sécurité dans les contrats d'externalisation de services de développement et hébergements...
DESCRIPTION
Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011TRANSCRIPT
![Page 1: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/1.jpg)
1
Symposium dédié à la Cybersécurité en SuisseRôle de l’Etat et les attentes des PME
le 27 mai 2011 à GenèveCrowne Plaza Geneva
Workshop 3Externalisation des développements,
cloud computing et SaaS. Quelles mesures pour réduire les risques à la signature du contrat?
Antonio Fontes
![Page 2: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/2.jpg)
2
Bio
Antonio Fontes– 6 ans d’expérience dans la sécurité logicielle et protection des données– Fondateur et Directeur de la société L7 Securité Sàrl– Intervenant régulier HES-SO/HEIGVD – Sécurité web
Focus:– Menaces, risques, et contremesures dans les architectures et services
web– Sécurité dans le cycle de développement logiciel– Etablissement du modèle de menace (threat modeling) – Evaluation/vérification de la sécurité/conformité– Analyse de performance
OWASP:– OWASP Suisse: membre du Comité, coordinateur Romandie– OWASP Genève: chapter leader
![Page 3: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/3.jpg)
3
Agenda
• Revue d'actualité: le contexte, la menace• Théorie:– Cycle de développement d'une application web– Architectures web
• Opportunités pour l'organisation:– Externalisation d'un développement web– Déploiement de l'application sur un service Cloud– Location d'une application web (SaaS)
• Outils à disposition des organisations• Clôture
![Page 4: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/4.jpg)
contexte et menace...
![Page 5: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/5.jpg)
5
Etude de cas: SONY
![Page 6: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/6.jpg)
6
Etude de cas: SONY
77 millions d’utilisateurs
![Page 7: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/7.jpg)
7
Etude de cas: SONY
![Page 8: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/8.jpg)
8
Etude de cas: SONY
![Page 9: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/9.jpg)
9
Etude de cas: SONY
Détails de l'intrusion informatique auprès de Sony Entertainment Online (SOE) (1er mai 2011)
Photo: Dave Oshry
![Page 10: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/10.jpg)
10
Etude de cas: Lastpass
Quelqu'un comprend-il cela au sein de votre
organisation?
![Page 11: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/11.jpg)
11
Etude de cas: SONY (2)
101 millions
![Page 12: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/12.jpg)
12
Etude de cas: Montreux Jazz
![Page 13: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/13.jpg)
13
Etude de cas: SONY (3)23 mai 2011
![Page 14: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/14.jpg)
14
Etude de cas: SONY (3)
Source: neowin.net
![Page 15: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/15.jpg)
15
Etude de cas: SONY
• Dédommagement aux 101 mio. d'utilisateurs:– 1 an d'assurance "dommages vol d'identité" USD
1mio.$– 1 an d'assurance "surveillance cartes"– 30 jours de service offerts– 2 jeux vidéo offerts
• 23 jours d'interruption de service– Taux de disponibilité: 93%
![Page 16: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/16.jpg)
16
Etude de cas: SONY
• Deux actions collectives (class action):– 2 mai 2011 (E.U.)• Négligence: pas de chiffrement de données, pas de
pare-feux applicatifs, pas de notification aux clients• Non respect des garanties de service: interruption de
plus d'une semaine
– 27 avril 2011 (Canada) • Dommage à la sphère privée • Des dommages pour le montant d'1 milliard de $ sont
réclamés
![Page 17: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/17.jpg)
17
Etude de cas: SONY
• Coût de l'intrusion:– Immédiat: USD 172mio.– Estimé, attendu: USD >1mia. (incl. actions civiles)
• Profits attendus pour l'année fiscale 2011-2012 (avril): – USD 972mio.
![Page 18: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/18.jpg)
18
SQL Injection?
• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
![Page 19: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/19.jpg)
19
Etude de cas: Wordpress
![Page 20: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/20.jpg)
20
Etude de cas: Infomaniak
![Page 21: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/21.jpg)
21
Etude de cas: Infomaniak
![Page 22: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/22.jpg)
22
Etude de cas: Infomaniak
![Page 23: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/23.jpg)
23
Le contexte de l'organisation
• Problématique externe:– Adoption croissante du « tout web »– Intérêt « hostile » croissant dans les services en
ligne– Population « malveillante » croissante– Le piratage/La sécurité des applications web est
« simple » à comprendre/enseigner– Risque faible d’être rattrapé par les autorités / peu
de barrières à l'entrée
![Page 24: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/24.jpg)
24
Le contexte de l'organisation
• Enjeux lors du développement:– Plusieurs dizaines de technologies web à gérer– Équipes internes hétérogènes, pratiques diverses– Culture de l’urgence– Rotation du personnel, fuite du savoir-faire– Manque de sensibilisation aux risques des
applications web– Méconnaissance du consensus des bonnes
pratiques
![Page 25: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/25.jpg)
25
Le contexte de l'organisation
• Enjeux lors de l'externalisation:– Environnement technologique complexe, pour la
majorité des acteurs impliqués– Manque de connaissances quant aux risques des
applications web et leurs contrôles associés– Manque de labels sur lesquels s'appuyer– Opacité générale des fournisseurs:• Terme "sécurité" galvaudé, souvent confondu avec
"contrôle d'accès"• Le mythe "SSL"
![Page 26: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/26.jpg)
26
Le contexte de l'organisation
• Impacts les plus fréquents d'incidents "web":– Perte/Vol/Extorsion de données confidentielles ou
stratégiques– Réduction/paralysie de l'activité de l'organisation– Compromission des systèmes "internes"– Frais de rétablissement largement sous-estimés
![Page 27: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/27.jpg)
27
un peu de théorie(mais pas trop, rassurez-vous!)
