securité applicative

La scurit applicative

De quoi s'agit-il ?Quel en est l'enjeu ?

Emilien KiaCLUSIR - antenne de Grenoble / UPMF-IUT28 juin 2009

La scurit applicative Introduction : qu'est-ce et pourquoi ? Les attaques et leurs consquences Le traitement des vulnrabilits :

Pendant la spcification Pendant la conception Pendant le dveloppement Pendant la vie productive

Prvention globale (ensemble du process) Conclusion


Introduction :

Qu'est-ce que la scurit applicative ?Pourquoi la mettre en place ?

Qu'est-ce que la scurit applicative ?

Dfinition courante : Partie logicielle intgre aux S.I. grant la

scurit de l'information La scurit de l'information est un

processus visant protger des donnes contre l'accs, l'utilisation, la diffusion, la destruction, ou la modification non autorise. (Wikipedia fr)

Qu'est-ce que la scurit applicative ?

Dfinition tendue: Partie logicielle intgre aux S.I. grant :

La scurit de l'information L'intgrit du S.I. La confidentialit du S.I.

Quel en est l'enjeu ? S.I. = cur de l'activit S.I. = ensemble des donnes Consquences en cas de :

Vol de donnes (vente un concurrent) Violation des donnes (suppression/modification) Dgradation des services


Les attaques et leurs consquences


Les failles Les attaques Leurs consquences

Sur le systme S.I. Sur l'entreprise


Les failles : portes anormalement entrouvertes Origine volontaires ou non. Tous les tages applicatifs:

Systme/configuration : LogInj, SeedLess, DefParam Conception : ClientValidation, PasswordStorage Dveloppement : DoubleFree, OutOfRange Outils/Langages : BufferOverflow


Les attaques : Les modes opratoires, les actions des pirates Dpend du but recherch :

Usurpation : manipulation de session Introspection : injection (SQL, code )

Dpend des failles : Overflow, string formating, brute force ...


Les consquences : Rupture de la triade DIC :

Disponibilit (Denial Of Service) Intgrit (Injection de donnes) Confidentialit (Vol de donnes)

Rupture de la traabilit/imputabilit/preuve Violation des journaux


Le traitement des vulnrabilits

Le traitement des vulnrabilits Extension des critres qualit 4 phases de vie d'une application

Phase de spcification Phase de conception Phase de dveloppement Phase de production


Extension des critres qualit Disponibilit Intgrit Confidentialit Traabilit


Traitement en phase de spcifications Isolation des donnes/process sensibles Analyse et chiffrage des risques

EBIOS / MEHARI / OCTAVE Clauses en cas de dfaut Procdures de

sauvegardes/restauration/remise en route


Traitement en phase de conception Approche globale (top-down) par l'analyse des risques

du S.I. Approche locale (bottom-up) par isolation de modules Prvision des risques lis aux tiers (sous-traitants,

bibliothques ) Prvision des risques lis l'environnement

d'excution/de dploiement


Traitement en phase de dveloppement Mutualisation des fonctionnalits Dfinition des invariants/prvariants Interception/remonte des exceptions Documentation exhaustive (paramtres,

exceptions ) Gnration de code Relecture et mesure de code


Traitement en phase de production Vrification de la configuration (droits ) Traces d'exploitation (load balancing, logs ) Suivi/SAV/MCO (patchs, SP ) S.I. mirroirs (tests, rcupration ...)


La prvention globale

La prvention globale Procdures de notation et de suivit qualit Audits rguliers de spcialistes hors projet Spcifications et excutions de tests Procdures de livraison et mise en production

La prvention globaleAnalogie de l'entreprise :

Services (production, compta, achats, commerciaux, expditions)

Locaux (pices, tages, btiments, sites, pays...) Personnels (dirigeants, gestionnaires, techniques,

commerciaux... employs, dtachs, intrimaires, stagiaires...)

Prestataires Clients


Conclusion

Elments de rflexion sur les besoins et solutions de formation

Formations en scurit informatique

CLUSIR Rhone-AlpesAntenne de Grenoble

IUT Grenoble 2 Dpt Informatique8 Juin 2009 (17h30- 19h30)

Sbastien [email protected] de confrence en informatique (IUT 2 Grenoble)Consultant en Scurit des systmes dinformation (SBN Consultants)

Scurit des systmes dinformation => Plusieurs expertises : Organisationnelle / fonctionnelle de lentreprise (systme dinformation) Organisationnelle et technique de linformatique (Applications, Rseaux, Systmes) Organisationnelle / fonctionnelle / technique de la scurit (informatique, infrastructure, accs physique) Gestion des Ressources humaines (sensibilisation / formation / protection des utilisateurs) Lgales (responsabilits de lentreprise, des salaris, mthodes dinvestigations)

Reflexion sur la formation=> Besoin dexpertise

=> Place de la scurit dans lentreprise Prestataire de serviceUtilisatrice

=> Taille de lentreprise TPE / PE : 1 responsable interne qui couvre tout

Acquisition dexpertise Existant + Cible Moyens dy parvenir Resources / ROI

Besoinstrs diffrents

de formation

Exprience Encadrement Formation Recrutement Assistance technique

=> Mode dacquisition de lexpertise

Connaissance de lentreprise / la scurit

Scurit

Entreprise

Formation en scurit des SI : plusieurs prrequis la rflexion !

