Upload
valdes-nzalli
View
377
Download
2
Tags:
Embed Size (px)
Citation preview
SÉCURITÉ DES APPLICATIONS
Valdes T. NzalliTwitter : valdesjo77
Yaoundé, 19 Mai 2012
• Pourquoi Sécuriser Nos Applications ?1
• Comment Sécuriser nos Applications ?2
• Intégration de la Sécurité dans notre SDLC3
De quoi sera-t-il question?
POURQUOI SÉCURISER NOS APPLICATIONS ?
Les différentes failles• Pour les Applications Web :
OWASP Top 10• Les Failles d’implémentation :
le fuzzing
Les enjeux
• L’impact économique• Le l’image de marque• Exemple : Cas de la compagnie Itron
(USA)
Quelques Chiffres
• Les pertes entrainées par les failles logicielles en 2011 (Source 1)
• Plus de 75% des applications web sur le marché contiennent des failles critiques (source 2)
COMMENT SÉCURISER NOS APPLICATIONS ?
Intégrer les bonnes Pratiques• La Software Development Life Cycle
• Le développement industriel : Software Fabric
Time Spent
Scanner automatique
de Vulnérablités
Audit de Code Source
Tester la Sécurité de son Application
Test manuel
INTÉGRATION DES MESURES DE SÉCURITÉ DANS LE SDLC?
Temps Passé
Activ
ités
men
ées
Réparation des failles les plus critiques
Retester l’Application
Modèles de Developpement Sécurisé
Refaire un audit du
code Source
Identifier les failles
récurentes
Les outils à utiliser I
• Les Scanneurs de Vulnérabilité : Accunetix, W3AF, Burp Suite, HP WebInspect
• Les outils d’analyse de code source : Yasca, PMD, Coverity, phpSniffer, cobertura
Les outils à utiliser II
• Les machines virtuelles de Test : Damn Vulnerable Web Application, metasploitable,
• Les reférentiels d’audit d’application
Les Facteurs environnementaux
• La sécurité du poste de développement
• La sécurité du serveur de code sources
• Les comportements des utilisateurs
Case Study : Sécurité d’une Application Web
• Web Application Security Checklist (voir fichier excel join)
Ressources
• OWASP Top 10 <www.owasp.org>
• OWASP Turkey Web Application Security Checklist v.2 www.webguvenligi.org
• Source 1 : Couts des failles 2011 http://threatpost.com/en_us/blogs/insecure-applications-we-are-84-percent-120611
• Source 2 : Microsoft SDLCthreatpost.com/en_us/blogs/microsofts-sdl-expands-beyond-redmond-051612
• Analyse de code Java : http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de-code-java
QUESTIONS?
APPENDIX