Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)
Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011
Sécurité dans les contrats d'externalisation de services de développement et hébergements Web
1. Workshop 3 Externalisation des développements, cloudcomputing et SaaS. Quelles mesures pour réduire les risques à la signature du contrat? Antonio Fontes le 27 mai 2011 à Genève CrownePlaza Geneva Symposium dédié à la Cybersécurité en Suisse Rôle de l’Etat et les attentes des PME 1
2. Bio Antonio Fontes 6 ans d’expérience dans la sécurité logicielle et protection des données Fondateur et Directeur de la société L7 SecuritéSàrl Intervenant régulier HES-SO/HEIGVD – Sécurité web Focus: Menaces, risques, et contremesures dans les architectures et services web Sécurité dans le cycle de développement logiciel Etablissement du modèle de menace (threatmodeling) Evaluation/vérification de la sécurité/conformité Analyse de performance OWASP: OWASP Suisse: membre du Comité, coordinateur Romandie OWASP Genève: chapter leader 2
3. Agenda Revue d'actualité: le contexte, la menace Théorie: Cycle de développement d'une application web Architectures web Opportunités pour l'organisation: Externalisation d'un développement web Déploiement de l'application sur un service Cloud Location d'une application web (SaaS) Outils à disposition des organisations Clôture 3
15. Etude de cas: SONY Dédommagement aux 101 mio. d'utilisateurs: 1 an d'assurance "dommages vol d'identité" USD 1mio.$ 1 an d'assurance "surveillance cartes" 30 jours de service offerts 2 jeux vidéo offerts 23 jours d'interruption de service Taux de disponibilité: 93% 15
16. Etude de cas: SONY Deux actions collectives (class action): 2 mai 2011 (E.U.) Négligence: pas de chiffrement de données, pas de pare-feux applicatifs, pas de notification aux clients Non respect des garanties de service: interruption de plus d'une semaine 27 avril 2011 (Canada) Dommage à la sphère privée Des dommages pour le montant d'1 milliard de $ sont réclamés 16
17. Etude de cas: SONY Coût de l'intrusion: Immédiat: USD 172mio. Estimé, attendu: USD >1mia. (incl. actions civiles) Profits attendus pour l'année fiscale 2011-2012 (avril): USD 972mio. 17
23. Le contexte de l'organisation Problématique externe: Adoption croissante du « tout web » Intérêt « hostile » croissant dans les services en ligne Population « malveillante » croissante Le piratage/La sécurité des applications web est « simple » à comprendre/enseigner Risque faible d’être rattrapé par les autorités / peu de barrières à l'entrée 23
24. Le contexte de l'organisation Enjeux lors du développement: Plusieurs dizaines de technologies web à gérer Équipes internes hétérogènes, pratiques diverses Culture de l’urgence Rotation du personnel, fuite du savoir-faire Manque de sensibilisation aux risques des applications web Méconnaissance du consensus des bonnes pratiques 24
25. Le contexte de l'organisation Enjeux lors de l'externalisation: Environnement technologique complexe, pour la majorité des acteurs impliqués Manque de connaissances quant aux risques des applications web et leurs contrôles associés Manque de labels sur lesquels s'appuyer Opacité générale des fournisseurs: Terme "sécurité" galvaudé, souvent confondu avec "contrôle d'accès" Le mythe "SSL" 25
26. Le contexte de l'organisation Impacts les plus fréquents d'incidents "web": Perte/Vol/Extorsion de données confidentielles ou stratégiques Réduction/paralysie de l'activité de l'organisation Compromission des systèmes "internes" Frais de rétablissement largement sous-estimés 26
27. un peu de théorie (mais pas trop, rassurez-vous!) 27
145. OWASP Open Web Application Security Project https://www.owasp.org Fondation à but non lucratif, ouverte et internationale Projets OWASP Sections OWASP (Local Chapters) OWASP Suisse https://www.owasp.org/index.php/Switzerland OWASP Genève https://www.owasp.org/index.php/Geneva 57
146. Stratégie OWASP 58 Menace Site web Comité Application Web Web Application Personnes Sous-Comités Processus Sommet Outils Chapitres Projets Patrimoine Conférences Membres
149. Top 10 Référentiel des 10 risques de sécurité majeurs sur les applications web Utilisable comme base pour "négocier" les exigences minimales en matière de sécurité 61 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
150. Secure Software ContractAnnex Guide OWASP Compagnon de route pour l'élaboration ou l'évaluation de contrats de services menant à des applications web mieux sécurisées 62 https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
151. Conclusion L'externalisation de services liés aux applications web est une délégation. Cette délégation doit inclure la mise à disposition de services protégeant le patrimoine de l'organisation. Des outils sont mis à la disposition des organisations pour obtenir de la confiance, et de l'assurance. La gouvernance reste nécessaire: ces mesures doivent implémenter une stratégie. 63
152. Plus? La dernière version de cette présentation sera prochainement disponible sur http://www.slideshare.net Outils: Top 10 web applications securityrisks (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex Secure contractannex (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex Cloud computing: Riskassessment (ENISA)http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment 64
1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)
1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)
1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)
1) Web frontends, Web 2.0 portals Intranets / Extranets for b/c/c servicesVPN over SSLsWeb services, SOAs, online APIs, …Access to public services, personal data, business automation, etc.2) the value of information / service3) GovernmentsCompetitorsDisgruntled peopleHackers…?4) The advantage of not being “there”“Blacklist” countries (from a legal perspective)