securité applicative
DESCRIPTION
securité applicativeTRANSCRIPT
-
La scurit applicative
De quoi s'agit-il ?Quel en est l'enjeu ?
Emilien KiaCLUSIR - antenne de Grenoble / UPMF-IUT28 juin 2009
-
La scurit applicative Introduction : qu'est-ce et pourquoi ? Les attaques et leurs consquences Le traitement des vulnrabilits :
Pendant la spcification Pendant la conception Pendant le dveloppement Pendant la vie productive
Prvention globale (ensemble du process) Conclusion
-
La scurit applicative
Introduction :
Qu'est-ce que la scurit applicative ?Pourquoi la mettre en place ?
-
Qu'est-ce que la scurit applicative ?
Dfinition courante : Partie logicielle intgre aux S.I. grant la
scurit de l'information La scurit de l'information est un
processus visant protger des donnes contre l'accs, l'utilisation, la diffusion, la destruction, ou la modification non autorise. (Wikipedia fr)
-
Qu'est-ce que la scurit applicative ?
Dfinition tendue: Partie logicielle intgre aux S.I. grant :
La scurit de l'information L'intgrit du S.I. La confidentialit du S.I.
-
Quel en est l'enjeu ? S.I. = cur de l'activit S.I. = ensemble des donnes Consquences en cas de :
Vol de donnes (vente un concurrent) Violation des donnes (suppression/modification) Dgradation des services
-
La scurit applicative
Les attaques et leurs consquences
-
Les attaques et leurs consquences
Les failles Les attaques Leurs consquences
Sur le systme S.I. Sur l'entreprise
-
Les attaques et leurs consquences
Les failles : portes anormalement entrouvertes Origine volontaires ou non. Tous les tages applicatifs:
Systme/configuration : LogInj, SeedLess, DefParam Conception : ClientValidation, PasswordStorage Dveloppement : DoubleFree, OutOfRange Outils/Langages : BufferOverflow
-
Les attaques et leurs consquences
Les attaques : Les modes opratoires, les actions des pirates Dpend du but recherch :
Usurpation : manipulation de session Introspection : injection (SQL, code )
Dpend des failles : Overflow, string formating, brute force ...
-
Les attaques et leurs consquences
Les consquences : Rupture de la triade DIC :
Disponibilit (Denial Of Service) Intgrit (Injection de donnes) Confidentialit (Vol de donnes)
Rupture de la traabilit/imputabilit/preuve Violation des journaux
-
La scurit applicative
Le traitement des vulnrabilits
-
Le traitement des vulnrabilits Extension des critres qualit 4 phases de vie d'une application
Phase de spcification Phase de conception Phase de dveloppement Phase de production
-
Le traitement des vulnrabilits
Extension des critres qualit Disponibilit Intgrit Confidentialit Traabilit
-
Le traitement des vulnrabilits
Traitement en phase de spcifications Isolation des donnes/process sensibles Analyse et chiffrage des risques
EBIOS / MEHARI / OCTAVE Clauses en cas de dfaut Procdures de
sauvegardes/restauration/remise en route
-
Le traitement des vulnrabilits
Traitement en phase de conception Approche globale (top-down) par l'analyse des risques
du S.I. Approche locale (bottom-up) par isolation de modules Prvision des risques lis aux tiers (sous-traitants,
bibliothques ) Prvision des risques lis l'environnement
d'excution/de dploiement
-
Le traitement des vulnrabilits
Traitement en phase de dveloppement Mutualisation des fonctionnalits Dfinition des invariants/prvariants Interception/remonte des exceptions Documentation exhaustive (paramtres,
exceptions ) Gnration de code Relecture et mesure de code
-
Le traitement des vulnrabilits
Traitement en phase de production Vrification de la configuration (droits ) Traces d'exploitation (load balancing, logs ) Suivi/SAV/MCO (patchs, SP ) S.I. mirroirs (tests, rcupration ...)
-
La scurit applicative
La prvention globale
-
La prvention globale Procdures de notation et de suivit qualit Audits rguliers de spcialistes hors projet Spcifications et excutions de tests Procdures de livraison et mise en production
-
La prvention globaleAnalogie de l'entreprise :
Services (production, compta, achats, commerciaux, expditions)
Locaux (pices, tages, btiments, sites, pays...) Personnels (dirigeants, gestionnaires, techniques,
commerciaux... employs, dtachs, intrimaires, stagiaires...)
Prestataires Clients
-
La scurit applicative
Conclusion
-
Elments de rflexion sur les besoins et solutions de formation
Formations en scurit informatique
CLUSIR Rhone-AlpesAntenne de Grenoble
IUT Grenoble 2 Dpt Informatique8 Juin 2009 (17h30- 19h30)
Sbastien [email protected] de confrence en informatique (IUT 2 Grenoble)Consultant en Scurit des systmes dinformation (SBN Consultants)
-
Scurit des systmes dinformation => Plusieurs expertises : Organisationnelle / fonctionnelle de lentreprise (systme dinformation) Organisationnelle et technique de linformatique (Applications, Rseaux, Systmes) Organisationnelle / fonctionnelle / technique de la scurit (informatique, infrastructure, accs physique) Gestion des Ressources humaines (sensibilisation / formation / protection des utilisateurs) Lgales (responsabilits de lentreprise, des salaris, mthodes dinvestigations)
Reflexion sur la formation=> Besoin dexpertise
=> Place de la scurit dans lentreprise Prestataire de serviceUtilisatrice
=> Taille de lentreprise TPE / PE : 1 responsable interne qui couvre tout
Acquisition dexpertise Existant + Cible Moyens dy parvenir Resources / ROI
Besoinstrs diffrents
de formation
Exprience Encadrement Formation Recrutement Assistance technique
=> Mode dacquisition de lexpertise
Connaissance de lentreprise / la scurit
Scurit
Entreprise
Formation en scurit des SI : plusieurs prrequis la rflexion !
Prestataire : Diffuse (chez gnralistes) / Pointue (experts en veille, sensibilisation, solution...)
ME : 1 RSSI (gouvernance + organisation + gestion du risque)+ Expertise technique (externalise / transfre lIT)
GE : Stratgique (mthodologie, politique, plans de formation, ressources ddis)+ Pilotage / Conduite de projet (niveau managrial interne, mthodologie) + Expertise technique ddie (conseil) / transfre lIT (externalise)
-
Rponse au besoin dexpertise SSI
Mode dacquisition :1) Par lexprience2) Par acquisition de connaissance
- Encadrement- Veille / autoformation- Formation externe
3) Par acquisistion de ressource- Recrutement externe- Assistance technique
Ex1 : Dveloppement logiciel scuris
Gnie logicielCoeur de mtier
2nde expertise : Approche scurise
Dveloppement scuris
Formation : Quel besoin pour qui ? Analyse de la valeur !
( ! ) La SSI est le domaine informatique qui sollicite le plus les capacits de veille
Besoin dexpertise
Architecture + Expertise fonctionnelle(limiter les failles de conception)
(1) Trs bien dvelopper(limiter les failles techniques)
Concepteur dveloppeur(1) (5)
Connaissance des risques & vulnrabilits lis au dveloppement applicatif
(5) Culture de scurit + AuditAnalyse de risque fonctionnelAnalyse de vulnrabilit technique
Testeur / Analyste scurit
Mise en place dun environnement de suivi / maintenance corrective
(4) Mise en production / exploitationMise en production / exploitationPlateforme de distribution de correctifs
Exploitant (maintenance)(4)
Matrise des mthodes et outils de tests (3) Exprience de testCatalogue doutils & pratiquesExperience sur outils de tests
Testeur appplicatif(3)Chef de projet
Dfinition / respect de mthodologies de dveloppement logiciel
(2) Mthode qualit logicielleGestion de projetApproche qualit
(2)
(1) => Formation + Encadrement(autres) => Recrutement + Encadrement
Selon la ressource existante
La scurit est une 2ble comptence que lon peut acqurir par la formation en complment dune trs bonne expertise du coeur de mtier (dveloppeur)
-
Ex 2 : Administration & Supervision de la scurit du SI
(2) Expertise des solutions propritaires(Cisco, Checkpoint, Linux...)
Administrateur rseauxWAN, (W)LAN, Filtrage TCP/IP
(3) Segmentation, intgration de systmes(solutions propritaires)
Administrateur applicatifAppli. sp., ERP, middleware...
La scurit est une 2ble comptence ncessite une trs bonne comptence dans le coeur de mtier (administrateur)... et de nombreuses formations
Les formations permettant de matriser les exigences de scurit portent sur :1) Les mthodes et process dadministration2) Une vision globale du SI3) La connaissance des failles et pratiques4) Lexpertise de solutions propritaires
(1) Durcissement, monitoring,Sauvegarde, haute disponibilit
Besoin dexpertise scuritAdministrateur systmes Windows, Unix, VM
Coeur de mtier
Admin scurise des SI
Les exigences dadministration portent sur le respect de :1) lintgrit des donnes2) La disponibilit des services3) La traabilit des utilisateurs4) La confidentialit des informations
Admin. Applications / Systmes / Rseaux
(3) Gestion du parc et des configurationsStratgies de scurit locale / groupePlateforme de gestion des mises jours
Controle des standardsapplicatifs et systmes
Standards
Approche scurise
Contrle daccs utilisateur(5) Admin. de domaine de ressources / annuairesCharte utilisateurs, monitoring / reverse proxying Solution globale didentity access management (SSO...)
Acces
Contrle dIntgrit/ Scurisation des flux
(4) Outils AV, ASpam (locaux / rseaux)Admin Firewall, VPN, SSL, PKI, ... Admin Proxy, IDS, Honeypot, NAC...
FluxSupervision des vnements (6) Interconnexion / Remontes dalertes des systmesMonitoring / Consolidation / Alerte de scurit
Gestion / Suivi dvnements / Forensic
SI de la Scurit
(7) Organisation de suivi des incidents + support ITPlan de sauvegarde / restaurationPlan de continuit dactivit / gestion de crises
Gestion des incidents / dsastre
Gestion dvnnements
-
Dfinir le niveau dexpertise requis
Fondamentaux Fondamentaux dadministration (rseaux & systmes) Fondamentaux de dveloppement informatique (hacking, outils et SI) Comprhension des Organisations, mthodes et process types Enjeux et principes de la scurit (vulnrabilits, menaces, risque...) Formation aux mthodes de veille (autoformation / bulletin dalerte)
Limiter le cot de la mise niveauRationaliser linformatique1) Standards propritaires
- Complexit / compatibilit- Cot conseil / Formation des admin.
2) Obsolescence- Fin de support / formation / rappro- Gestion des RH
3) Approche globale- Interconnexion des systmes- Mise en oeuvre de la politique globale
Rationaliser les formations Standards (virtualisation, centralisation) Ressources gnralistes / stratgiques (internes) Ressources atypiques (externes)
Formation : Facteurs cls de succs
Coeur de mtier = Informatique Dveloppement informatique Testeur Administration rseaux & systmes Administrateur applicatif (ERP, SGBD, ...) Administrateur du SI (domaine, utilisateurs, services...) Concepteur / Intgrateur de systmes (SI de la scurit) Gestionnaire de Parc / Support utilisateur Chef de projet (dploiement de logiciels / infrastructures) Auditeur informatique (analyse de risque, schma directeur...) Qualiticien (Iso, mthodes, domaines et best practices...)
Scurit = double comptence
Facteur dexcellence = Scurit Comprhension des failles de codage / vulnrabilits Tests de vulnrabilit Protocoles et fonctionnalits de scurit Segmentation, stratgies de scurit, Gestion centralise / primtre de scurit / annuaire /... Dfinition / Acquisition / Interprtation centralis des alertes Inventaire / classification des resources / Gestion dincident Chef de projet (dploiement ddis la SSI) Auditeur scurit (tests de pntration, vulnrabilit...) Politiques de scurit (Iso 27k, PDCA, analyse de risque, Itil...)
Expertise pointue Ingnierie dorganisation de la scurit (audit / schma directeur) Formation propritaires (expertise dadministration) Certification (organisation & politiques, audit technique...)
-
Exemple (*) de progression pdagogique de formation
Administration rseauWAN, (W)LAN, Filtrage TCP/IP
Administration applicativenTiers, SGBD, C/S intranet
Administration systme(Windows, Unix) + DurcissementVirtualisation / Haute disponibilit
Administration du Systme dinformation
Mthodes et outils de tests
Dveloppement logiciel
Gnie logiciel
Mise en pratique (Dveloppement / framework)
Mthodologie de dveloppement logiciel
Environnement de la scurit
Sensibilisation par scnarisationVulnrabilit / Menaces & RisquesIllustration technique des concepts Environnement lgal, Cybercriminalitet Intelligence conomiqueMthode de veille applique la SSI et communication aux rseaux dexpertsMise en place dune charte utilisateursIntroduction aux mthodologies / normes
Administration dun domaineStratgies de scurit / groupePlateforme de mises jours
Administration de la scuritDploiement doutils (AV, ASpam)Firewall, Proxy, IDS, VPN, SSL, PKI
Audit de scuritOutils/mthodes de tests de pntrationPrvention et raction en cas dattaque
Systme dinformation de la scuritInterconnexion / Remontes des alertesMonitoring / Consolidation / Alerte dinterventionGestion / Suivi dvnements / Forensic
Organisation de suivi des incidents Plan de sauvegarde / restaurationPlan de continuit dactivit / gestion de crise
(*) Licence pro Administration & Scurit des Systmes dinformation)
Complments (RSSI, prestataire) :
Ingnierie informatique scurise Dveloppement logiciel scurisThorie et technique de CryptageRalisation du SI de la scuritAudit stratgique / organisationnel
Organisation & Plan QualitConception de politique SSICertification ISO (PDCA, risk, domaines...)
Solutions propritaires Administration (rseau / systmes / applications)Solutions intgres de scurit (IAM / SSO)
La_securite_applicative8-6-09.pdfGardeSommaireIntroIntro - Qu'est ce ? 1/2Intro - Qu'est ce ? 2/2Intro - enjeuxAttaques/consquencesAttaques/consquences - sommaireAttaques/consquences - faillesAttaques/consquences - attaquesAttaques/consquences - consquencesTraitementTraitement - sommaireTraitement - qualitTraitement - spcificationTraitement - conceptionTraitement - dveloppementTraitement - productionPrvention globalePrvention globale - dtailsSlide 21Slide 22
0806_CLUSIR_-_Formation_scurit.pdf