Prestataire : Diffuse (chez gnralistes) / Pointue (experts en veille, sensibilisation, solution...)

ME : 1 RSSI (gouvernance + organisation + gestion du risque)+ Expertise technique (externalise / transfre lIT)

GE : Stratgique (mthodologie, politique, plans de formation, ressources ddis)+ Pilotage / Conduite de projet (niveau managrial interne, mthodologie) + Expertise technique ddie (conseil) / transfre lIT (externalise)

Rponse au besoin dexpertise SSI

Mode dacquisition :1) Par lexprience2) Par acquisition de connaissance

- Encadrement- Veille / autoformation- Formation externe

3) Par acquisistion de ressource- Recrutement externe- Assistance technique

Ex1 : Dveloppement logiciel scuris

Gnie logicielCoeur de mtier

2nde expertise : Approche scurise

Dveloppement scuris

Formation : Quel besoin pour qui ? Analyse de la valeur !

( ! ) La SSI est le domaine informatique qui sollicite le plus les capacits de veille

Besoin dexpertise

Architecture + Expertise fonctionnelle(limiter les failles de conception)

(1) Trs bien dvelopper(limiter les failles techniques)

Concepteur dveloppeur(1) (5)

Connaissance des risques & vulnrabilits lis au dveloppement applicatif

(5) Culture de scurit + AuditAnalyse de risque fonctionnelAnalyse de vulnrabilit technique

Testeur / Analyste scurit

Mise en place dun environnement de suivi / maintenance corrective

(4) Mise en production / exploitationMise en production / exploitationPlateforme de distribution de correctifs

Exploitant (maintenance)(4)

Matrise des mthodes et outils de tests (3) Exprience de testCatalogue doutils & pratiquesExperience sur outils de tests

Testeur appplicatif(3)Chef de projet

Dfinition / respect de mthodologies de dveloppement logiciel

(2) Mthode qualit logicielleGestion de projetApproche qualit

(2)

(1) => Formation + Encadrement(autres) => Recrutement + Encadrement

Selon la ressource existante

La scurit est une 2ble comptence que lon peut acqurir par la formation en complment dune trs bonne expertise du coeur de mtier (dveloppeur)

Ex 2 : Administration & Supervision de la scurit du SI

(2) Expertise des solutions propritaires(Cisco, Checkpoint, Linux...)

Administrateur rseauxWAN, (W)LAN, Filtrage TCP/IP

(3) Segmentation, intgration de systmes(solutions propritaires)

Administrateur applicatifAppli. sp., ERP, middleware...

La scurit est une 2ble comptence ncessite une trs bonne comptence dans le coeur de mtier (administrateur)... et de nombreuses formations

Les formations permettant de matriser les exigences de scurit portent sur :1) Les mthodes et process dadministration2) Une vision globale du SI3) La connaissance des failles et pratiques4) Lexpertise de solutions propritaires

(1) Durcissement, monitoring,Sauvegarde, haute disponibilit

Besoin dexpertise scuritAdministrateur systmes Windows, Unix, VM

Coeur de mtier

Admin scurise des SI

Les exigences dadministration portent sur le respect de :1) lintgrit des donnes2) La disponibilit des services3) La traabilit des utilisateurs4) La confidentialit des informations

Admin. Applications / Systmes / Rseaux

(3) Gestion du parc et des configurationsStratgies de scurit locale / groupePlateforme de gestion des mises jours

Controle des standardsapplicatifs et systmes

Standards

Approche scurise

Contrle daccs utilisateur(5) Admin. de domaine de ressources / annuairesCharte utilisateurs, monitoring / reverse proxying Solution globale didentity access management (SSO...)

Acces

Contrle dIntgrit/ Scurisation des flux

(4) Outils AV, ASpam (locaux / rseaux)Admin Firewall, VPN, SSL, PKI, ... Admin Proxy, IDS, Honeypot, NAC...

