Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)



Documents pareils
Génération de tests de vulnérabilité Web à partir de modèles

Sécurité des applications Retour d'expérience

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Programme «Analyste Programmeur» Diplôme d état : «Développeur Informatique» Homologué au niveau III (Bac+2) (JO N 176 du 1 août 2003) (34 semaines)

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Alignement avec les métiers par le test fonctionnel et d acceptation en projets agiles

Sécurité des systèmes informatiques Introduction

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

CQP Développeur Nouvelles Technologies (DNT)

Sécurité des Systèmes d Information

Vérifier la qualité de vos applications logicielle de manière continue

Découvrir les vulnérabilités au sein des applications Web

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Les formations. ENI Ecole Informatique

SQL Parser XML Xquery : Approche de détection des injections SQL

Christophe Pagezy Directeur Général Mob:

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Indicateur et tableau de bord

Analyse statique de code dans un cycle de développement Web Retour d'expérience

OFFRES DE SERVICES SDS CONSULTING

ITIL V2. La gestion des mises en production

LICENCE : INFORMATIQUE GENERALE

Le Processus RUP. H. Kadima. Tester. Analyst. Performance Engineer. Database Administrator. Release Engineer. Project Leader. Designer / Developer

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne Yosr Jarraya. Chamseddine Talhi.

Étude «analyse, reporting et budget» Niveau d équipement et attentes des PME françaises.

Compte-rendu de conférence

Sécuriser le routage sur Internet

Rapport de certification

Intervenants. Thomas d'erceville Project Manager. Christian NGUYEN Practice Manager IT Quality

LA PROTECTION DES DONNÉES

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Nouvelles Plateformes Technologiques

Aligner le SI sur la stratégie de l entreprise

Méthode de Test. Pour WIKIROUTE. Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel.

Efficience énergétique du SI par l écoconception des logiciels - projet Code Vert

Chapitre 2 : Abstraction et Virtualisation

Cycle de vie du logiciel. Unified Modeling Language UML. UML: définition. Développement Logiciel. Salima Hassas. Unified Modeling Language

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

s é c u r i t é Conférence animée par Christophe Blanchot

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Formula Negator, Outil de négation de formule.

Expert technique J2EE

Gestion des incidents de sécurité. Une approche MSSP

Exemple d implémentation d un. Projet SAP avec ASAP

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Recommandations sur le Cloud computing

Chef de projet H/F. Vous avez au minimum 3 ans d expérience en pilotage de projet de préférence dans le monde du PLM et de management d équipe.

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Rapport de certification

Lancement du projet TOP (Tracabilité et Optimisation des Process)

Méthode Agile de 3 ème génération J-P Vickoff

Présentation du Programme Régional de Formations Qualifiantes

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

PLATEFORME MÉTIER DÉDIÉE À LA PERFORMANCE DES INSTALLATIONS DE PRODUCTION

Les risques HERVE SCHAUER HSC

Testeur Agile Niveau Fondation Bertrand Cornanguer, Vice-chair Agile tester WG

INDUSTRIALISATION ET RATIONALISATION

Framework Agile Global

Industrialiser la chaîne complète de fabrication 1ère partie - Les bénéfices de la solution logicielle IBM VisualAge Pacbase / Rational

MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.

«Sécurisation des données hébergées dans les SGBD»

Méthodes agiles. CONSEIL & DÉVELOPPEMENT DE SOLUTIONS E-BUSINESS. Jean-Louis Bénard jlb@businessinteractif.

ISTQB Agile Tester en quelques mots ISTQB Marketing Working Group

Bertrand Cornanguer Sogeti

Rapport de certification

Rapport de certification PP/0002

Atelier " Gestion des Configurations et CMDB "

Rapport de certification PP/0101

DÉPARTEMENT FORMATIONS 2015 FORMATION-RECRUTEMENT CATALOGUE. CONTACTS (+226)

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

La sécurité applicative

Conduite de projets informatiques Développement, analyse et pilotage (2ième édition)

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

M Études et développement informatique

La Business Intelligence & le monde des assurances

am2i» est une société Guyanaise spécialisée dans la prestation de services informatiques aux entreprises.

