SlideShare a Scribd company logo

Securite des Applications dans le Cloud

Download as PPTX, PDF
Sebastien Gioria
Sebastien Gioria
Internet
1 of 18
Document confidentiel - Advens® 2013www.advens.fr EPISODE 4 Sécurité des Applications : Sécurité des applications dans le Cloud Application Security Academy Saison 1
Document confidentiel - Advens® 2013www.advens.fr 2 Introduction Sébastien GIORIA Consultant senior en Sécurité des SI Chapter Leader de l'OWASP pour la France sebastien.gioria@advens.fr @AppSecAcademy #AppSecAcademy Posez vos questions dans la fenêtre de chat Slides envoyés par email Vidéo Replay
Document confidentiel - Advens® 2013www.advens.fr 3 Qui sommes-nous ? Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Nos différences • La valorisation de la fonction sécurité • Une approche métier s’appuyant sur des compétences sectorielles • Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » • Une approche pragmatique et des tableaux de bord actionnables • Une vision globale et indépendante des technologies Éléments clés • Créée en 2000 • CA 8 millions euros • 80 collaborateurs basés à Paris, Lille, Lyon • Plus de 300 clients actifs en France et à l’international • Organisme certificateur agréé par l’ARJEL (*) * Autorité de Régulation des Jeux En Ligne – www.arjel.fr
Document confidentiel - Advens® 2013www.advens.fr 4 Application Security Academy – la Saison 1  Episode 1 : Une introduction à la Sécurité des Applications › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 2 : Sécurité des applications mobiles › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 3 : Protection des services en ligne › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 5 : Panorama des technologies de sécurisation Application Security Academy Saison 1
Document confidentiel - Advens® 2013www.advens.fr 5 Cloud ?  Gartner évalue le marché du cloud public à environ 131 milliards de dollars (monde) pour 2013, 207 milliards en 2016  5 caractéristiques essentielles définissent le Cloud  Différents modèles d’infrastructure de cloud : › Public ; grand public › Privé ; dédié à une entreprise › Partagé ; mutualisé sur une communauté › Hybride; mixe d’un des précédents Réservoir de ressources Accès Réseaux rapide Facturation à l’usage Elasticité (redimensionnement facile) Accès au service par l’utilisateur à la demande
Document confidentiel - Advens® 2013www.advens.fr 6  IaaS : Infrastructure As a Service  PaaS : Platform As A Service  SaaS : Software As A Service Différents modèles d’architecture de Cloud Matériel DataCenter Abstraction APIs MiddleWare Applications Données Présentation APIs Meta- Données Contenu PAAS IAAS SAAS Connectivité
Document confidentiel - Advens® 2013www.advens.fr 7 Qui contrôle quoi ? Données Applications Machine Virtuelle Serveur Stockage Réseau Interne Données Applications Machine Virtuelle Serveur Stockage Hébergeur Données Applications Machine Virtuelle Serveur Stockage Réseau IaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau PaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau SaaS public L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Réseau
Document confidentiel - Advens® 2013www.advens.fr 8 10 Risques sur le cloud Auditabilité et risques sur les données Gestion des identités Risques légaux Gestion de la continuité d’activité Usage des données non autorisées Sécurité du transfert de données Partage des ressources Analyse des incidents Sécurité de l’infrastructure Exposition des environnements de pré-production Source : © OWASP : OWASP Top10 Cloud Risks 2013
Document confidentiel - Advens® 2013www.advens.fr 9 Gérér les risques sur les données • Mettre en place un processus d’audit des prestataires • Procédures de changement matériel • Tests d’intrusions • Audit globaux • Mettre en place du chiffrement des données sensibles • VPN de connexion • Sauvegardes chiffrées • Attention à la perte de la maitrise des données • Contractualiser l’usage • Procédures d’accès des administrateurs • Utilisation des données après fin du contrat Sécurité du transfert de données Partage des ressources Usage des données non autorisées Auditabilité et risques sur les données Exposition des environnements de pré-production