![Page 28: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/28.jpg)
28
Architecture web: base
![Page 29: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/29.jpg)
29
Architecture web: base
![Page 30: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/30.jpg)
30
Architecture web: hébergeur
![Page 31: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/31.jpg)
31
Architecture web: hébergeur
![Page 32: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/32.jpg)
32
Architecture web: cloud
![Page 33: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/33.jpg)
33
Architecture web: cloud
![Page 34: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/34.jpg)
34
Architecture web: cloud
![Page 35: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/35.jpg)
35
Architecture web: SaaS
![Page 36: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/36.jpg)
36
Architecture web: SaaS
![Page 37: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/37.jpg)
37
Développement externalisé
![Page 38: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/38.jpg)
38
le cycle de développement web
Analyse Conception Codage Vérification Déploiement Opérations
![Page 39: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/39.jpg)
39
Cycle de développement web
Analyse Conception Codage Vérification Déploiement Opérations
![Page 40: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/40.jpg)
40
Cycle de développement web
40
ENTR
EEAC
TIVI
TES
LIVR
ABLE
S
- Etudes- Besoin
- Conception, architecture
- Spécifications techniques / fonctionnelles- Plans qualité (+ tests)
- Spécifications techniques + fonctionnelles
- Codage- Test unitaires
- Code compilé / exécutable- Rapport de tests unitaires
- Code source- Exécutables
-Test fonctionnel - Test technique- Doc
- Application-Recette- Docs / guides
- Application- Docs / guides
- Installation- Intégration- Vérification
- Go en production
- Incident- Problème- …
- Traitement de bugs
- Application corrigée
- Demande, besoin, idée
- Etudes (faisabilité, opportunité)
- Etudes-Décision: Go/nogo
Analyse Conception Codage Vérification Déploiement Opérations
![Page 41: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/41.jpg)
41
Cycle de développement web
41
ENTR
EEAC
TIVI
TES
LIVR
ABLE
S
- Etudes- Besoin
- Conception, architecture
- Spécifications techniques / fonctionnelles- Plans qualité (+ tests)
- Spécifications techniques + fonctionnelles
- Codage- Test unitaires
- Code compilé / exécutable- Rapport de tests unitaires
- Code source- Exécutables
-Test fonctionnel - Test technique- Doc
- Application-Recette- Docs / guides
- Application- Docs / guides
- Installation- Intégration- Vérification
- Go en production
- Incident- Problème- …
- Traitement de bugs
- Application corrigée
- Demande, besoin, idée
- Etudes (faisabilité, opportunité)
- Etudes-Décision: Go/nogo
Analyse Conception Codage Vérification Déploiement Opérations
A chaque phase:- des enjeux spécifiques- des acteurs spécifiques- des livrables spécifiques- des risques spécifiques- des bonnes pratiques spécifiques- des contrôles spécifiques- etc.
