Valdes securite des application - barcamp2012

SÉCURITÉ DES APPLICATIONS

Valdes T. NzalliTwitter : valdesjo77

Yaoundé, 19 Mai 2012

• Pourquoi Sécuriser Nos Applications ?1

• Comment Sécuriser nos Applications ?2

• Intégration de la Sécurité dans notre SDLC3

De quoi sera-t-il question?

POURQUOI SÉCURISER NOS APPLICATIONS ?

Les différentes failles• Pour les Applications Web :

OWASP Top 10• Les Failles d’implémentation :

le fuzzing

http://resources.infosecinstitute.com/wp-content/uploads/051012_2226_w3afwalkthr4.png?d9c344


Les enjeux

• L’impact économique• Le l’image de marque• Exemple : Cas de la compagnie Itron

(USA)

Quelques Chiffres

• Les pertes entrainées par les failles logicielles en 2011 (Source 1)

• Plus de 75% des applications web sur le marché contiennent des failles critiques (source 2)

COMMENT SÉCURISER NOS APPLICATIONS ?

Intégrer les bonnes Pratiques• La Software Development Life Cycle

• Le développement industriel : Software Fabric

Time Spent

Scanner automatique

de Vulnérablités

Audit de Code Source

Tester la Sécurité de son Application

Test manuel

INTÉGRATION DES MESURES DE SÉCURITÉ DANS LE SDLC?

Temps Passé

Activ

ités

men

ées

Réparation des failles les plus critiques

Retester l’Application

Modèles de Developpement Sécurisé

Refaire un audit du

code Source

Identifier les failles

récurentes

Les outils à utiliser I

• Les Scanneurs de Vulnérabilité : Accunetix, W3AF, Burp Suite, HP WebInspect

• Les outils d’analyse de code source : Yasca, PMD, Coverity, phpSniffer, cobertura

Les outils à utiliser II

• Les machines virtuelles de Test : Damn Vulnerable Web Application, metasploitable,

• Les reférentiels d’audit d’application

Les Facteurs environnementaux

• La sécurité du poste de développement

• La sécurité du serveur de code sources

• Les comportements des utilisateurs

Case Study : Sécurité d’une Application Web

• Web Application Security Checklist (voir fichier excel join)


Ressources

• OWASP Top 10 <www.owasp.org>

• OWASP Turkey Web Application Security Checklist v.2 www.webguvenligi.org

• Source 1 : Couts des failles 2011 http://threatpost.com/en_us/blogs/insecure-applications-we-are-84-percent-120611

• Source 2 : Microsoft SDLCthreatpost.com/en_us/blogs/microsofts-sdl-expands-beyond-redmond-051612

• Analyse de code Java : http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de-code-java

http://www.webguvenligi.org/

http://threatpost.com/en_us/blogs/insecure-applications-we-are-84-percent-120611



QUESTIONS?

APPENDIX

Technology

Valdes securite des application - barcamp2012