sécurité des applications
DESCRIPTION
Sécurité des Applications . Valdes T. Nzalli Twitter : valdesjo77 Yaoundé, 19 Mai 2012. De quoi sera-t- il question?. Pourquoi Sécuriser nos Applications ?. Les différentes failles. Pour les Applications Web : OWASP Top 10 Les Failles d’implémentation : le fuzzing. Les enjeux. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/1.jpg)
SÉCURITÉ DES APPLICATIONS
Valdes T. NzalliTwitter : valdesjo77
Yaoundé, 19 Mai 2012
![Page 2: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/2.jpg)
• Pourquoi Sécuriser Nos Applications ?1
• Comment Sécuriser nos Applications ?2
• Intégration de la Sécurité dans notre SDLC3
De quoi sera-t-il question?
![Page 3: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/3.jpg)
POURQUOI SÉCURISER NOS APPLICATIONS ?
![Page 4: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/4.jpg)
Les différentes failles• Pour les Applications Web :
OWASP Top 10• Les Failles d’implémentation :
le fuzzing
![Page 5: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/5.jpg)
Les enjeux
• L’impact économique• Le l’image de marque• Exemple : Cas de la compagnie Itron
(USA)
![Page 6: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/6.jpg)
Quelques Chiffres • Les pertes entrainées par les failles
logicielles en 2011 (Source 1) • Plus de 75% des applications web sur le
marché contiennent des failles critiques (source 2)
![Page 7: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/7.jpg)
COMMENT SÉCURISER NOS APPLICATIONS ?
![Page 8: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/8.jpg)
Intégrer les bonnes Pratiques• La Software Development Life Cycle
• Le développement industriel : Software Fabric
![Page 9: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/9.jpg)
Time Spent
Scanner automatique
de Vulnérablités
Audit de Code Source
Tester la Sécurité de son Application
Test manuel
![Page 10: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/10.jpg)
INTÉGRATION DES MESURES DE SÉCURITÉ DANS LE SDLC?
![Page 11: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/11.jpg)
Temps Passé
Activ
ités m
enée
s
Réparation des failles les plus critiques
Retester l’Application
Modèles de Developpement Sécurisé
Refaire un audit du
code Source
Identifier les failles
récurentes
![Page 12: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/12.jpg)
Les outils à utiliser I
• Les Scanneurs de Vulnérabilité : Accunetix, W3AF, Burp Suite, HP WebInspect
• Les outils d’analyse de code source : Yasca, PMD, Coverity, phpSniffer, cobertura
![Page 13: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/13.jpg)
Les outils à utiliser II
• Les machines virtuelles de Test : Damn Vulnerable Web Application, metasploitable,
• Les reférentiels d’audit d’application
![Page 14: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/14.jpg)
Les Facteurs environnementaux
• La sécurité du poste de développement
• La sécurité du serveur de code sources
• Les comportements des utilisateurs
![Page 15: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/15.jpg)
Case Study : Sécurité d’une Application Web
• Web Application Security Checklist (voir fichier excel join)
![Page 16: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/16.jpg)
Ressources• OWASP Top 10 <www.owasp.org>
• OWASP Turkey Web Application Security Checklist v.2 www.webguvenligi.org
• Source 1 : Couts des failles 2011 http://threatpost.com/en_us/blogs/insecure-applications-we-are-84-percent-120611
• Source 2 : Microsoft SDLCthreatpost.com/en_us/blogs/microsofts-sdl-expands-beyond-redmond-051612
• Analyse de code Java : http://linuxfr.org/users/galaux/journaux/des-outils-daudit-de-code-java
![Page 17: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/17.jpg)
QUESTIONS?
![Page 18: Sécurité des Applications](https://reader036.vdocuments.site/reader036/viewer/2022062310/56816507550346895dd77757/html5/thumbnails/18.jpg)
APPENDIX