FluxSupervision des vnements (6) Interconnexion / Remontes dalertes des systmesMonitoring / Consolidation / Alerte de scurit

Gestion / Suivi dvnements / Forensic

SI de la Scurit

(7) Organisation de suivi des incidents + support ITPlan de sauvegarde / restaurationPlan de continuit dactivit / gestion de crises

Gestion des incidents / dsastre

Gestion dvnnements

Dfinir le niveau dexpertise requis

Fondamentaux Fondamentaux dadministration (rseaux & systmes) Fondamentaux de dveloppement informatique (hacking, outils et SI) Comprhension des Organisations, mthodes et process types Enjeux et principes de la scurit (vulnrabilits, menaces, risque...) Formation aux mthodes de veille (autoformation / bulletin dalerte)

Limiter le cot de la mise niveauRationaliser linformatique1) Standards propritaires

- Complexit / compatibilit- Cot conseil / Formation des admin.

2) Obsolescence- Fin de support / formation / rappro- Gestion des RH

3) Approche globale- Interconnexion des systmes- Mise en oeuvre de la politique globale

Rationaliser les formations Standards (virtualisation, centralisation) Ressources gnralistes / stratgiques (internes) Ressources atypiques (externes)

Formation : Facteurs cls de succs

Coeur de mtier = Informatique Dveloppement informatique Testeur Administration rseaux & systmes Administrateur applicatif (ERP, SGBD, ...) Administrateur du SI (domaine, utilisateurs, services...) Concepteur / Intgrateur de systmes (SI de la scurit) Gestionnaire de Parc / Support utilisateur Chef de projet (dploiement de logiciels / infrastructures) Auditeur informatique (analyse de risque, schma directeur...) Qualiticien (Iso, mthodes, domaines et best practices...)

Scurit = double comptence

Facteur dexcellence = Scurit Comprhension des failles de codage / vulnrabilits Tests de vulnrabilit Protocoles et fonctionnalits de scurit Segmentation, stratgies de scurit, Gestion centralise / primtre de scurit / annuaire /... Dfinition / Acquisition / Interprtation centralis des alertes Inventaire / classification des resources / Gestion dincident Chef de projet (dploiement ddis la SSI) Auditeur scurit (tests de pntration, vulnrabilit...) Politiques de scurit (Iso 27k, PDCA, analyse de risque, Itil...)

Expertise pointue Ingnierie dorganisation de la scurit (audit / schma directeur) Formation propritaires (expertise dadministration) Certification (organisation & politiques, audit technique...)

Exemple (*) de progression pdagogique de formation

Administration rseauWAN, (W)LAN, Filtrage TCP/IP

Administration applicativenTiers, SGBD, C/S intranet

Administration systme(Windows, Unix) + DurcissementVirtualisation / Haute disponibilit

Administration du Systme dinformation

Mthodes et outils de tests

Dveloppement logiciel

Gnie logiciel

Mise en pratique (Dveloppement / framework)

Mthodologie de dveloppement logiciel

Environnement de la scurit

Sensibilisation par scnarisationVulnrabilit / Menaces & RisquesIllustration technique des concepts Environnement lgal, Cybercriminalitet Intelligence conomiqueMthode de veille applique la SSI et communication aux rseaux dexpertsMise en place dune charte utilisateursIntroduction aux mthodologies / normes

Administration dun domaineStratgies de scurit / groupePlateforme de mises jours

Administration de la scuritDploiement doutils (AV, ASpam)Firewall, Proxy, IDS, VPN, SSL, PKI

Audit de scuritOutils/mthodes de tests de pntrationPrvention et raction en cas dattaque

Systme dinformation de la scuritInterconnexion / Remontes des alertesMonitoring / Consolidation / Alerte dinterventionGestion / Suivi dvnements / Forensic

Organisation de suivi des incidents Plan de sauvegarde / restaurationPlan de continuit dactivit / gestion de crise

(*) Licence pro Administration & Scurit des Systmes dinformation)

Complments (RSSI, prestataire) :

Ingnierie informatique scurise Dveloppement logiciel scurisThorie et technique de CryptageRalisation du SI de la scuritAudit stratgique / organisationnel

Organisation & Plan QualitConception de politique SSICertification ISO (PDCA, risk, domaines...)

Solutions propritaires Administration (rseau / systmes / applications)Solutions intgres de scurit (IAM / SSO)

La_securite_applicative8-6-09.pdfGardeSommaireIntroIntro - Qu'est ce ? 1/2Intro - Qu'est ce ? 2/2Intro - enjeuxAttaques/consquencesAttaques/consquences - sommaireAttaques/consquences - faillesAttaques/consquences - attaquesAttaques/consquences - consquencesTraitementTraitement - sommaireTraitement - qualitTraitement - spcificationTraitement - conceptionTraitement - dveloppementTraitement - productionPrvention globalePrvention globale - dtailsSlide 21Slide 22

0806_CLUSIR_-_Formation_scurit.pdf

securité applicative

Documents