sécurité (confiance) 3. Architectes de solution formés : équipe de sécurité en soutien 4. Les coûts de la sécurité sont connus dès le début du projet et sont en lien avec le niveau de confiance 5. Transformation des tests d intrusion en contrôle prévisible par les équipes de développement 6. Niveau de maturité 3 : Proactif, intégré, répétable Leçon 4 : Soyez légers et à faible coût (évolutif) 16

LES AUTRES ÉLÉMENTS DE LA STRATÉGIE Continuer à améliorer l approche ISO 27034 Objectif : Atteindre le niveau de maturité 4 Définir une librairie de fonctions de sécurité (ESAPI) et des cas d abus Revue de code outillée (outil acquis, en test) Objectif : Gagner en efficience et pousser l intégration plus profondément dans le SDLC Attention : Les outils ne sont pas magiques 17

EN BOUT DE LIGNE ON A GAGNÉ? OU PAS? - Mobile: (ios, Android, web mobile) - Cloud: Composante applicatives imparties - HTML5: nouveaux problèmes de sécurité - Ajax, JSON: web en temps réel - SOA: composantes applicatives explosées - SAML: fédération d identités N oubliez pas d acquérir de l expertise en mode continu! 18

CONCLUSION 1. Domaine encore en émergence : de 1 à 2 directeurs en sécurité applicative en 4 ans au Québec Leçon 1 : Qualités premières requises : relations humaines et patience Peu de comparatif au Québec 2. C est réalisable Les activités pour le faire sont maintenant mieux connues Leçon 2 : Les développeurs ont faim de sécurité applicative, nourrissez les 3. Entourez-vous de gens compétents! Leçon 3 : L expertise est rare : soyez créatifs pour attirer les recrues La formation de vos équipes est un essentiel! 4. Priorité, priorité, priorité On ne peut pas tout faire Qu est-ce qui doit être protégé? Leçon 4 : Soyez légers et à faible coût (évolutif) 5. Domaine complexe qui ne cesse de changer et de se complexifier 19

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back