CQP ADMINISTRATEUR DE BASES DE DONNÉES (ABD)

M Études et développement informatique

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

ITIL V3. Transition des services : Principes et politiques

Présentation. Intervenant EURISTIC. Jean-Louis BAUDRAND Directeur associé

Semarchy Convergence for MDM La Plate-Forme MDM Évolutionnaire

Les grandes familles du numérique

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Développement itératif, évolutif et agile

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

CATALOGUE FORMATION. Product Lifecycle Management. Juin 2013

Chapitre 5 Vision Informatique Logique Architectures Applicative et Logicielle

Evry - M2 MIAGE Entrepôt de données

Informatique de gestion

Analyse,, Conception des Systèmes Informatiques

MDM : Mobile Device Management

GPC Computer Science

Transcription:

Travaux soutenus par l ANR Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) 03 Avril 2012

1. Test de sécurité et génération de tests à partir de modèle 2. Le projet SecurTest à DGA Maîtrise de l information Retours d expérience 3. Du test des fonctions de sécurité au test de vulnérabilités 2 03 Avril 2012 Test de sécurité des systèmes d information

1- Test de sécurité et génération de tests à partir de modèle 3 03 Avril 2012 Test de sécurité des systèmes d information

Failles de sécurité Les failles de sécurité toujours à un haut niveau 4 03 Avril 2012 Test de sécurité des systèmes d information

Types de vulnérabilités 90 % des vulnérabilités proviennent de catégories de problèmes connus mais insuffisamment. Testés Une grande majorité des failles de sécurité provient d une mauvaise implémentation logicielle (Source SEI) Les failles de sécurité se situent actuellement beaucoup plus au niveau applicatif qu au niveau OS Overall Top Ten Vulnerability Classes of 2010 11th WhiteHat Website Security Statistic Report 5 03 Avril 2012 Test de sécurité des systèmes d information

Test des exigences de sécurité Vise à tester le respect des propriétés de sécurité du système sous test : Confidentialité, Intégrité, Disponibilité. Exemples d objectifs de test: Est-ce qu il est possible de contourner les fonctions d authentification? Est-ce les protocoles de gestion des accès aux informations sont efficaces? Test de sécurité Test fonctionnel Cherche à détourner l usage des fonctions et services proposés par le système sous test S appuie sur une forte combinatoire mettant en œuvre de comportements applicatifs non prévus et/ou non autorisés 6 03 Avril 2012 Test de sécurité des systèmes d information

Les technologies pour le test de sécurité Source Projet ITEA2 Diamonds Multi-Domain Security Testing Technologies 7 03 Avril 2012 Test de sécurité des systèmes d information

Génération de tests à partir de modèle (test fonctionnel) Modélisation Modèle de test Spécifications Exigences Plan de test & Scripts de test Testeurs Traçabilité Génération de tests Publish Spécifications Model-based Testing Gestion des tests Experts Métier Analystes de test Automaticiens de test 8 03 Avril 2012 Test de sécurité des systèmes d information

Modélisation pour la génération de tests Modèle de processus métier Modèle des points de contrôle et d observation et des données logiques de test Modélisation des comportements et règles métier 9 03 Avril 2012 Test de sécurité des systèmes d information

Génération de tests de sécurité à partir de modèle Spécifications fonctionnelles Objectifs de test de sécurité Modèle comportemental Ingénieur test de sécurité Schémas de test Approche développée sur le projet DGA Secur_Test Génération de tests Publication Application 10 03 Avril 2012 Test de sécurité des systèmes d information Exécution Référentiel de tests

2- Le projet SecurTest à DGA Maîtrise de l information : Retours d expérience 11 03 Avril 2012 Test de sécurité des systèmes d information

Activités d évaluation de DGA MI Evaluer des composants, équipements, ou logiciels de sécurité dans un cadre réglementaire Utilisation importante de la cryptographie Besoin d un niveau de confiance élevé (minimum EAL4+) Formalisation des méthodes de validation et de vérification Analyse statique de code Exécution automatique des tests Génération de tests à partir des spécifications L intérêt de ces méthodes est double: Améliorer la confiance dans la qualité et la conformité du produit Dégager du temps pour les tests d efficacité des mécanismes de sécurité 12 03 Avril 2012 Test de sécurité des systèmes d information

Objectifs du projet DGA SecurTest Test de composants de sécurité S assurer que les fonctions de sécurité sont correctement implémentées et robustes aux attaques S assurer que les propriétés de sécurité sont respectées: - Ex1 - Lors des opérations de configuration d'un équipement, les interfaces de communications doivent être inhibées. - Ex2 - Toute altération ou perte d'intégrité d'un élément sensible doit être détectée. Objectif de SecurTest Vérifier la capacité du MBT à répondre à ces problématiques Développer la techno sur les aspects sécurité Applications sur des composants matériel et logiciel Bibliothèque cryptographique (développée en C) Composant matériel (type FPGA) 13 03 Avril 2012 Test de sécurité des systèmes d information

Modèle pour la génération de tests Vue statique - UML - Modélisation des données logiques de test - Modélisation des points de contrôle et d observation -Modélisation de l environnement de la cible 14 03 Avril 2012 Test de sécurité des systèmes d information

Modèle pour la génération de tests Vue dynamique - OCL - Modélisation des comportements à tester, en tenant compte des propriétés de sécurité considérées - Gestion des cas d erreurs multiples (n-wise) - Configurabilité du modèle pour gérer l explosion combinatoire 15 03 Avril 2012 Test de sécurité des systèmes d information

Expression des propriétés de sécurité sous la forme de schémas - Piloter la génération pour couvrir les propriétés de sécurité - Un schéma est un meta scénario de test - Itération des objectifs, comportements, opérations - Un schéma de test pilote la génération d un ensemble de tests (plusieurs dizaines ou plus). 16 03 Avril 2012 Test de sécurité des systèmes d information

Validations de l approche par injection d erreurs Objectif: Vérifier la capacité de l approche MBT à détecter des erreurs Protocole Exécution des tests sur une version de référence instrumentée Introduction d erreurs par le développeur dans le code Comparaison des résultats des exécutions sur les 2 versions et localisation des erreurs Résultats On constate des erreurs dans le modèle, dans la documentation ou dans le banc de test ( Tester les tests!!!) Après corrections, toutes les erreurs détectables sont détectées. 17 03 Avril 2012 Test de sécurité des systèmes d information

Synthèse et résultats du projet SecurTest Le MBT nécessite un processus mature et un environnement de test outillé. 2500 tests générés et exécutés automatiquement Nécessite puissance de calcul et maîtrise 120 h.jour pour modéliser la librairie et exécuter les 2500 tests 4 propriétés de sécurité couvertes Gain notable de couverture des comportements et du code La modélisation peut intervenir dès la phase de spécification Réduit le chemin critique et améliore la qualité globale L approche par schéma est pertinente mais doit être affinée 18 03 Avril 2012 Test de sécurité des systèmes d information

Synthèse et résultats du projet SecurTest Le MBT nécessite un processus mature et un environnement de test outillé. 2500 tests générés et exécutés automatiquement Nécessite puissance de calcul et maîtrise 120 h.jour pour modéliser la librairie et exécuter les 2500 tests 4 propriétés de sécurité couvertes Gain notable de couverture des comportements et du code La modélisation peut intervenir dès la phase de spécification Réduit le chemin critique et améliore la qualité globale L approche par schéma est pertinente mais doit être affinée Il est essentiel de tester les tests 19 03 Avril 2012 Test de sécurité des systèmes d information

3- Du test des fonctions de sécurité au test de vulnérabilités 20 03 Avril 2012 Test de sécurité des systèmes d information

Analyse de vulnérabilités et utilisation de patterns de test Analyse de vulnérabilités Spécifications fonctionnelles Modèle comportemental Ingénieur test de sécurité Pilotage du test de sécurité par des patterns de test Génération de tests Publication Patterns de test de vulnérabilités Application 21 03 Avril 2012 Test de sécurité des systèmes d information Exécution Référentiel de tests

Les Prochaines étapes Pré-standardisation et définition de patterns de test pour les vulnérabilités les plus fréquentes (sur application web: Cross-scripting, SQL Injection, ) Synthèse d une partie de la modélisation comportementale par l analyse du code de l application (sur application web : remontée du graphe d appel) Définition des indicateurs de couverture de vulnérabilités et remontée du suivi de couverture 22 03 Avril 2012 Test de sécurité des systèmes d information

Synthèse Génération de tests pour le test de propriétés de sécurité Mais aussi: Test applicatif couverture des exigences fonctionnelles Test de bout-en-bout couverture des cas d utilisation et des processus métiers Test ERP Test de montée de version, déploiement de module, Intégration système au sein du SI 23 03 Avril 2012 Test de sécurité des systèmes d information

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back