Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

1. Workshop 3 Externalisation des développements, cloudcomputing et SaaS. Quelles mesures pour réduire les risques à la signature du contrat? Antonio Fontes le 27 mai 2011 à Genève CrownePlaza Geneva Symposium dédié à la Cybersécurité en Suisse Rôle de l’Etat et les attentes des PME 1

2. Bio Antonio Fontes 6 ans d’expérience dans la sécurité logicielle et protection des données Fondateur et Directeur de la société L7 SecuritéSàrl Intervenant régulier HES-SO/HEIGVD – Sécurité web Focus: Menaces, risques, et contremesures dans les architectures et services web Sécurité dans le cycle de développement logiciel Etablissement du modèle de menace (threatmodeling) Evaluation/vérification de la sécurité/conformité Analyse de performance OWASP: OWASP Suisse: membre du Comité, coordinateur Romandie OWASP Genève: chapter leader 2

3. Agenda Revue d'actualité: le contexte, la menace Théorie: Cycle de développement d'une application web Architectures web Opportunités pour l'organisation: Externalisation d'un développement web Déploiement de l'application sur un service Cloud Location d'une application web (SaaS) Outils à disposition des organisations Clôture 3

4. contexte et menace...

5. Etude de cas: SONY 5

6. Etude de cas: SONY 6 77 millions d’utilisateurs

9. Etude de cas: SONY 9 Détails de l'intrusion informatique auprès de Sony Entertainment Online (SOE) (1er mai 2011) Photo: Dave Oshry

10. Etude de cas: Lastpass 10 Quelqu'uncomprend-ilcela au sein de votreorganisation?

11. Etude de cas: SONY (2) 11 101 millions

12. Etude de cas: Montreux Jazz 12

13. Etude de cas: SONY (3) 13 23 mai 2011

14. Etude de cas: SONY (3) Source: neowin.net 14

15. Etude de cas: SONY Dédommagement aux 101 mio. d'utilisateurs: 1 an d'assurance "dommages vol d'identité" USD 1mio.$ 1 an d'assurance "surveillance cartes" 30 jours de service offerts 2 jeux vidéo offerts 23 jours d'interruption de service Taux de disponibilité: 93% 15

16. Etude de cas: SONY Deux actions collectives (class action): 2 mai 2011 (E.U.) Négligence: pas de chiffrement de données, pas de pare-feux applicatifs, pas de notification aux clients Non respect des garanties de service: interruption de plus d'une semaine 27 avril 2011 (Canada) Dommage à la sphère privée Des dommages pour le montant d'1 milliard de $ sont réclamés 16

17. Etude de cas: SONY Coût de l'intrusion: Immédiat: USD 172mio. Estimé, attendu: USD >1mia. (incl. actions civiles) Profits attendus pour l'année fiscale 2011-2012 (avril): USD 972mio. 17

18. SQL Injection? https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 18

19. Etude de cas: Wordpress 19

20. Etude de cas: Infomaniak 20

23. Le contexte de l'organisation Problématique externe: Adoption croissante du « tout web » Intérêt « hostile » croissant dans les services en ligne Population « malveillante » croissante Le piratage/La sécurité des applications web est « simple » à comprendre/enseigner Risque faible d’être rattrapé par les autorités / peu de barrières à l'entrée 23

24. Le contexte de l'organisation Enjeux lors du développement: Plusieurs dizaines de technologies web à gérer Équipes internes hétérogènes, pratiques diverses Culture de l’urgence Rotation du personnel, fuite du savoir-faire Manque de sensibilisation aux risques des applications web Méconnaissance du consensus des bonnes pratiques 24

25. Le contexte de l'organisation Enjeux lors de l'externalisation: Environnement technologique complexe, pour la majorité des acteurs impliqués Manque de connaissances quant aux risques des applications web et leurs contrôles associés Manque de labels sur lesquels s'appuyer Opacité générale des fournisseurs: Terme "sécurité" galvaudé, souvent confondu avec "contrôle d'accès" Le mythe "SSL" 25

26. Le contexte de l'organisation Impacts les plus fréquents d'incidents "web": Perte/Vol/Extorsion de données confidentielles ou stratégiques Réduction/paralysie de l'activité de l'organisation Compromission des systèmes "internes" Frais de rétablissement largement sous-estimés 26

27. un peu de théorie (mais pas trop, rassurez-vous!) 27

28. Architecture web: base 28

29. Architecture web: base 29

30. Architecture web: hébergeur 30

31. Architecture web: hébergeur 31

32. Architecture web: cloud 32

35. Architecture web: SaaS 35

36. Architecture web: SaaS 36

37. Développement externalisé 37

38. le cycle de développement web 38 Analyse Conception Codage Vérification Déploiement Opérations

