Download - Sécurité des Développements Webs et Mobiles
![Page 1: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/1.jpg)
Risques et menaces ITLa sécurité, pourquoi et à quel prix
Membre OWASP
![Page 2: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/2.jpg)
Conseil
• GOUVERNANCE
• Analyse de risque
• Pssi
• Pca / Pra
• SMSI
• IAM
• Lutte contre la fraude
• R & D
• Guides de développement
• Développement
• GESTION DE CRISE
• Fuite d’information
• Crise Réputationnelle
• Fraude
Audit
• SSI
• Applications Client
• Infra & Réseaux
• Vulnérabilités
• Code Source
• FRAUDE
• Fraude en ligne
• Fraude interne
• CONFORMITE
• Iso 27x
• Pci Dss
• Cnil
Veille
• ETUDE
• Etat de l’art
• Benchmark
• HACKING IT
• BAD E-REPUTATION
Formation
• SENSIBILISATION
• Collaborateur
• Direction
• GOUVERNANCE
• Rssi
• Cnil / Cil
• Bad buzz
• Ingénierie Sociale
• TECHNIQUE
• Développements Sécurisés (OWASP)
• Tests d’intrusion
• Forensic
Pôle de compétences PHONESEC – Tout secteur d’activité
Domaines d’activité
Membre OWASP
![Page 3: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/3.jpg)
Quand tout s’emballe !!
Membre OWASP
![Page 4: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/4.jpg)
Le prix de la sécurité
Membre OWASP
Impacts liés à la sécurité
Impact fonctionnel
Limitation de l’expérience utilisateur
Impact financier sur le model éco
![Page 5: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/5.jpg)
Facteurs d’exposition
Membre OWASP
SécuritéNature des données
Volume des données
Actualité (contexte)
Dissuasion faible
Notoriété
Malchance, fatalité, destin…
![Page 6: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/6.jpg)
Le prix de l’insécurité
2,86 Millions d’euros
Cost Of Data Breach – Symantec / Ponemon Institute
Estimation des coûts pour une entreprise à chaque incident de vol
de données en France
Membre OWASP
![Page 7: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/7.jpg)
Aimez vous les paris ?
Economies de sécurité
Aucune attaque
J’ai de la chance
Economies de sécurité
Attaque majeure
$$$$$$$
€€€€€€€
Membre OWASP
![Page 8: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/8.jpg)
Le prix du risque
Membre OWASP
Conception Développement production
Sécurité à la conception
Recette sécurité
Gestion de crise
IMA
PC
T EN
CA
S D
’ATT
AQ
UE
PHASE DE PRISE EN COMPTE EFECTIVE DE LA SECURITE
![Page 9: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/9.jpg)
Comment améliorer la sécurité des développements de services mobiles
Membre OWASP
![Page 10: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/10.jpg)
Focus 2013
Membre OWASP
![Page 11: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/11.jpg)
Weak Server Side Controls
Membre OWASP
• Différence de sémantique: parle plus de vulnérabilité que de risque
• Précisions• M5 et M9 sont traités ensemble• M7 et M8 de même
![Page 12: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/12.jpg)
Weak Server Side Controls
Membre OWASP
• Sécurité du backend: le web service• Présentation des services mobiles
• Suis-je vulnérable ?• Test d’intrusion, audit de code,
surface d’attaque …• Comment m’en prémunir ?• Secure Coding ! (Cf. présentation
Tarik)
![Page 13: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/13.jpg)
Insecure Storage
Membre OWASP
• Stockage sur les terminaux non sécurisé• Rappel sur les applications mobiles
• Suis-je vulnérable ?• SharedPreference, SQLite, …
• Comment m’en prémunir ?• Dépend de la plateforme des
solutions existent
![Page 14: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/14.jpg)
Insufficient Transport Layer Protection
Membre OWASP
• Communication en clair• HTTPS/SSL: les apports
• Suis-je vulnérable ?• Mon application communique-t-elle des
données sensibles ?• Comment m’en prémunir ?• Analyse de risque sur les données;• Valider que le réseau est sûr, les contrôles
bien effectués, ….
![Page 15: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/15.jpg)
Unintended Data Leakage
Membre OWASP
• Rétention de données • Les caches et autres mécanisme cachés;
• Suis-je vulnérable ?• Web, Copier/Coller, …
• Comment m’en prémunir ?• Vider les caches, …
![Page 16: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/16.jpg)
Poor Authorization and Authentication – Improper Session Handling
Membre OWASP
• Authentification et Autorisation • La problématique de l’authentification et de
l’autorisation;• Suis-je vulnérable ?
• Dois je authentifier /autoriser des utilisateurs ou des terminaux sur mon application ?
