SÉCURITÉ POUR CTO DE STARTUP

Documents pareils
Stéphane DERACO, DSI CNRS l Argos Devops : de l hyperviseur aux conteneurs l 11/12/2014 DOCKER

Présentation Level5. Editeur de Logiciels. «If it s not monitored, it s not in production» Theo Schlossnagle #velocityconf

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Catalogue de FORMATIONS 2015

Gildas Le Nadan. Thomas Clavier

Louis Naugès Paris, 17 juin 2013 Louis Naugès - Chief Cloud Evangelist Revevol

Cloud Transformation in Orange Focus on Cloud infra (OpenWatt) Présentation au CRiP le 22 octobre 2014

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Thèse CIFRE. Mécanismes de monitoring sémantique dédiés à la sécurité des infrastructures cloud IaaS

EMC Forum EMC ViPR et ECS : présentation des services software-defined

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Présentation aux entreprises du numérique


HISTOIRE D UNE DIGITAL FACTORY

L'automatisation open source pour SI complexes

EXALOGIC ELASTIC CLOUD MANAGEMENT

مرحبا. Bienvenue. Wel come

Automatiser le Software-Defined Data Center avec vcloud Automation Center

Découvrir les vulnérabilités au sein des applications Web

Thales Services, des systèmes d information plus sûrs, plus intelligents

Morea : Experts Cloud

Christophe Dubos Architecte Infrastructure et Datacenter Microsoft France

DevOps en pratique. Philippe Bauquel,

Déployer et sécuriser des applica1ons mobiles dans votre SI / Cloud

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

FOURNIR UN SERVICE DE BASE DE DONNÉES FLEXIBLE. Database as a Service (DBaaS)

Du Datacenter au Cloud Quels challenges? Quelles solutions? Christophe Dubos Architecte Microsoft

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Les offres de Xebia : Agilité, Big Data, Cloud, DevOps, Java & Friends, Mobilité et Web Oriented Architecture.

DEMARRER UN PROJET BIGDATA EN QUELQUES MINUTES GRACE AU CLOUD

Expériences offshore en développement logiciel

Alignement avec les métiers par le test fonctionnel et d acceptation en projets agiles

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Protéger les données critiques de nos clients

DenyAll Detect. Documentation technique 27/07/2015

accompagner la transformation digitale grâce au Big & Fast Data Orange Business Services Confidentiel 02/10/2014

NBS System et Zend Technologies Découvrez la scalabilité sans limite pour vos applications PHP grâce au Zend Cloud

Hébergement MMI SEMESTRE 4

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

Les 10 pratiques pour adopter une démarche DevOps efficace

Fusion : l interopérabilité chez Oracle

THÉMATIQUES. Comprendre les frameworks productifs. Découvrir leurs usages. Synthèse

Containers : Outils magiques pour les Devops? OpenNebula et son écosystème pour une infrastructure cloud agile

Agilitéet qualité logicielle: une mutation enmarche

Les formations. ENI Ecole Informatique

Construire le Business Case lié à l automatisation du Cloud avec vcloud Suite

DOCKER MEETUP. Christophe Labouisse

Orchestration et Gouvernance de Cloud Hybride au service des Applications

Primer LE CLOUD COMPUTING DÉMYSTIFIÉ PME ET CLOUD COMPUTING : 5 IDÉES REÇUES

BI SWISS FORUM (ecom / SITB)

Yassine ZAKARIA SÉMINAIRE : MÉTHODES AGILES

GT Big Data. Saison Bruno Prévost (Safran), Marc Demerlé (GDF SUEZ) CRiP Thématique Mise en œuvre du Big Data 16/12/14

Projet Sécurité des SI

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

La Sécurité des Données en Environnement DataCenter

Cloud et SOA La présence du Cloud révolutionne-t-elle l approche SOA?

Le futur de l informatique réside dans le Software-Defined

..seulement 5% des serveurs x86 sont virtualisés!

Cassandra et Spark pour gérer la musique On-line

Hébergement PHP. Comprendre pour bien choisir son hébergement

Serveur virtuel infogéré

Web Application Firewalls (WAF)

Audits de sécurité, supervision en continu Renaud Deraison

Lieberman Software Corporation

Livrer chaque jour ce qui est prêt! Points clés du développement d un produit avec une livrasion par jour.