Document confidentiel - Advens® 2013www.advens.fr 10 Gérer l’accès aux données  Vérifier la possibilité de délégation des identités  Mettre en place des processus de revue des identités  Vérifier les identités externes à l’organisation  Vérifier l’infrastructure : › Redondance des équipements Gestion des identités Continuité d’activité Sécurité de l’infrastructure
Document confidentiel - Advens® 2013www.advens.fr 11 Conformité et risques légaux  Vérifier les lieux de détention des données › La CNIL n’autorise pas les données en dehors de France/Europe/Safe Harbor  Définir les mécanismes d’analyses des incidents applicatifs › Qui a accès à quoi › Qu’est-ce qui est tracé ? › Comment effectuer de l’analyse post-incident ?  Qui/Comment sont gérées les infrastructures ? › Sous-Traitants ? Qui y a accès ? Risques Légaux Analyse des incidents
Document confidentiel - Advens® 2013www.advens.fr 12 Sécuriser l’IAAS - Une stratégie simple en 5 points 1. Une sélection rigoureuse du prestataire › Dispose de certifications (ISO 27, PCI-DSS, …) › Transparence sur les éléments fournis › Connectivité auditable 2. Une capacité applicative a toute épreuve › Scan de vulnérabilité possible › Intégration globale avec les plateformes logicielles › Mise a jour régulière et offre évolutive de logiciels 3. Une gestion de l’authentification correcte › Authentification multi-facteur › Intégration possible avec la politique et l’annuaire interne 4. Une gestion des opérations propre › Intégration des logs dans la stratégie globale de l’entreprise › Un monitoring complet et accessible 5. Un chiffrement des données › Chiffrement des disques › Chiffrement des SGBD › Chiffrement réseau › Chiffrement des sauvegardes
Document confidentiel - Advens® 2013www.advens.fr 13 Sécuriser le PAAS  En plus des éléments de l’IAAS il convient de porter attention à : › Changer les éléments par défauts de configuration › Sécuriser l’accès à la plateforme (SSH/IPSec/TLS) › Sécuriser l’accès aux SGBD › Mettre en place des filtres(firewalls) des différents services › Mettre en place des mécanismes d’analyse de logs et de d’IPS › Mettre en place les bons patchs, régulièrement › Tester et auditer les applications.
Document confidentiel - Advens® 2013www.advens.fr 14 Sécuriser le SAAS  En plus de la vision IAAS, il convient de pouvoir correctement : › Auditer le prestataire au niveau de la sécurité applicative − Scans de vulnérabilités/Tests d’intrusions › Disposer de la possibilité de sécuriser les interfaces d’administration (chiffrement, multi-facteur d’authentification) › Chiffrer les données sensibles sans le prestataire. › S’assurer d’avoir un environnement de test pour vérifier avant mise a jour › Disposer d’une possibilité de « refuser » les montées de version non validées › Disposer de solutions d’extractions des données sous forme standard (XML, CSV)
Document confidentiel - Advens® 2013www.advens.fr 15 Et le développement sur le PAAS ?  Développer dans le cloud == développer sur un système web/WebServices  Quelques précautions sont nécessaires : › Utiliser les « WAF cloud » › Développer de manière sécurisé en portant attention : − Aux données sensibles − Aux interfaces d’administration − Aux bases d’authentification › Attention aux APIs propriétaires La confiance, n’exclut par le contrôle !
Document confidentiel - Advens® 2013www.advens.fr 16 Sécurité des Applications dans le Cloud Gouvernance Conception Vérification Déploiement Par quoi commencer ? • Vérifier la localisation des données • Mettre en place un contrat de réversibilité • Chiffrer les données • Chiffrer la transmission des données • Tester la sécurité du prestataire • Analyser la connectivité du prestataire • Mettre en place un bouclier virtuel sur sur les applications
Document confidentiel - Advens® 2013www.advens.fr 17 Questions / Réponses Posez vos questions dans la fenêtre de chat
Document confidentiel - Advens® 2013www.advens.fr 18 Merci et à bientôt !  Episode 5 : Panorama des technologies de sécurisation Mardi 10 décembre à 11h. Application Security Academy Saison 1