• Comment m’en prémunir ?• Contrôler coté serveur;• Choisir les bons mécanismes.
![Page 17: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/17.jpg)
Broken Cryptography
Membre OWASP
• Défaut de chiffrement• Qu’est ce que le chiffrement ?
• Suis-je vulnérable ?• L’application chiffre ou hache des
données;• Comment m’en prémunir ?• S’appuyer sur des méthodes de
chiffrement connues et reconnues.
![Page 18: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/18.jpg)
Client Side Injection – Security Decisions Via Untrusted Inputs
Membre OWASP
• Injection dans l’application• Les différents canaux d’accès à une application:
web, URLs, Intent, … • Suis-je vulnérable ?
• Webview;• URL Scheme;• Intent.
• Comment m’en prémunir ?• Dépend de la plateforme;• Contrôler les données en entrée sur l’application.
![Page 19: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/19.jpg)
Lack of Binary Protections
Membre OWASP
• Manque de protection de l’application• Chiffrement, obfuscation, …
• Suis-je vulnérable ?• Par défaut, aucune protection n’est
offerte;• Comment m’en prémunir ?• Chiffrer;• Obfusquer;• Protéger.
![Page 20: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/20.jpg)
Q & R
Membre OWASP
OWASP FRANCE : https://www.owasp.org/index.php/France
WWW.PHONESEC.COM
![Page 21: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/21.jpg)
Comment améliorer la sécurité des développements Web
Membre OWASP
![Page 22: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/22.jpg)
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
![Page 23: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/23.jpg)
Introduction
Membre OWASP
Desktop Transport Network Web Applications
Antivirus
Protection
Encryption
(SSL)
Firewalls /
IDS / IPS
Firewall
Web Servers
Databases
Backend
Server
Application
Servers
Panorama de la SSI
![Page 24: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/24.jpg)
Facteurs d’exposition
Membre OWASP
Fonctionnalité volontaire
Fonctionnalité involontaire
Fonctionnalité actuelle
![Page 25: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/25.jpg)
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
![Page 26: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/26.jpg)
OWASP Top 10
Membre OWASP
![Page 27: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/27.jpg)
Sécurité Développement Web
Membre OWASP
![Page 28: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/28.jpg)
Injection
Membre OWASP
![Page 29: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/29.jpg)
Violation de Gestion d’Authentification et de Session
Membre OWASP
![Page 30: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/30.jpg)
Cross-Site Scripting (XSS)
Membre OWASP
![Page 31: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/31.jpg)
Références directes non sécurisées à un objet
Membre OWASP
![Page 32: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/32.jpg)
Mauvaise Configuration Sécurité
Membre OWASP
![Page 33: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/33.jpg)
Exposition de données sensibles
Membre OWASP
![Page 34: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/34.jpg)
Manque de contrôle d’accès au niveau fonctionnel
Membre OWASP
![Page 35: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/35.jpg)
Falsification de requête intersite (CSRF)
Membre OWASP
![Page 36: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/36.jpg)
Utilisation de composants avec des vulnérabilités connues
Membre OWASP
![Page 37: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/37.jpg)
Redirections et Renvois non Validés
Membre OWASP
![Page 38: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/38.jpg)
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
![Page 39: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/39.jpg)
Paradigme
Membre OWASP
Sensibilisations / Formations
Guidelines
Revue de code
Tests d’intrusions
Sécurité dans les contrats
Sécurité dans les projets
![Page 40: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/40.jpg)
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
![Page 41: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/41.jpg)
Vision de l’OWASP - Avant, Pendant et Après
Membre OWASP
![Page 42: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/42.jpg)
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
![Page 43: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/43.jpg)
Obstacles diagnostiqués
Membre OWASP
• Déni de la réalité
• La sécurité n’est pas considérée comme une fonctionnalité
• Approche réactive
• Communication inexistante
• Résistance au changement
• Plusieurs types de logiciels
• Développements de plus en plus externalisés
• ERP …
![Page 44: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/44.jpg)
Plan
Membre OWASP
Introduction
OWASP Top 10 – 2013
Pratiques pour lutter contre l’insécurité
Vision de l’OWASP
Obstacles diagnostiqués
Conclusion
![Page 45: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/45.jpg)
Conclusion – Pour les développeurs
Membre OWASP
![Page 46: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/46.jpg)
Conclusion – Pour les entreprises
Membre OWASP
![Page 47: Sécurité des Développements Webs et Mobiles](https://reader034.vdocuments.mx/reader034/viewer/2022042607/559b62231a28ab025f8b47e7/html5/thumbnails/47.jpg)
Q & R
Membre OWASP
OWASP FRANCE : https://www.owasp.org/index.php/France
WWW.PHONESEC.COM