Préconisations Techniques & Installation de Gestimum ERP

L'agilité appliquée à nous-mêmes. Philippe Krief, PhD Development Manager IBM France Lab

Systèmes Répartis. Pr. Slimane Bah, ing. PhD. Ecole Mohammadia d Ingénieurs. G. Informatique. Semaine Slimane.bah@emi.ac.ma

Front End Engineer Integration Engineer Ingénieur étude et développement DRUPAL (3 postes)

Notre Catalogue des Formations IT / 2015

The Path to Optimized Security Management - is your Security connected?.

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Chef de projet / Architecte JEE 15 ans d expérience

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

PROFIL EXPERIENCE ARCHITECTE LINUX, OPEN SOURCE, COORDINATEUR SÉCURITÉ EMEA

Possibilités infinies


Les termes du cloud CUMULO NUMBIO 2015 O. COLLIN

From 0 To Hero DEVOPS. de la vision à l implémentation. Cellenza. #1 Nov 2014

Serveur d'application à la juste taille

Marie Canzano. Emmanuel Vivier. 8 tendances clefs. pour le recrutement dans l univers du digital LES NOUVEAUX MÉTIERS DE LA DIGITALISATION

Un exemple de cloud au LUPM : Stratuslab

Cloud et PaaS: les développeurs reprennent le

Square-IT-Consulting. Présentation

Introduc)on à l Agile

Virtualisation & Sécurité

Perspectives d'utilisation du serveur web embarqué dans la carte à puce Java Card 3

ADMINISTRATION EXADATA

Méthodes Agiles et gestion de projets

1. Notre société. Présentation de notre société. Nos activités Les solutions informatiques. - Audit et Conseil :

Réussir ses Déploiements Applicatifs

Sommaire. Préface 1 : Pourquoi choisir Magento? Chapitre 1 : Magento, quésaco? Chapitre 2 : Quoi sous le capot?

Veille Technologique Docker

La nouvelle donne des espaces de travail mobiles. Didier Krainc 7 Novembre 2013

LICENCE PROFESSIONNELLE SYSTEMES INFORMATIQUES & LOGICIELS

Fouillez facilement dans votre système Big Data. Olivier TAVARD

Transcription:

SÉCURITÉ POUR CTO DE STARTUP

La sécurité ne doit jamais être la priorité

NOUS SOMMES EN PLEIN DANS LA RÉVOLUTION NUMÉRIQUE Contexte économique

DANS LE DIGITAL, C EST LE RAPIDE QUI MANGE LE LENT L importance du Hme to market

POUR ALLER VITE IL FAUT ACCEPTER LE RISQUE La sécurité est un frein The biggest risk is not taking any risk... In a world that changing really quickly, the only strategy that is guaranteed to fail is not taking risks. Mark Zuckerberg

SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec DHH, le dev hipster Stallman, le guru GNU/Linux parano

SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Il faut me?re en ligne mon nouvel ou@l cloud SaaS de ges@on de projet super simple, ça s'appelle Basecamp! Dev hipster Ops parano

SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Cloud/SaaS/ Basecamp??? Dev hipster Ops parano

SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Tu as pensé aux Backups? Documenta@on? Monitoring? C'est pas pour demain... Performances? Securité? Scalabilité? Dev hipster Ops parano

AUaques dans la vraie vie

ALLOMATCH.COM : POUR NE PLUS JAMAIS RATER UN MATCH 2007 - Allomatch

THEODO : TODAY, BUSINESS PROBLEMS NEED SMART CODERS 2009 - Theodo

L'ATTAQUE INFORMATIQUE AVEUGLE Le bot Contexte : Phpmyadmin disponible sur le port 81, pas à jour Symptôme : impossible de se loguer en ssh, sshd avait été compromis mais en 32 bit et pas 64 bits Solutions : mettre à jour les serveurs, minimum de services exposés, Firewall

L'ATTAQUE INFORMATIQUE AVEUGLE Le bot Contexte : ElasticSearch bindé sur l'ip publique, pas à jour Symptôme : la VM débranchée à cause d'un flood Solutions : mettre à jour les serveurs, minimum de services exposés, Firewall

L'ATTAQUE INVOLONTAIRE La négligence Contexte : Sous-traitance de sous-traitance Symptôme : 1 millions de mots de passe en clair! Solutions : protéger un minimum les données!