Recommended

Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 

Recommended

Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...
Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...
Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...Ángela Paloma Martín
 
SDTAN de la Haute-Saône
SDTAN de la Haute-SaôneSDTAN de la Haute-Saône
SDTAN de la Haute-SaôneSilicon Comté
 

More Related Content

What's hot

Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualitéStephane Leclercq
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 

What's hot (20)

Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
L'analyse de code au service de la qualité
L'analyse de code au service de la qualitéL'analyse de code au service de la qualité
L'analyse de code au service de la qualité
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 

Viewers also liked

Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...
Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...
Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...Ángela Paloma Martín
 
SDTAN de la Haute-Saône
SDTAN de la Haute-SaôneSDTAN de la Haute-Saône
SDTAN de la Haute-SaôneSilicon Comté
 
Présentation1
Présentation1Présentation1
Présentation1Ant_29
 
Outsourcing Wordpress India
Outsourcing Wordpress IndiaOutsourcing Wordpress India
Outsourcing Wordpress IndiaHelios Solutions
 
Ysance - Salon Big Data 2014
Ysance - Salon Big Data 2014Ysance - Salon Big Data 2014
Ysance - Salon Big Data 2014Start and Growth
 
Meres et Cie dévoilement image et logo
Meres et Cie dévoilement image et logoMeres et Cie dévoilement image et logo
Meres et Cie dévoilement image et logoPatrick Hardy
 
7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...
7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...
7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...Marta Wojtkiewicz
 
Lilian Ricaud Numérique coopération et ess Novembre 2014
Lilian Ricaud Numérique coopération et ess Novembre 2014Lilian Ricaud Numérique coopération et ess Novembre 2014
Lilian Ricaud Numérique coopération et ess Novembre 2014avitrolles
 
3 guillaume perocheau - isen toulon
3 guillaume perocheau - isen toulon3 guillaume perocheau - isen toulon
3 guillaume perocheau - isen toulonData Tuesday
 
Resultados investigación My Happy Cloud
Resultados investigación My Happy CloudResultados investigación My Happy Cloud
Resultados investigación My Happy CloudAlexandra Urrea
 
Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...
Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...
Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...Ateliers-du-Numerique
 
Pruebas de diag tab, func refuerzo
Pruebas de diag tab, func refuerzoPruebas de diag tab, func refuerzo
Pruebas de diag tab, func refuerzoPaolis Villarreal
 

Viewers also liked (20)

Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...
Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...
Gestión del talento profesional. Experto Universitario en Asesoría de Imagen,...
 
SDTAN de la Haute-Saône
SDTAN de la Haute-SaôneSDTAN de la Haute-Saône
SDTAN de la Haute-Saône
 
L.E.A.D - Action Plan
L.E.A.D - Action PlanL.E.A.D - Action Plan
L.E.A.D - Action Plan
 
iqboard
iqboardiqboard
iqboard
 
Présentation1
Présentation1Présentation1
Présentation1
 
A1 CE
A1 CEA1 CE
A1 CE
 
Outsourcing Wordpress India
Outsourcing Wordpress IndiaOutsourcing Wordpress India
Outsourcing Wordpress India
 
Ysance - Salon Big Data 2014
Ysance - Salon Big Data 2014Ysance - Salon Big Data 2014
Ysance - Salon Big Data 2014
 
Web Conférence : Corruption et Réputation Partie 1/2
Web Conférence : Corruption et Réputation Partie 1/2Web Conférence : Corruption et Réputation Partie 1/2
Web Conférence : Corruption et Réputation Partie 1/2
 
Programme art'tractivité
Programme art'tractivité Programme art'tractivité
Programme art'tractivité
 
Meres et Cie dévoilement image et logo
Meres et Cie dévoilement image et logoMeres et Cie dévoilement image et logo
Meres et Cie dévoilement image et logo
 
7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...
7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...
7 bonnes raisons pour lesquelles je devrais travailler à l'Institut du monde ...
 
