La sécurité applicative De quoi s'agit-il ? Quel en est l'enjeu ? Emilien Kia C
La sécurité applicative De quoi s'agit-il ? Quel en est l'enjeu ? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative ●Introduction : qu'est-ce et pourquoi ? ●Les attaques et leurs conséquences ●Le traitement des vulnérabilités : ●Pendant la spécification ●Pendant la conception ●Pendant le développement ●Pendant la vie productive ●Prévention globale (ensemble du process) ●Conclusion La sécurité applicative Introduction : Qu'est-ce que la sécurité applicative ? Pourquoi la mettre en place ? Qu'est-ce que la sécurité applicative ? Définition courante : ●« Partie logicielle intégrée aux S.I. gérant la sécurité de l'information » ●« La sécurité de l'information est un processus visant à protéger des données contre l'accès, l'utilisation, la diffusion, la destruction, ou la modification non autorisée. » (Wikipedia fr) Qu'est-ce que la sécurité applicative ? Définition étendue: ●Partie logicielle intégrée aux S.I. gérant : ●La sécurité de l'information ●L'intégrité du S.I. ●La confidentialité du S.I. Quel en est l'enjeu ? ●S.I. = cœur de l'activité ●S.I. = ensemble des données ●Conséquences en cas de : ●Vol de données (vente à un concurrent) ●Violation des données (suppression/modification) ●Dégradation des services La sécurité applicative Les attaques et leurs conséquences Les attaques et leurs conséquences ●Les failles ●Les attaques ●Leurs conséquences ●Sur le système S.I. ●Sur l'entreprise Les attaques et leurs conséquences Les failles : ●« portes anormalement entrouvertes » ●Origine volontaires ou non. ●Tous les étages applicatifs: ●Système/configuration : LogInj, SeedLess, DefParam ●Conception : ClientValidation, PasswordStorage ●Développement : DoubleFree, OutOfRange ●Outils/Langages : BufferOverflow Les attaques et leurs conséquences Les attaques : ●Les modes opératoires, les actions des pirates ●Dépend du but recherché : ●Usurpation : manipulation de session ●Introspection : injection (SQL, code …) ●Dépend des failles : ●Overflow, string formating, brute force ... Les attaques et leurs conséquences Les conséquences : ●Rupture de la « triade DIC » : ●Disponibilité (Denial Of Service) ●Intégrité (Injection de données) ●Confidentialité (Vol de données) ●Rupture de la traçabilité/imputabilité/preuve ●Violation des journaux La sécurité applicative Le traitement des vulnérabilités Le traitement des vulnérabilités ●Extension des critères qualité ●4 phases de vie d'une application ●Phase de spécification ●Phase de conception ●Phase de développement ●Phase de production Le traitement des vulnérabilités Extension des critères qualité ●Disponibilité ●Intégrité ●Confidentialité ●Traçabilité Le traitement des vulnérabilités Traitement en phase de spécifications ●Isolation des données/process sensibles ●Analyse et chiffrage des risques ●EBIOS / MEHARI / OCTAVE ●Clauses en cas de défaut ●Procédures de sauvegardes/restauration/remise en route Le traitement des vulnérabilités Traitement en phase de conception ●Approche globale (top-down) par l'analyse des risques du S.I. ●Approche locale (bottom-up) par isolation de modules ●Prévision des risques liés aux tiers (sous-traitants, bibliothèques …) ●Prévision des risques liés à l'environnement d'exécution/de déploiement Le traitement des vulnérabilités Traitement en phase de développement ●Mutualisation des fonctionnalités ●Définition des invariants/prévariants ●Interception/remontée des exceptions ●Documentation exhaustive (paramètres, exceptions …) ●Génération de code ●Relecture et mesure de code Le traitement des vulnérabilités Traitement en phase de production ●Vérification de la configuration (droits …) ●Traces d'exploitation (load balancing, logs …) ●Suivi/SAV/MCO (patchs, SP …) ●S.I. mirroirs (tests, récupération ...) La sécurité applicative La prévention globale La prévention globale ●Procédures de notation et de suivit qualité ●Audits réguliers de spécialistes « hors projet » ●Spécifications et exécutions de tests ●Procédures de livraison et mise en production La prévention globale Analogie de l'entreprise : ●Services (production, compta, achats, commerciaux, expéditions…) ●Locaux (pièces, étages, bâtiments, sites, pays...) ●Personnels (dirigeants, gestionnaires, techniques, commerciaux... employés, détachés, intérimaires, stagiaires...) ●Prestataires ●Clients La sécurité applicative Conclusion Eléments de réflexion sur les besoins et solutions de formation Formations en sécurité informatique CLUSIR Rhone-Alpes Antenne de Grenoble IUT Grenoble 2 – Dpt Informatique 8 Juin 2009 (17h30- 19h30) Sébastien BOURDON sebastien.bourdon@iut2.upmf-grenoble.fr Maître de conférence en informatique (IUT 2 Grenoble) Consultant en Sécurité des systèmes d’information (SBN Consultants) Sécurité des systèmes d’information => Plusieurs expertises : ⇒Organisationnelle / fonctionnelle de l’entreprise (système d’information) ⇒Organisationnelle et technique de l’informatique (Applications, Réseaux, Systèmes) ⇒Organisationnelle / fonctionnelle / technique de la sécurité (informatique, infrastructure, accès physique) ⇒Gestion des Ressources humaines (sensibilisation / formation / protection des utilisateurs) ⇒Légales (responsabilités de l’entreprise, des salariés, méthodes d’investigations) Reflexion sur la formation => Besoin d’expertise => Place de la sécurité dans l’entreprise Prestataire de service Utilisatrice => Taille de l’entreprise TPE / PE : 1 responsable interne qui couvre tout Acquisition d’expertise ⇒Existant + Cible ⇒Moyens d’y parvenir ⇒Resources / ROI Besoins très différents de formation ⇒Expérience ⇒Encadrement ⇒Formation ⇒Recrutement ⇒Assistance technique => Mode d’acquisition de l’expertise Connaissance de l’entreprise / la sécurité Sécurité Entreprise Formation en sécurité des SI : plusieurs prérequis à la réflexion ! Prestataire : Diffuse (chez généralistes) / Pointue (experts en veille, sensibilisation, solution...) ME : 1 RSSI (gouvernance + organisation + gestion du risque) + Expertise technique (externalisée / transférée à l’IT) GE : Stratégique (méthodologie, politique, plans de formation, ressources dédiés) + Pilotage / Conduite de projet (niveau managérial interne, méthodologie) + Expertise technique dédiée (conseil) / transférée à l’IT (externalisée) Réponse au besoin d’expertise SSI Mode d’acquisition : 1) Par l’expérience 2) Par acquisition de connaissance - Encadrement - Veille / autoformation - Formation externe 3) Par acquisistion de ressource - Recrutement externe - Assistance technique Ex1 : Développement logiciel sécurisé Génie logiciel Coeur de métier 2nde expertise : Approche sécurisée Développement sécurisé Formation : Quel besoin pour qui ? Analyse de la valeur ! ( ! ) La SSI est le domaine informatique qui sollicite le plus les capacités de veille Besoin d’expertise Architecture + Expertise fonctionnelle (limiter les failles de conception) (1) Très bien développer (limiter les failles techniques) Concepteur développeur (1) (5) Connaissance des risques & vulnérabilités liés au développement applicatif (5) Culture de sécurité + Audit Analyse de risque fonctionnel Analyse de vulnérabilité technique Testeur / Analyste sécurité Mise en place d’un environnement de suivi / maintenance corrective (4) Mise en production / exploitation Mise en production / exploitation Plateforme de distribution de correctifs Exploitant (maintenance) (4) Maîtrise des méthodes et outils de tests (3) Expérience de test Catalogue d’outils & pratiques Experience sur outils de tests Testeur appplicatif (3) Chef de projet Définition / respect de méthodologies de développement logiciel (2) Méthode qualité logicielle Gestion de projet Approche qualité (2) (1) => Formation + Encadrement (autres) => Recrutement + Encadrement Selon la ressource existante La sécurité est une 2ble compétence que l’on peut acquérir par la formation en complément d’une très bonne expertise du coeur de métier (développeur) Ex 2 : Administration & Supervision de la sécurité du SI (2) Expertise des solutions propriétaires (Cisco, Checkpoint, Linux...) Administrateur réseaux WAN, (W)LAN, Filtrage TCP/IP (3) Segmentation, intégration de systèmes (solutions propriétaires) Administrateur applicatif Appli. spé., ERP, middleware... La sécurité est une 2ble compétence nécessite une très bonne compétence dans le coeur de métier (administrateur) ... et de nombreuses formations Les formations permettant de maîtriser les exigences de sécurité portent sur : 1) Les méthodes et process d’administration 2) Une vision globale du SI 3) La connaissance des failles et pratiques 4) L’expertise de solutions propriétaires (1) Durcissement, monitoring, Sauvegarde, haute disponibilité Besoin d’expertise sécurité Administrateur systèmes Windows, Unix, VM Coeur de métier Admin sécurisée des SI Les exigences d’administration portent sur le respect de : 1) l’intégrité des données 2) La disponibilité des services 3) La traçabilité des utilisateurs 4) La confidentialité des informations Admin. Applications / Systèmes / Réseaux (3) Gestion du parc et des configurations Stratégies de sécurité locale / groupe Plateforme de gestion des mises à jours Controle des standards applicatifs et systèmes Standards Approche sécurisée Contrôle d’accès utilisateur (5) Admin. de domaine de ressources / annuaires Charte utilisateurs, monitoring / reverse proxying Solution globale d’identity access management (SSO...) Acces Contrôle d’Intégrité / Sécurisation des flux (4) Outils AV, ASpam (locaux / réseaux) Admin Firewall, VPN, SSL, PKI, ... Admin Proxy, IDS, Honeypot, NAC... Flux Supervision des événements (6) Interconnexion / Remontées d’alertes des systèmes Monitoring / Consolidation / Alerte de sécurité Gestion / Suivi d’événements / Forensic SI de la Sécurité (7) Organisation de suivi des incidents + support IT Plan de sauvegarde / restauration Plan de continuité d’activité / gestion de crises Gestion des incidents / désastre Gestion d’événénements Définir le niveau d’expertise requis Fondamentaux ⇒Fondamentaux d’administration (réseaux & systèmes) ⇒Fondamentaux de développement informatique (hacking, outils et SI) ⇒Compréhension des Organisations, méthodes et process types ⇒Enjeux et principes de la sécurité (vulnérabilités, menaces, risque...) ⇒Formation aux méthodes de veille (autoformation / bulletin d’alerte) Limiter le coût de la mise à niveau Rationaliser l’informatique 1) Standards propriétaires - Complexité / compatibilité - Coût conseil / Formation des admin. 2) Obsolescence - Fin de support / formation / réappro - Gestion des RH 3) Approche globale - Interconnexion des systèmes - Mise en oeuvre de la politique globale Rationaliser les formations ⇒ Standards (virtualisation, centralisation) ⇒ Ressources généralistes / stratégiques (internes) ⇒ Ressources atypiques (externes) Formation : Facteurs clés de succès Coeur de métier = Informatique ⇒Développement informatique ⇒Testeur ⇒Administration réseaux & systèmes ⇒Administrateur applicatif (ERP, SGBD, ...) ⇒Administrateur du SI (domaine, utilisateurs, services...) ⇒Concepteur / Intégrateur de systèmes (SI de la sécurité) uploads/Sante/ securite-applicative.pdf
Documents similaires
-
22
-
0
-
0
Licence et utilisation
Gratuit pour un usage personnel Attribution requise- Détails
- Publié le Nov 23, 2022
- Catégorie Health / Santé
- Langue French
- Taille du fichier 0.2519MB