L'ATTAQUE INVOLONTAIRE La négligence Contexte : Heartbleed Symptôme : j'ai testé sur des sites avec succès Solutions : mettre à jour plus vite!

L'ATTAQUE INFORMATIQUE CIBLÉE Le partenaire mal- intenhonné Contexte : accès git+ssh sur thor.theodo.fr donné au développeur d un client Symptôme : serveur débranché par Online à cause d un flood sortant par ircbot installé sur thor... Solutions : ne pas donner des accès à tout le monde, Firewall

L'ATTAQUE INFORMATIQUE INTERNE Le salarié mal- intenhonné Contexte : développeur intolérant des hipsters Symptôme : Travis-CI, attaqué par ce développeur, veut diffamer publiquement Theodo Solutions : gérer les tensions (management), le système judiciaire...

L'ATTAQUE PHYSIQUE Le vol Contexte : Pierre-Olivier rentre après un rendez-vous Symptôme : Pierre-Olivier se fait agresser et voler son ordinateur portable devant les bureaux Solutions : tout dans le cloud! Et chiffrer les disques des ordinateurs portables

Le Minimum Secured Product

FAIRE CONFIANCE AU SAAS Outsourcer Gestion des mots de passe, Two-factor Authentication... Merci Google Apps, Dropbox, etc.

DEV : NE PAS LAISSER DE FAILLES BÊTES DANS VOTRE SITE WEB L'importance du framework XSS, CSRF, injection SQL, mots de passe en clair Utilisez un framework! Symfony2 par exemple :-)

OPS : SCRIPTER LA CONFIG SERVEUR Provisioning Gestion de clefs SSH et firewalls Ansible, Puppet, SSHKeys

OPS : INFOGÉRER LA MISE A JOUR Infogérance Heartbleed, shell bomb... Il faut que quelqu'un mette à jour

La sécurité agile Rugged development

L'AGILITÉ EST SOUVENT ASSOCIÉE À SCRUM ET LE DEV ITERATIF Développement agile Source: http://www.mypmhome.com/scrum-methodology/

MAIS SI LA SÉCURITÉ BLOQUE LES DEVS, CE N'EST PAS AGILE! Dev VS ops

C'EST LE BUT DE DEVOPS : RÉSOUDRE LE PROBLÈME DES SILOS DéfiniHon de Devops Devops c est Faire travailler toute l organisa@on IT en équipe Avec un but commun : la performance technique orientée business

FINI LA LIGNE MAGINOT, ON EST RENTRÉ DANS L'ÈRE INTERNET!!! Sécurité profonde

IL FAUT SÉCURISER CHAQUE SERVEUR COMME S'IL ÉTAIT PUBLIC Sécurité profonde La sécurité est au niveau de l'appli chaque service est protégé les risques doivent être répartis

UN SERVEUR QUI MEURT ET RESSUSCITE A CHAQUE DEPLOY Infrastructure résiliente Un deploy est une image reprovisionnée (Docker?) Une garantie de mise à jour régulière Ça tue les infections Mais ça nécessite plus de Devops (Qui met à jour en cas d'heartbleed?)

L'ARCHITECTURE MICRO SERVICES Infrastructure n- Her Architecture à base de containers immutables (Docker) pas d'accès prévu vers l'intérieur firewall total sur chaque container sauf un port limitation des accès à la prod

PENETRATION TESTS DANS L'INTÉGRATION CONTINUE AutomaHser l'auaque "Battle-tested code without the battle" OWASP ZAP Gauntlt Nessus

POST- MORTEM ET FEEDBACKS LOOPS AmélioraHon conhnue Remplacer l'audit power-point! attaques en mode grey hat post-mortem formation

VOUS VOULEZ CRÉER LA SÉCURITÉ AGILE? Theodo.Academy Rejoignez la THEODO.ACADEMY! Formation CTO en 5 ans Réseau de startups agiles en France et bientôt au UK Incubation pour créer votre propre startup

LES LIVRES À LIRE POUR ALLER PLUS LOIN GeVng Real The Lean Startup Scrum en ac@on The Phoenix Project

fabriceb@theodo.fr TwiUer: @theodo

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back