La famillegriffin
La famillegriffinLa famillegriffin
La famillegriffin
 
Examen optica
Examen opticaExamen optica
Examen optica
 
Lilian Ricaud Numérique coopération et ess Novembre 2014
Lilian Ricaud Numérique coopération et ess Novembre 2014Lilian Ricaud Numérique coopération et ess Novembre 2014
Lilian Ricaud Numérique coopération et ess Novembre 2014
 
3 guillaume perocheau - isen toulon
3 guillaume perocheau - isen toulon3 guillaume perocheau - isen toulon
3 guillaume perocheau - isen toulon
 
Resultados investigación My Happy Cloud
Resultados investigación My Happy CloudResultados investigación My Happy Cloud
Resultados investigación My Happy Cloud
 
Artist pres 3-Lisa
Artist pres 3-LisaArtist pres 3-Lisa
Artist pres 3-Lisa
 
Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...
Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...
Maîtrisez votre référencement pour être visible sur Internet - Ateliers du Nu...
 
Pruebas de diag tab, func refuerzo
Pruebas de diag tab, func refuerzoPruebas de diag tab, func refuerzo
Pruebas de diag tab, func refuerzo
 

Similar to Securite des Applications dans le Cloud

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...Mohamed Amar ATHIE
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Gab2017 la sante de votre env azure
Gab2017 la sante de votre env azureGab2017 la sante de votre env azure
Gab2017 la sante de votre env azureManon PERNIN
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for BusinessNRC
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Comment étendre active directory dans le cloud
Comment étendre active directory dans le cloudComment étendre active directory dans le cloud
Comment étendre active directory dans le cloudMarc Rousselet
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
 
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...Maxime Rastello
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureJason De Oliveira
 

Similar to Securite des Applications dans le Cloud (20)

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobiles
 
Gab2017 la sante de votre env azure
Gab2017 la sante de votre env azureGab2017 la sante de votre env azure
Gab2017 la sante de votre env azure
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Comment étendre active directory dans le cloud
Comment étendre active directory dans le cloudComment étendre active directory dans le cloud
Comment étendre active directory dans le cloud
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
 

More from Sebastien Gioria

2015 09-18-jug summer camp
2015 09-18-jug summer camp2015 09-18-jug summer camp
2015 09-18-jug summer campSebastien Gioria
 
42 minutes to secure your code....
42 minutes to secure your code....42 minutes to secure your code....
42 minutes to secure your code....Sebastien Gioria
 
Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSebastien Gioria
 
CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014Sebastien Gioria
 
OWASP, PHP, life and universe
OWASP, PHP, life and universeOWASP, PHP, life and universe
OWASP, PHP, life and universeSebastien Gioria
 
Secure Coding for Java - An introduction
Secure Coding for Java - An introductionSecure Coding for Java - An introduction
Secure Coding for Java - An introductionSebastien Gioria
 
Secure Coding for Java - An Introduction
Secure Coding for Java - An IntroductionSecure Coding for Java - An Introduction
Secure Coding for Java - An IntroductionSebastien Gioria
 

More from Sebastien Gioria (9)

La Sécurité des CMS ?
La Sécurité des CMS ? La Sécurité des CMS ?
La Sécurité des CMS ?
 
2015 09-18-jug summer camp
2015 09-18-jug summer camp2015 09-18-jug summer camp
2015 09-18-jug summer camp
 
42 minutes to secure your code....
42 minutes to secure your code....42 minutes to secure your code....
42 minutes to secure your code....
 
Secure Coding For Java - Une introduction
Secure Coding For Java - Une introductionSecure Coding For Java - Une introduction
Secure Coding For Java - Une introduction
 
CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014CLUSIR INFONORD OWASP iot 2014
CLUSIR INFONORD OWASP iot 2014
 
2014 06-05-mozilla-afup
2014 06-05-mozilla-afup2014 06-05-mozilla-afup
2014 06-05-mozilla-afup
 
OWASP, PHP, life and universe
OWASP, PHP, life and universeOWASP, PHP, life and universe
OWASP, PHP, life and universe
 
Secure Coding for Java - An introduction
Secure Coding for Java - An introductionSecure Coding for Java - An introduction
Secure Coding for Java - An introduction
 
Secure Coding for Java - An Introduction
Secure Coding for Java - An IntroductionSecure Coding for Java - An Introduction
Secure Coding for Java - An Introduction
 