![Page 42: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/42.jpg)
Opportunités pour l'organisation:
Analyse Conception Codage Vérification Déploiement Opérations
Acroître la confiance "sécurité":- compréhension des enjeux- compétences- bonnes pratiques- contrôle- conformité
![Page 43: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/43.jpg)
43
opportunités pour l'organisation: externalisation du développement web
![Page 44: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/44.jpg)
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Risques:- rôle de la réglementation- rôle et enjeux pour l'organisation- mauvaise conception du produit
![Page 45: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/45.jpg)
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Mesures:- analyse des besoins- classification / impacts- conception sécurisée- revue de la conception
![Page 46: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/46.jpg)
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Risques:- méconnaissance technologique- codage non sécurisé- sécurité non testée
![Page 47: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/47.jpg)
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Mesures :- Pratiques de codage sécurisé- Expertise technologique- Vérification de la sécurité
![Page 48: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/48.jpg)
Opportunités: développement web
Analyse Conception Codage Vérification Déploiement Opérations
Risques:- déploiement non sécurisé- pas de processus de réponse- absence d'indicateurs
![Page 49: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/49.jpg)
Opportunités: développement web
Analyse Conception Vérification Déploiement Opérations
Mesures:- sécurité de l'environnement-processus de traitement des incidents- indicateurs de sécurité
Codage
![Page 50: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/50.jpg)
50
opportunités pour l'organisation: hébergement de l'application et
environnements cloud
![Page 51: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/51.jpg)
Opportunités: cloud
Analyse Conception Codage Vérification Déploiement Opérations
Risques "cloud":- cycle de vie des données inconnu- guidance de déploiement sécurisé absente- incapacité de tester la sécurité- territorialité inconnue- cohabitation avec les autres clients?- traitement des incidents-…
![Page 52: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/52.jpg)
Opportunités: cloud
Mesures "cloud":- guidance de déploiement sécurisé- prise d'informations- contrat- Prise en compte des risques et mesures "web"
Analyse Conception Codage Vérification Déploiement Opérations
![Page 53: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/53.jpg)
53
opportunités pour l'organisation: SaaS (location du service)
![Page 54: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/54.jpg)
Opportunités: SaaS
Risques "SaaS":- Service présentant des vulnérabilités- Environnement mal protégé- Traitement des incidents de sécurité- Isolation entre clients- etc. cloud?
Analyse Conception Codage Vérification Déploiement Opérations
![Page 55: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/55.jpg)
Opportunités: SaaS
Mesures "SaaS":- Prise d'informations- Contrat- Traitement des incidents de sécurité
Analyse Conception Codage Vérification Déploiement Opérations
![Page 56: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/56.jpg)
56
"Servez-vous!"outils à disposition des organisations
![Page 57: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/57.jpg)
57
OWASP
• Open Web Application Security Project• https://www.owasp.org• Fondation à but non lucratif, ouverte et
internationale• Projets OWASP• Sections OWASP (Local Chapters)– OWASP Suisse https://www.owasp.org/index.php/Switzerland
– OWASP Genève https://www.owasp.org/index.php/Geneva
![Page 58: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/58.jpg)
58
Stratégie OWASP
Web Application
Outils
Processus
Personnes
Menace
Patrimoine
Sommet
Sous-Comités
Comité
Chapitres
Projets
Application Web
Conférences
Membres
Site web
![Page 59: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/59.jpg)
59
Projets OWASP: outils
Analyser Concevoir Implémenter Vérifier Déployer Répondre
AntiSAMMY
ESAPI
ModSecurity CRS
JBroFuzz
LiveCD
WebScarab
Academy portal, Broken Web applications, ESAPI Swingset, Webgoat
CSRFGuard
Encoding
Code Crawler
DirBuster
WebScarab
OrizonO2
Zed Attack Proxy
Stinger
https://www.owasp.org/index.php/Category:OWASP_Project
![Page 60: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/60.jpg)
60
Projets OWASP: référentiels
Development
RoR Security
Code Review
Testing
ASVS
Academy, Appsec FAQ, Appsec metrics, Common Vuln. List, Education, Exams, Legal, OWASP Top 10
.NET Security
Secure coding practices
Code Review
Testing
Secure contract
Backend Security
Threat risk modeling
AJAX Security
Application security
requirements
J2EE Security
PHP Security
Analyser Concevoir Implémenter Vérifier Déployer Répondre
https://www.owasp.org/index.php/Category:OWASP_Project
OWASP Top 10 Web applications security risks
![Page 61: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/61.jpg)
61
Top 10• Référentiel des 10
risques de sécurité majeurs sur les applications web
• Utilisable comme base pour "négocier" les exigences minimales en matière de sécurité
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
![Page 62: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/62.jpg)
62
Secure Software Contract Annex• Guide OWASP• Compagnon de route
pour l'élaboration ou l'évaluation de contrats de services menant à des applications web mieux sécurisées
https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
![Page 63: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/63.jpg)
63
Conclusion
• L'externalisation de services liés aux applications web est une délégation.
• Cette délégation doit inclure la mise à disposition de services protégeant le patrimoine de l'organisation.
• Des outils sont mis à la disposition des organisations pour obtenir de la confiance, et de l'assurance.
• La gouvernance reste nécessaire: ces mesures doivent implémenter une stratégie.
![Page 64: Sécurité dans les contrats d'externalisation de services de développement et hébergements Web](https://reader035.vdocuments.site/reader035/viewer/2022062616/5493465fb47959cd578b46e4/html5/thumbnails/64.jpg)
64
Plus?
• La dernière version de cette présentation sera prochainement disponible sur http://www.slideshare.net
• Outils:– Top 10 web applications security risks (OWASP)
https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
– Secure contract annex (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
– Cloud computing: Risk assessment (ENISA) http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment