Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

3.5. Assurer la cybersécurité d’une solution applicative et de son développemen

3.5. Assurer la cybersécurité d’une solution applicative et de son développement – option SLAM 1 Bloc de compétences 3 – Assurer la cybersécurité d’une solution applicative et de son développement option SLAM Année 2 Finalité métier : Le métier de la cybersécurité consiste à répondre aux besoins de cybersécurité dans le développement de solutions applicatives d’une organisation notamment au regard du développement des menaces et attaques en provenance d’internet et des risques liés aux usages numériques. Les contextes de travail, ouverts et évolutifs, nécessitent de mener une veille informationnelle et technologique et de prendre en compte leurs aspects humains, technologiques, organisationnels, économiques et juridiques. Le métier implique de respecter la réglementation, les méthodes, les normes et standards qui prévalent dans la législation nationale et internationale ainsi que dans les recommandations des organismes gouvernementaux et professionnels. Contexte professionnel : Vous travaillez pour le compte d’une société de conseil en technologies spécialisée dans la cybersécurité. Rattaché (e) au responsable de la sécurité des systèmes d’information (RSSI), vous êtes chargé(e) de la mise en œuvre de la cybersécurité dans le développement de solutions applicatives des différents clients. Vous serez chargée ou chargé de : - Participer à la vérification des éléments contribuant à la qualité d’un développement informatique - Prendre en compte la sécurité dans un projet de développement d’une solution applicative - Mettre en œuvre et vérifier la conformité d’une solution applicative et de son développement à un référentiel, une norme ou un standard de sécurité - Prévenir les attaques - Analyser les connexions (logs) - Analyser des incidents de sécurité, proposer et mettre en œuvre des contre-mesures 3.5 B. Assurer la cybersécurité d’une solution applicative et de son développement Année 2 Votre mission : Vous participez aux activités de cybersécurité dans le développement de solutions applicatives de vos clients et vous êtes chargé.e de : - Évaluer les menaces d’une application et en estimer les risques associés - Contrer les menaces évaluées d’une application pour en réduire les Contexte professionnel : Vous travaillez pour le compte d’une entreprise de services du numérique (ESN) qui apporte son expertise auprès de ses clients en matière de cybersécurité dans le développement de logiciels dès le stade de la conception de la solution applicative jusqu’à sa livraison. 3.5. Assurer la cybersécurité d’une solution applicative et de son développement – option SLAM 2 vulnérabilités - Respecter les exigences de sécurité légales, réglementaires ou métier, ou de bonnes pratiques internes à l’organisation - Appliquer les mesures d’assurance sécurité dans toutes les phases du projet et du développement - Vérifier les bonnes pratiques de codage - Identifier les bugs de sécurité d’une application et les corriger Séquence 3.5 A2D Sensibiliser les développeurs juniors à la sécurité des applications web Durée totale en heures du scénario pour la séquence 9 h Votre entreprise cliente a recruté de nouveaux développeurs juniors. Elle souhaite les sensibiliser aux mécanismes de différentes failles de sécurité des applications web afin qu’ils intègrent très tôt les bonnes pratiques de sécurité quand ils développent une application. Afin de répondre à ce besoin, vous préparez des tests d’intrusion sur une application web vulnérable que vous présenterez lors d’un webinaire. Vous vous appuyez sur le guide de tests proposés par l’OWASP (Open Web Application Security Project - https://owasp.org/www-project-top-ten/). Les sites https://www.exploit-db.com/ et www.xss-payloads.com peuvent être également source d’inspirations d’exploits sur des codes vulnérables. Les scénarios de tests de sécurité sont conçus en collaboration avec votre collègue chef de projet de l’équipe sécurité. Ces tests permettront aux développeurs de votre client de découvrir les failles de sécurité possibles, les moyens de les éviter et les outils pour les détecter. Note aux auteurs : Cette séquence a pour objectif de consolider et d’approfondir les acquis de la séquence 3.4 B2 étudiée en 1ère année. Elle a été réalisée avec l’application vulnérable DVWA (Damn Vulnerable Web Application - http://www.dvwa.co.uk/). L’application a été clonée depuis son dépôt Github et installée sur une machine virtuelle. (Elle est également disponible sous forme d’image ISO, de machine VirtualBox/Vmware ou image Docker). La séquence peut être également réalisée avec la plateforme OWASP Mutillidae II ou metasploitable 2 en s’appuyant sur les productions OWASP rédigées par Patrice Dignan pour le réseau Certa. Toute autre application web comportant les failles de sécurité abordées peut également être utilisée. Compétences travaillées Savoirs associés Indicateurs de performance Prérequis / Transversalités  Prévenir les attaques Savoirs technologiques  Le respect des bonnes pratiques de développement informatique est vérifié (les structures de Prérequis : Bloc 3 – 1ère année – Séquence 3.4B2 3.5. Assurer la cybersécurité d’une solution applicative et de son développement – option SLAM 3  Analyser des incidents de sécurité, proposer et mettre en œuvre des contre-mesures  Développement informatique : méthodes, normes, standards et bonnes pratiques  Sécurité du développement d’application : gestion de projet, architectures logicielles, rôle des protocoles, authentification, habilitations et privilèges des utilisateurs, confidentialité des échanges, tests de sécurité, audit de code  Sécurité des applications Web : risques, menaces et protocoles données sont normalisées, les accès aux données sont optimisés, le code est modulaire et robuste, les tests sont effectués)  Des tests de sécurité sont prévus et mis en œuvre  La communication écrite et orale est adaptée à l’interlocuteur. Séance 1 Tâches à réaliser Ressources fournies Résultats attendus 1 h Le chef de projet de l’équipe sécurité vous a fourni un dossier documentaire et la machine virtuelle de test (distribution Kali). Il vous demande de préparer et de tester l’environnement de formation. 1. Importer la machine virtuelle de test 2. Cloner l’application DVWA depuis son dépôt Git 3. Installer puis configurer l’application vulnérable fournie par votre RSSI 4. Vérifier les éléments de configuration recommandés  Machine virtuelle de test1 qui hébergera l’application web vulnérable, le service web et le serveur de base de données MySQL/MariaDB.  Dossier documentaire comportant la description des ressources utilisées, les éléments d’installation et de configuration recommandés2, les accès aux différents services et une description de l’application. Remarque : le lien suivant permettrait aux étudiants autonomes d’installer et de configurer l’application DVWA sur une machine kali Linux sans les précisions du dossier documentaire :  La machine virtuelle est importée dans l’environnement de test.  L’accès à la base de données de l’application est opérationnel.  L’application vulnérable est bien configurée et démarre correctement. 1 Appelée dorénavant serveur web. 2 Plusieurs tutoriels et vidéo youtube traitent de l’installation de DVWA, notamment sur Kali 3.5. Assurer la cybersécurité d’une solution applicative et de son développement – option SLAM 4 5. Configurer et tester le lancement de l’application web et l’accès à la base de données utilisée par l’application. https://www.kalilinux.in/2020/01/setup-dvwa- kali-linux.html Séance 2 Tâches à réaliser Ressources fournies Résultats attendus 2 h Le chef de projet de l’équipe sécurité a rédigé des plans de tests de vulnérabilités pour les besoins de la démonstration aux développeurs. Cette séance est consacrée aux injections SQL les moins connues. Différents niveaux de sécurité seront proposés 1. Effectuer les scénarios de tests fournis 2. Compléter le rapport de tests fourni 3. Etudier le comportement de l’application et le code correspondant pour chaque niveau de sécurité 4. Documenter, dans un tableau de synthèse, les failles de sécurité testées, les risques identifiés et les mesures de codage sécurisé à mettre en place pour s’en prémunir.  Fiches de savoirs techniques des failles de sécurité des applications web (injections SQL avancées)  Machine virtuelle hébergeant l’application vulnérable  Plan de tests d’injections SQL (si l’application DVWA est utilisée, les tests devront être effectués pour les différents niveaux de sécurité proposés, sinon s’en inspirer3 pour amener progressivement l’étudiant à atteindre la meilleure pratique pour se protéger contre les injections SQL).  Rapport de tests de sécurité à compléter  Tableau de synthèse des vulnérabilités à compléter (cible de la menace, niveau du risque, technique d’attaque, contre-mesure…)  Les tests de sécurité sont effectués pour analyser les vulnérabilités de l’application conformément au plan de tests.  Le rapport de tests est complété.  Les vulnérabilités trouvées et les mesures de codage pour les contrer sont documentées dans le tableau de synthèse qui sera livré au client. Séance 3 Tâches à réaliser Ressources fournies Résultats attendus 2 h Le chef de projet de l’équipe sécurité souhaite également que vous intégriez dans votre démonstration les attaques  Fiches de savoirs techniques des failles de sécurité des applications web (XXE – XML eXternal Entities, XEE – XML Entity Expansion)  Les tests d’attaques XXE et XEE sont réalisés 3 Il est également possible de consulter les CVE (Common Vulnerabilities and Exposures) pour d’autres idées d’injections SQL 3.5. Assurer la cybersécurité d’une solution applicative et de son développement – option SLAM 5 XXE et XEE assez méconnues par les développeurs. 1. Effectuer une recherche sur Internet pour étudier ce type d’attaques et leur impact sur le serveur web 2. Concevoir un test d’attaque XXE 3. Documenter cette faille de sécurité dans le document de synthèse 4. Concevoir un test d’attaque XEE 5. Documenter cette faille de sécurité dans le document de synthèse  Machine virtuelle uploads/s1/bts-sio-bloc3-slam-scenariopedagogique-0.pdf