Securite des Applications dans le Cloud

  • 1. Document confidentiel - Advens® 2013www.advens.fr EPISODE 4 Sécurité des Applications : Sécurité des applications dans le Cloud Application Security Academy Saison 1
  • 2. Document confidentiel - Advens® 2013www.advens.fr 2 Introduction Sébastien GIORIA Consultant senior en Sécurité des SI Chapter Leader de l'OWASP pour la France sebastien.gioria@advens.fr @AppSecAcademy #AppSecAcademy Posez vos questions dans la fenêtre de chat Slides envoyés par email Vidéo Replay
  • 3. Document confidentiel - Advens® 2013www.advens.fr 3 Qui sommes-nous ? Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance. Nos différences • La valorisation de la fonction sécurité • Une approche métier s’appuyant sur des compétences sectorielles • Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service » • Une approche pragmatique et des tableaux de bord actionnables • Une vision globale et indépendante des technologies Éléments clés • Créée en 2000 • CA 8 millions euros • 80 collaborateurs basés à Paris, Lille, Lyon • Plus de 300 clients actifs en France et à l’international • Organisme certificateur agréé par l’ARJEL (*) * Autorité de Régulation des Jeux En Ligne – www.arjel.fr
  • 4. Document confidentiel - Advens® 2013www.advens.fr 4 Application Security Academy – la Saison 1  Episode 1 : Une introduction à la Sécurité des Applications › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 2 : Sécurité des applications mobiles › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 3 : Protection des services en ligne › Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy  Episode 5 : Panorama des technologies de sécurisation Application Security Academy Saison 1
  • 5. Document confidentiel - Advens® 2013www.advens.fr 5 Cloud ?  Gartner évalue le marché du cloud public à environ 131 milliards de dollars (monde) pour 2013, 207 milliards en 2016  5 caractéristiques essentielles définissent le Cloud  Différents modèles d’infrastructure de cloud : › Public ; grand public › Privé ; dédié à une entreprise › Partagé ; mutualisé sur une communauté › Hybride; mixe d’un des précédents Réservoir de ressources Accès Réseaux rapide Facturation à l’usage Elasticité (redimensionnement facile) Accès au service par l’utilisateur à la demande
  • 6. Document confidentiel - Advens® 2013www.advens.fr 6  IaaS : Infrastructure As a Service  PaaS : Platform As A Service  SaaS : Software As A Service Différents modèles d’architecture de Cloud Matériel DataCenter Abstraction APIs MiddleWare Applications Données Présentation APIs Meta- Données Contenu PAAS IAAS SAAS Connectivité
  • 7. Document confidentiel - Advens® 2013www.advens.fr 7 Qui contrôle quoi ? Données Applications Machine Virtuelle Serveur Stockage Réseau Interne Données Applications Machine Virtuelle Serveur Stockage Hébergeur Données Applications Machine Virtuelle Serveur Stockage Réseau IaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau PaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau SaaS public L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Réseau
  • 8. Document confidentiel - Advens® 2013www.advens.fr 8 10 Risques sur le cloud Auditabilité et risques sur les données Gestion des identités Risques légaux Gestion de la continuité d’activité Usage des données non autorisées Sécurité du transfert de données Partage des ressources Analyse des incidents Sécurité de l’infrastructure Exposition des environnements de pré-production Source : © OWASP : OWASP Top10 Cloud Risks 2013
  • 9. Document confidentiel - Advens® 2013www.advens.fr 9 Gérér les risques sur les données • Mettre en place un processus d’audit des prestataires • Procédures de changement matériel • Tests d’intrusions • Audit globaux • Mettre en place du chiffrement des données sensibles • VPN de connexion • Sauvegardes chiffrées • Attention à la perte de la maitrise des données • Contractualiser l’usage • Procédures d’accès des administrateurs • Utilisation des données après fin du contrat Sécurité du transfert de données Partage des ressources Usage des données non autorisées Auditabilité et risques sur les données Exposition des environnements de pré-production
