DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES



Documents pareils
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Projet Sécurité des SI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de


La Sécurité des Données en Environnement DataCenter

Sécurisation d un site nucléaire

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Découvrir les vulnérabilités au sein des applications Web

La sécurité applicative

Sécurité des applications Retour d'expérience

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Gestion des incidents de sécurité. Une approche MSSP

PCI DSS un retour d experience

Présentation de la solution Open Source «Vulture» Version 2.0

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Web Application Firewalls (WAF)

«Sécurisation des données hébergées dans les SGBD»

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Offre Référentiel d échange

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Objectif : Passer de l analyse métier et fonctionnelle à la définition des applications qui

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Systèmes et réseaux d information et de communication

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Vers un nouveau modèle de sécurité

Protéger les données critiques de nos clients

Audits de sécurité, supervision en continu Renaud Deraison

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

dans un contexte d infogérance J-François MAHE Gie GIPS

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Le Cloud Computing et le SI : Offre et différentiateurs Microsoft

Big Data : se préparer au Big Bang

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Présentation du 30/10/2012. Giving security a new meaning

2008 : Diplômé Master 2 ASR (Architecture Système et Réseaux) Université d Evry (Evry - 91)

JAB, une backdoor pour réseau Win32 inconnu

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Cabinet d Expertise en Sécurité des Systèmes d Information

A propos de la sécurité des environnements virtuels

Groupe Eyrolles, 2004, ISBN :

Sommaire. Préface 1 : Pourquoi choisir Magento? Chapitre 1 : Magento, quésaco? Chapitre 2 : Quoi sous le capot?

Audits Sécurité. Des architectures complexes

Serveur virtuel infogéré

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Atelier Sécurité / OSSIR

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Les risques HERVE SCHAUER HSC

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Meilleures pratiques de l authentification:

The Path to Optimized Security Management - is your Security connected?.

Modèle MSP: La vente de logiciel via les services infogérés

EXALOGIC ELASTIC CLOUD MANAGEMENT

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

DenyAll Detect. Documentation technique 27/07/2015

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Création d un «Web Worm»

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM)

Congrès national des SDIS 2013

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Vulnérabilités et sécurisation des applications Web

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Gestion des Incidents SSI

Les PGI. A l origine, un progiciel était un logiciel adapté aux besoins d un client.

La reconquête de vos marges de manœuvre

Présentation de la démarche : ITrust et IKare by ITrust

IPS : Corrélation de vulnérabilités et Prévention des menaces

L'infonuagique, les opportunités et les risques v.1

Projet de Java Enterprise Edition

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Lancement du projet TOP (Tracabilité et Optimisation des Process)

Panorama général des normes et outils d audit. François VERGEZ AFAI

Déploiement de l infrastructure SOA. Retour d expérience Août 2013

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Transcription:

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012

Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques WEB Des intrusions parfois difficile à détecter APT: Plusieurs exemples d intrusion et de maintient durant plusieurs jours / semaines AET: Qui en parle? De nombreuses entreprises ne maitrisent pas leur exposition sur le Web Les métiers qui contractualisent en direct Architectures distribuées Externalisation de services Des exemples réguliers dans la presse Cyber-Espionnage Cyber-Crime Cyber-Activisme 2

Etat des lieux en 2012 Augmentation des interventions forensic / post-mortem en 2011 E-Commerce: Chantages à l injection SQL Jeux vidéo en Ligne: Vols massif de données joueur Collectivité: Défiguration de site institutionnel Les applications restent vulnérables Aux attaques par injection Au Cross Site Scripting Aux faiblesses dans l authentification Aux faiblesses dans la gestion des sessions Le niveau de sécurité des applications Web ne progresse pas. Plus de 85% des applications Web auditées par Advens en 2011 présentent des failles dans le top 5 de l OWASP. 3

Morceaux choisis Banque: Test d intrusion interne Réseau mal segmenté Découverte d une interface Web Aucune vulnérabilité identifiée Authentification : admin / admin Possibilité de reprogrammer les paniers du DAB Tests d intrusion sur une application médicale (plusieurs hôpitaux concernés) Cross Site Scripting, difficilement exploitable Prise de contrôle sur la base de données Accès aux dossiers patients 4

Morceaux choisis Collectivité: Test d intrusion sur applicatif métier Attaque par Injection SQL Dump de la base des utilisateurs Attaque sur les mots de passe Découverte du mot de passe administrateur Accès aux données personnelles des citoyens Exploitation d une faille PHP Compromission totale du serveur Nous avions déjà audité une application de cet éditeur. Le mot de passe découvert est identique à celui trouvé lors d un précédent test d intrusion Recherche Google: Plusieurs collectivités possèdent cette application. Après contact et vérification: Les installations possèdent toutes le même mot de passe 5

Des causes multiples Manque de sécurité dans les cahiers des charges Manque de sensibilisation des développeurs et des chefs de projets Manque de communication entre les développeurs / les architectes / le réseau Time to Market: Pression du métier Contrôles de sécurité insuffisants ou inadaptés Un comportement inacceptable de certains éditeurs sur les logiciels de niche Un manque de maitrise dans les techniques de sécurisation Une sécurité «périphérique» (ex: focus sur le frontal Web) 6

En théorie: Sécuriser le cycle de développement Suivi de l application en production Analyse des besoins et faisabilité Contrôles / Audits Recette Spécifications générales Tests de validation Conception de l architecture Tests d intégration Conception détaillée Tests unitaires Développement 7