39. Cycle de développement web 39 Analyse Conception Codage Vérification Déploiement Opérations nyuhuhuu@flickr.com

41. Besoin

42. Spécifications techniques + fonctionnelles

43. Code source

44. Exécutables

45. Application

46. Docs / guides

47. Incident

48. Problème

49. …

51. Codage

52. Test unitaires

53. Test fonctionnel

54. Test technique

55. Doc

56. Installation

57. Intégration

58. Vérification

59. Traitement de bugs

61. Plans qualité (+ tests)

62. Code compilé / exécutable

63. Rapport de tests unitaires

64. Application

65. Recette

66. Docs / guides

67. Go en production

68. Application corrigée

69. Etudes

70. Décision: Go/nogoLIVRABLES 40

72. des acteurs spécifiques

73. des livrables spécifiques

74. des risques spécifiques

75. des bonnes pratiques spécifiques

76. des contrôles spécifiques

77. etc.

78. Etudes

79. Besoin

80. Spécifications techniques + fonctionnelles

81. Code source

82. Exécutables

83. Application

84. Docs / guides

85. Incident

86. Problème

87. …

89. Codage

90. Test unitaires

91. Test fonctionnel

92. Test technique

93. Doc

94. Installation

95. Intégration

96. Vérification

97. Traitement de bugs

99. Plans qualité (+ tests)

100. Code compilé / exécutable

101. Rapport de tests unitaires

102. Application

103. Recette

104. Docs / guides

105. Go en production

106. Application corrigée

107. Etudes

108. Décision: Go/nogoLIVRABLES 41

110. compétences

111. bonnes pratiques

112. contrôle

115. rôle et enjeux pour l'organisation

117. classification / impacts

118. conception sécurisée

120. codage non sécurisé

122. Expertise technologique

124. pas de processus de réponse

126. processus de traitement des incidents

129. guidance de déploiement sécurisé absente

130. incapacité de tester la sécurité

131. territorialité inconnue

132. cohabitation avec les autres clients?

133. traitement des incidents

135. prise d'informations

136. contrat- Prise en compte des risques et mesures "web"

137. opportunités pour l'organisation: SaaS (location du service) 53

139. Environnement mal protégé

140. Traitement des incidents de sécurité

141. Isolation entre clients

143. Contrat

145. OWASP Open Web Application Security Project https://www.owasp.org Fondation à but non lucratif, ouverte et internationale Projets OWASP Sections OWASP (Local Chapters) OWASP Suisse https://www.owasp.org/index.php/Switzerland OWASP Genève https://www.owasp.org/index.php/Geneva 57

146. Stratégie OWASP 58 Menace Site web Comité Application Web Web Application Personnes Sous-Comités Processus Sommet Outils Chapitres Projets Patrimoine Conférences Membres

147. Projets OWASP: outils 59 https://www.owasp.org/index.php/Category:OWASP_Project Analyser Concevoir Implémenter Vérifier Déployer Répondre AntiSAMMY ModSecurity CRS JBroFuzz ESAPI LiveCD DirBuster WebScarab CSRFGuard WebScarab Encoding Orizon O2 Code Crawler Zed Attack Proxy Stinger Academy portal, Broken Web applications, ESAPI Swingset, Webgoat

148. Projets OWASP: référentiels 60 https://www.owasp.org/index.php/Category:OWASP_Project Analyser Concevoir Implémenter Vérifier Déployer Répondre Development Secure contract Code Review Code Review Backend Security Threat risk modeling J2EE Security Testing Testing Application security requirements RoR Security ASVS .NET Security AJAX Security PHP Security Secure coding practices Academy, Appsec FAQ, Appsec metrics, Common Vuln. List, Education, Exams, Legal, OWASP Top 10 OWASP Top 10 Web applications security risks

149. Top 10 Référentiel des 10 risques de sécurité majeurs sur les applications web Utilisable comme base pour "négocier" les exigences minimales en matière de sécurité 61 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

150. Secure Software ContractAnnex Guide OWASP Compagnon de route pour l'élaboration ou l'évaluation de contrats de services menant à des applications web mieux sécurisées 62 https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex

151. Conclusion L'externalisation de services liés aux applications web est une délégation. Cette délégation doit inclure la mise à disposition de services protégeant le patrimoine de l'organisation. Des outils sont mis à la disposition des organisations pour obtenir de la confiance, et de l'assurance. La gouvernance reste nécessaire: ces mesures doivent implémenter une stratégie. 63

152. Plus? La dernière version de cette présentation sera prochainement disponible sur http://www.slideshare.net Outils: Top 10 web applications securityrisks (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex Secure contractannex (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex Cloud computing: Riskassessment (ENISA)http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment 64

153. 65 Merci! contact: antonio.fontes@l7securite.ch

Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

Similar to Sécurité dans les contrats d'externalisation de services de développement et hébergements Web (20)

More from Antonio Fontes

More from Antonio Fontes (15)

Sécurité dans les contrats d'externalisation de services de développement et hébergements Web

Editor's Notes