  • 10. Document confidentiel - Advens® 2013www.advens.fr 10 Gérer l’accès aux données  Vérifier la possibilité de délégation des identités  Mettre en place des processus de revue des identités  Vérifier les identités externes à l’organisation  Vérifier l’infrastructure : › Redondance des équipements Gestion des identités Continuité d’activité Sécurité de l’infrastructure
  • 11. Document confidentiel - Advens® 2013www.advens.fr 11 Conformité et risques légaux  Vérifier les lieux de détention des données › La CNIL n’autorise pas les données en dehors de France/Europe/Safe Harbor  Définir les mécanismes d’analyses des incidents applicatifs › Qui a accès à quoi › Qu’est-ce qui est tracé ? › Comment effectuer de l’analyse post-incident ?  Qui/Comment sont gérées les infrastructures ? › Sous-Traitants ? Qui y a accès ? Risques Légaux Analyse des incidents
  • 12. Document confidentiel - Advens® 2013www.advens.fr 12 Sécuriser l’IAAS - Une stratégie simple en 5 points 1. Une sélection rigoureuse du prestataire › Dispose de certifications (ISO 27, PCI-DSS, …) › Transparence sur les éléments fournis › Connectivité auditable 2. Une capacité applicative a toute épreuve › Scan de vulnérabilité possible › Intégration globale avec les plateformes logicielles › Mise a jour régulière et offre évolutive de logiciels 3. Une gestion de l’authentification correcte › Authentification multi-facteur › Intégration possible avec la politique et l’annuaire interne 4. Une gestion des opérations propre › Intégration des logs dans la stratégie globale de l’entreprise › Un monitoring complet et accessible 5. Un chiffrement des données › Chiffrement des disques › Chiffrement des SGBD › Chiffrement réseau › Chiffrement des sauvegardes
  • 13. Document confidentiel - Advens® 2013www.advens.fr 13 Sécuriser le PAAS  En plus des éléments de l’IAAS il convient de porter attention à : › Changer les éléments par défauts de configuration › Sécuriser l’accès à la plateforme (SSH/IPSec/TLS) › Sécuriser l’accès aux SGBD › Mettre en place des filtres(firewalls) des différents services › Mettre en place des mécanismes d’analyse de logs et de d’IPS › Mettre en place les bons patchs, régulièrement › Tester et auditer les applications.
  • 14. Document confidentiel - Advens® 2013www.advens.fr 14 Sécuriser le SAAS  En plus de la vision IAAS, il convient de pouvoir correctement : › Auditer le prestataire au niveau de la sécurité applicative − Scans de vulnérabilités/Tests d’intrusions › Disposer de la possibilité de sécuriser les interfaces d’administration (chiffrement, multi-facteur d’authentification) › Chiffrer les données sensibles sans le prestataire. › S’assurer d’avoir un environnement de test pour vérifier avant mise a jour › Disposer d’une possibilité de « refuser » les montées de version non validées › Disposer de solutions d’extractions des données sous forme standard (XML, CSV)
  • 15. Document confidentiel - Advens® 2013www.advens.fr 15 Et le développement sur le PAAS ?  Développer dans le cloud == développer sur un système web/WebServices  Quelques précautions sont nécessaires : › Utiliser les « WAF cloud » › Développer de manière sécurisé en portant attention : − Aux données sensibles − Aux interfaces d’administration − Aux bases d’authentification › Attention aux APIs propriétaires La confiance, n’exclut par le contrôle !
  • 16. Document confidentiel - Advens® 2013www.advens.fr 16 Sécurité des Applications dans le Cloud Gouvernance Conception Vérification Déploiement Par quoi commencer ? • Vérifier la localisation des données • Mettre en place un contrat de réversibilité • Chiffrer les données • Chiffrer la transmission des données • Tester la sécurité du prestataire • Analyser la connectivité du prestataire • Mettre en place un bouclier virtuel sur sur les applications
  • 17. Document confidentiel - Advens® 2013www.advens.fr 17 Questions / Réponses Posez vos questions dans la fenêtre de chat
  • 18. Document confidentiel - Advens® 2013www.advens.fr 18 Merci et à bientôt !  Episode 5 : Panorama des technologies de sécurisation Mardi 10 décembre à 11h. Application Security Academy Saison 1