SÉCURITÉ POUR CTO DE STARTUP
La sécurité ne doit jamais être la priorité
NOUS SOMMES EN PLEIN DANS LA RÉVOLUTION NUMÉRIQUE Contexte économique
DANS LE DIGITAL, C EST LE RAPIDE QUI MANGE LE LENT L importance du Hme to market
POUR ALLER VITE IL FAUT ACCEPTER LE RISQUE La sécurité est un frein The biggest risk is not taking any risk... In a world that changing really quickly, the only strategy that is guaranteed to fail is not taking risks. Mark Zuckerberg
SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec DHH, le dev hipster Stallman, le guru GNU/Linux parano
SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Il faut me?re en ligne mon nouvel ou@l cloud SaaS de ges@on de projet super simple, ça s'appelle Basecamp! Dev hipster Ops parano
SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Cloud/SaaS/ Basecamp??? Dev hipster Ops parano
SI LA SÉCURITÉ EST LA PRIORITÉ, VOUS NE SEREZ JAMAIS PREMIER Biz vs Sec Tu as pensé aux Backups? Documenta@on? Monitoring? C'est pas pour demain... Performances? Securité? Scalabilité? Dev hipster Ops parano
AUaques dans la vraie vie
ALLOMATCH.COM : POUR NE PLUS JAMAIS RATER UN MATCH 2007 - Allomatch
THEODO : TODAY, BUSINESS PROBLEMS NEED SMART CODERS 2009 - Theodo
L'ATTAQUE INFORMATIQUE AVEUGLE Le bot Contexte : Phpmyadmin disponible sur le port 81, pas à jour Symptôme : impossible de se loguer en ssh, sshd avait été compromis mais en 32 bit et pas 64 bits Solutions : mettre à jour les serveurs, minimum de services exposés, Firewall
L'ATTAQUE INFORMATIQUE AVEUGLE Le bot Contexte : ElasticSearch bindé sur l'ip publique, pas à jour Symptôme : la VM débranchée à cause d'un flood Solutions : mettre à jour les serveurs, minimum de services exposés, Firewall
L'ATTAQUE INVOLONTAIRE La négligence Contexte : Sous-traitance de sous-traitance Symptôme : 1 millions de mots de passe en clair! Solutions : protéger un minimum les données!
L'ATTAQUE INVOLONTAIRE La négligence Contexte : Heartbleed Symptôme : j'ai testé sur des sites avec succès Solutions : mettre à jour plus vite!
L'ATTAQUE INFORMATIQUE CIBLÉE Le partenaire mal- intenhonné Contexte : accès git+ssh sur thor.theodo.fr donné au développeur d un client Symptôme : serveur débranché par Online à cause d un flood sortant par ircbot installé sur thor... Solutions : ne pas donner des accès à tout le monde, Firewall
L'ATTAQUE INFORMATIQUE INTERNE Le salarié mal- intenhonné Contexte : développeur intolérant des hipsters Symptôme : Travis-CI, attaqué par ce développeur, veut diffamer publiquement Theodo Solutions : gérer les tensions (management), le système judiciaire...
L'ATTAQUE PHYSIQUE Le vol Contexte : Pierre-Olivier rentre après un rendez-vous Symptôme : Pierre-Olivier se fait agresser et voler son ordinateur portable devant les bureaux Solutions : tout dans le cloud! Et chiffrer les disques des ordinateurs portables
Le Minimum Secured Product
FAIRE CONFIANCE AU SAAS Outsourcer Gestion des mots de passe, Two-factor Authentication... Merci Google Apps, Dropbox, etc.
DEV : NE PAS LAISSER DE FAILLES BÊTES DANS VOTRE SITE WEB L'importance du framework XSS, CSRF, injection SQL, mots de passe en clair Utilisez un framework! Symfony2 par exemple :-)
OPS : SCRIPTER LA CONFIG SERVEUR Provisioning Gestion de clefs SSH et firewalls Ansible, Puppet, SSHKeys
OPS : INFOGÉRER LA MISE A JOUR Infogérance Heartbleed, shell bomb... Il faut que quelqu'un mette à jour
La sécurité agile Rugged development
L'AGILITÉ EST SOUVENT ASSOCIÉE À SCRUM ET LE DEV ITERATIF Développement agile Source: http://www.mypmhome.com/scrum-methodology/
MAIS SI LA SÉCURITÉ BLOQUE LES DEVS, CE N'EST PAS AGILE! Dev VS ops
C'EST LE BUT DE DEVOPS : RÉSOUDRE LE PROBLÈME DES SILOS DéfiniHon de Devops Devops c est Faire travailler toute l organisa@on IT en équipe Avec un but commun : la performance technique orientée business
FINI LA LIGNE MAGINOT, ON EST RENTRÉ DANS L'ÈRE INTERNET!!! Sécurité profonde
IL FAUT SÉCURISER CHAQUE SERVEUR COMME S'IL ÉTAIT PUBLIC Sécurité profonde La sécurité est au niveau de l'appli chaque service est protégé les risques doivent être répartis
UN SERVEUR QUI MEURT ET RESSUSCITE A CHAQUE DEPLOY Infrastructure résiliente Un deploy est une image reprovisionnée (Docker?) Une garantie de mise à jour régulière Ça tue les infections Mais ça nécessite plus de Devops (Qui met à jour en cas d'heartbleed?)
L'ARCHITECTURE MICRO SERVICES Infrastructure n- Her Architecture à base de containers immutables (Docker) pas d'accès prévu vers l'intérieur firewall total sur chaque container sauf un port limitation des accès à la prod
PENETRATION TESTS DANS L'INTÉGRATION CONTINUE AutomaHser l'auaque "Battle-tested code without the battle" OWASP ZAP Gauntlt Nessus
POST- MORTEM ET FEEDBACKS LOOPS AmélioraHon conhnue Remplacer l'audit power-point! attaques en mode grey hat post-mortem formation
VOUS VOULEZ CRÉER LA SÉCURITÉ AGILE? Theodo.Academy Rejoignez la THEODO.ACADEMY! Formation CTO en 5 ans Réseau de startups agiles en France et bientôt au UK Incubation pour créer votre propre startup
LES LIVRES À LIRE POUR ALLER PLUS LOIN GeVng Real The Lean Startup Scrum en ac@on The Phoenix Project
fabriceb@theodo.fr TwiUer: @theodo