En pratique: Ne pas se limiter à l application Web App Web App Base de données Prendre en compte la sécurité de toute la chaine applicative 8

En pratique: Repenser les contrôles techniques HTTP Front End SOAP Back End Base de données Les contrôles en boite-noire sont insuffisants et pourtant ce sont les plus utilisés Inadapté dans le cycle de développement L audit de code statique a ses limites également Inadapté dans le cycle de développement Nécessité de suivre le «codeflow» pour analyser le comportement applicatif Apparition de nouveaux outils, à la portée des développeurs 9

Politique de sécurité Les vrais défis à relever Les questions à se poser: Comment définir une politique de sécurité au niveau applicatif? Comment appliquer cette politique de manière «consistante» sur l ensemble de la chaîne? Comment industrialiser les contrôles pour veiller au bon respect de la politique? Applications Web Middlewares Bases de données Autres Applications Autres Environnements Systèmes d exploitation Réseau, stockage 10

Défense en profondeur Et les données? Des référentiels de plus en plus contraignants Peu de mesures de protection réellement en place Applications Web Middlewares Bases de données Prise de conscience Qui applique les mises à jours? Systèmes d exploitation Réseau, stockage Amélioration: Patch management, durcissement, contrôles de conformité opérationnelle Très hétérogène, mais globalement OK 11

Quelles solutions? Formation des développeurs La sensibilisation à l OWASP, la formation au pentest, aux dangers d Internet c est bien La fourniture de méthodologies, d outils (ou de services ) c est mieux Un développeur ne sera jamais un expert en sécurité Il faut lui donner des outils adaptés Self-assessment Logiciels de contrôle de la qualité / sécurité du code intégrés dans le processus de développement Intégrer l équipe sécurité dans le process de développement Mener des démarches de fond sur la sécurité applicative Mise en place de «normes» de développement Mise en place de Frameworks standardisés et sécurisés Mise en place de cellules d homologation des logiciels 12

Quelles solutions? Les plans d action des audits techniques sont-ils bien adaptés? Appliquer un patch n est pas toujours possible Chiffrer un mot de passe en base ce n est pas toujours possible Implémenter un mécanisme d authentification robuste ce n est pas toujours possible Proposer des solutions en terme d architecture applicative Ne pas se limiter à l exploitation technique de la vulnérabilité Et si, au lieu de rechercher les failles, on partait du principe qu il y en avait? Evaluer les impacts en cas d exploitation Mettre en place les mesures de sécurité minimalistes et ne pas transiger dessus Mettre en place les contrôles adaptés 13

Quelles solutions? Revenir au bon sens et aux fondamentaux Isoler ce qu on ne peut contrôler ou sécuriser au premier abord Contrôler les accès Traçabilité Politique du moindre privilège Mesures de protection ciblées: Chiffrement, signature Capitaliser sur les développements et casser la logique de «silo» Ne pas réinventer la roue à chaque projet et appréhender la sécurité dans la globalité de l architecture applicative 14

Gouvernance Framework Quelles solutions? Applications Web Service.NET J2EE PHP API SOAP WCF LOGS CRYPTO Access IAM / SSO / STS Auth CLOUD API Enterprise API 15

Retour d expérience: Attaques ciblées (1/2) Attaques ciblées contre un groupe international Surface d attaque gigantesque Nombreuses intrusions avérées Vols de données, sabotages Détection Les IPS n ont rien vu (aucune alerte et pas de logs!) Plusieurs applications métiers sont inutilisables Réaction Coupure immédiate de tous les accès réseaux vers les applications Plutôt bien maitrisé, réaction dans les heures qui suivent les attaques Analyse Plusieurs jours nécessaires pour la remise en état des bases de données Scans des vulnérabilités applicatives en urgence Défauts de mise à jour, SQL Injection, XSS, inclusion de fichiers, configurations par défaut, Interfaces de management accessibles Plusieurs mois / homme de travail pour sécuriser les applications métier 16

Retour d expérience: Attaques ciblées (2/2) Mise en place de firewalls applicatifs sur plusieurs sites Protection des applications métiers stratégiques pour le groupe Mise en place de politiques très strictes Tuning de la configuration avec les responsables applicatifs Monitoring des WAF Tests fonctionnels sur l intégralité des processus applicatifs Ajustement des politiques / élimination des faux-positifs Bilan après plusieurs mois de service Surveillance continue des WAF (supervision temps réel de l activité) 100% des scans / bruit de fond Internet bloqué Détection de plusieurs attaques de type «découverte» Contrôle d intégrité temps réel sur les interfaces publiques / authentification Scans applicatifs réguliers Initialisation d un programme de sécurisation des applications Attention à la gestion du changement 17

Retour d expérience: Mise en conformité PCI DSS (1/2) Société dans le secteur de l assurance Plateforme applicative dédiée au métier de l entreprise Souscription de contrats par téléphone, via une plateforme d appel Collecte d informations personnelles Collecte de données de type cartes bancaires Plateforme accessible à d autres courtiers / assureurs L un des assureurs exige une conformité PCI DSS de la plateforme Plateforme mutualisée Numéros de carte bancaire en clair dans la base de données Numéros de carte bancaire «en clair» dans certains documents 18

Retour d expérience: Mise en conformité PCI DSS (2/2) Bulle PCI DSS Contrats chiffrés Encrypt Decrypt Web-Services CB chiffrées 19

Développer des applications Web sécurisées et après? Questions? Jérémie Jourdin - jeremie.jourdin@advens.fr Advens www.advens.fr 20

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back