2015 - concilier exploitabilité & sécurité : challenge relevé !
TRANSCRIPT
Assises de la Sécurité 2015
Exploitabilité & Sécurité :Challenge relevé
LEADER en INFOGERANCE ECOMMERCE EXPERT en TRES HAUTE SECURITE
Grow your business safely
WWW.NBS-SYSTEM.COM
Historique
• 15 ans d'expérience dans l'hébergement– 3000+ sites web hébergés– Cloud privé 100% français
• 15 ans d'expérience dans la sécurité
• Jonction des deux mondes en 2011– “beta-test” d’envergure
• CerberHost annoncé en 2012– Solution auditée, légalement ou pas– Certification PCI/DSS annuelle
2Thibault Koechlin & Emile Heitor
Un réel challenge ?
3Thibault Koechlin & Emile Heitor
Wordpress, 11 ans, 199 CVE, ~33 RCE
SSH, 16 ans, 38 CVE, ~2 RCE
4
Ou
Constats
Constats
5Thibault Koechlin & Emile Heitor
De l’attaque initiale
à la compromision*
Source : étude VERIZON “Data Breach Investigation Report” de 2012
De la compromision
à la découverte*
* dans les grandes organisation
Constats
6Thibault Koechlin & Emile Heitor
Impliquer l’interne : en amont
Profiter des compétences internes disponibles
• Identification des enjeux– Création d’une matrice de risques « métiers » et
« techniques»
• Aider dans la sélection des prestataires– Réponse préventive au TOP10 OWASP
7Thibault Koechlin & Emile Heitor
Impliquer l’interne : pendant la construction
8Thibault Koechlin & Emile Heitor
Aider dans la mise en place des best practices
• Mesures génériques– Back-Office : authentification par certificat, filtrage des back-office
par IP, pré-authentification HTTP, forcer le HTTPS …
• Décolérer de l’applicatif– Filtrages flux entrants/sortants, Forcer des piles applicatives récentes
• Mesures spécifiques– Suhosin, modules spécifiques de sécurité, contrôle de robustesse
des mots de passe
Impliquer l’interne : avant la phase de recette
En amont de la phase de recette• Inventaire des composants logiciels (veille)• Utilisation d’outils pour revue de sécurité
– Burp, Arachni, Zap• Processus de consolidation
– Arachni (natif), ThreadFix (3rd party)• Revue de plateforme
– Mise à Jour / Configuration des composants systèmes
9Thibault Koechlin & Emile Heitor
Clients et fournisseurs : encadrer, normaliser, procédurer
• Accompagnement du projet dès l’avant-vente– Méthodes d’accès– Validation des flux– Audit de code
• Procédures standards, compatibles PCI/DSS– Suivi des évolutions
• Chiffrement, autorisations de flux contrôlées, 2FA
10Thibault Koechlin & Emile Heitor
Un impératif, l'automatisation
• L'artisanat : l'impossible compatibilité
• Architecture sous contrôle = cohérence des méthodes et outils
• Industrialisation, automatisation, orchestration = contrôler la masse
11Thibault Koechlin & Emile Heitor
Juge et partie : obligation d'une équipe dédiée à la vigilance
12Thibault Koechlin & Emile Heitor
• Le RSSI est indépendant : l'infrastructure lui doit des comptes
• Interaction omniprésente entre opérations et sécurité : validations mutuelles– ie. Scan nessus mensuel + ouverture de ticket pour
tracer les correctifs
• Pas de choix de direction technique sans consultation et validation SOC/SecOPS
Processus et formations
• Toutes les équipes sont sensibilisées
• Formations régulières promulguées par l‘équipe sécurité
• Escalades encadrées par des procédures claires– Service client, Infrastructure, SecOPS
13Thibault Koechlin & Emile Heitor
Procédure de déploiement
14Thibault Koechlin & Emile Heitor
Procédure de Revue de Sécurité
15Thibault Koechlin & Emile Heitor
Contact
NBS SystemAdresse : 8 rue Bernard Buffet, Immeuble Le Cardinet – 5ème étage75017 Paris
Mail : [email protected]éléphone : +33.1.58.56.60.80Support technique : +33.1.58.56.60.88Fax : +33.1.58.56.60.81
16
Atelier donné aux Assises de la Sécurité le 02/10/16
par Emile Heitor et Thibault Koechlin
Thibault Koechlin & Emile Heitor