La scurit applicative

De quoi s'agit-il ?
Quel en est l'enjeu ?

Emilien Kia
CLUSIR - antenne de Grenoble / UPMF-IUT2
8 juin 2009

La scurit applicative

Introduction : qu'est-ce et pourquoi ?

Les attaques et leurs consquences
Le traitement des vulnrabilits :
Pendant la spcification
Pendant la conception
Pendant le dveloppement
Pendant la vie productive
Prvention globale (ensemble du process)
Conclusion

La scurit applicative

Introduction :
Qu'est-ce que la scurit applicative ?
Pourquoi la mettre en place ?

Qu'est-ce que la scurit applicative ?

Dfinition courante :

Partie logicielle intgre aux S.I. grant la

scurit de l'information
La scurit de l'information est un
processus visant protger des donnes
contre l'accs, l'utilisation, la diffusion, la
destruction, ou la modification non
autorise. (Wikipedia fr)

Qu'est-ce que la scurit applicative ?

Dfinition tendue:

Partie logicielle intgre aux S.I. grant :

La scurit de l'information

L'intgrit du S.I.

La confidentialit du S.I.

Quel en est l'enjeu ?

S.I. = cur de l'activit

S.I. = ensemble des donnes

Consquences en cas de :

Vol de donnes (vente un concurrent)

Violation des donnes (suppression/modification)

Dgradation des services

La scurit applicative

Les attaques et leurs consquences

Les attaques et leurs consquences

Les failles

Les attaques

Leurs consquences

Sur le systme S.I.

Sur l'entreprise

Les attaques et leurs consquences

Les failles :

portes anormalement entrouvertes

Origine volontaires ou non.

Tous les tages applicatifs:

Systme/configuration : LogInj, SeedLess, DefParam

Conception : ClientValidation, PasswordStorage

Dveloppement : DoubleFree, OutOfRange

Outils/Langages : BufferOverflow

Les attaques et leurs consquences

Les attaques :

Les modes opratoires, les actions des pirates

Dpend du but recherch :

Usurpation : manipulation de session

Introspection : injection (SQL, code )

Dpend des failles :

Overflow, string formating, brute force ...

Les attaques et leurs consquences

Les consquences :

Rupture de la triade DIC :

Disponibilit (Denial Of Service)

Intgrit (Injection de donnes)

Confidentialit (Vol de donnes)

Rupture de la traabilit/imputabilit/preuve

Violation des journaux

La scurit applicative

Le traitement des vulnrabilits

Le traitement des vulnrabilits

Extension des critres qualit

4 phases de vie d'une application

Phase de spcification

Phase de conception

Phase de dveloppement

Phase de production

Le traitement des vulnrabilits

Extension des critres qualit

Disponibilit

Intgrit

Confidentialit

Traabilit

Le traitement des vulnrabilits

Traitement en phase de spcifications

Isolation des donnes/process sensibles

Analyse et chiffrage des risques

EBIOS / MEHARI / OCTAVE

Clauses en cas de dfaut

Procdures de
sauvegardes/restauration/remise en route

Le traitement des vulnrabilits

Traitement en phase de conception

Approche globale (top-down) par l'analyse des risques

du S.I.
Approche locale (bottom-up) par isolation de modules
Prvision des risques lis aux tiers (sous-traitants,
bibliothques )

Prvision des risques lis l'environnement

d'excution/de dploiement

Le traitement des vulnrabilits

Traitement en phase de dveloppement

Mutualisation des fonctionnalits
Dfinition des invariants/prvariants
Interception/remonte des exceptions
Documentation exhaustive (paramtres,
exceptions )
Gnration de code
Relecture et mesure de code

Le traitement des vulnrabilits

Traitement en phase de production

Vrification de la configuration (droits )

Traces d'exploitation (load balancing, logs )

Suivi/SAV/MCO (patchs, SP )

S.I. mirroirs (tests, rcupration ...)

La scurit applicative

La prvention globale

La prvention globale

Procdures de notation et de suivit qualit

Audits rguliers de spcialistes hors projet

Spcifications et excutions de tests

Procdures de livraison et mise en production

La prvention globale

Analogie de l'entreprise :
Services (production, compta, achats,
commerciaux, expditions)
Locaux (pices, tages, btiments, sites, pays...)
Personnels (dirigeants, gestionnaires, techniques,
commerciaux... employs, dtachs, intrimaires,
stagiaires...)
Prestataires
Clients

La scurit applicative

Conclusion

CLUSIR Rhone-Alpes
Antenne de Grenoble

IUT Grenoble 2 Dpt Informatique

8 Juin 2009 (17h30- 19h30)

Formations en scurit informatique

Elments de rflexion sur les besoins et solutions de formation

Sbastien BOURDON
[Link]@[Link]
Matre de confrence en informatique (IUT 2 Grenoble)
Consultant en Scurit des systmes dinformation (SBN Consultants)

Formation en scurit des SI : plusieurs prrequis la rflexion !

Scurit des systmes dinformation => Plusieurs expertises :
Organisationnelle / fonctionnelle de lentreprise (systme dinformation)
Organisationnelle et technique de linformatique (Applications, Rseaux, Systmes)
Organisationnelle / fonctionnelle / technique de la scurit (informatique, infrastructure, accs physique)
Gestion des Ressources humaines (sensibilisation / formation / protection des utilisateurs)
Lgales (responsabilits de lentreprise, des salaris, mthodes dinvestigations)

Reflexion sur la formation

Connaissance de
lentreprise / la scurit

=> Besoin dexpertise

=> Mode dacquisition de lexpertise

=> Place de la scurit dans lentreprise

=> Taille de lentreprise

Exprience
Encadrement
Formation
Recrutement
Assistance technique

Acquisition dexpertise
Existant + Cible
Moyens dy parvenir
Resources / ROI

Entreprise

Utilisatrice

Scurit

Besoins
trs diffrents
de formation

Prestataire de service

TPE / PE

: 1 responsable interne qui couvre tout

ME

: 1 RSSI (gouvernance + organisation + gestion du risque)

+ Expertise technique (externalise / transfre lIT)

GE

: Stratgique (mthodologie, politique, plans de formation, ressources ddis)

+ Pilotage / Conduite de projet (niveau managrial interne, mthodologie)
+ Expertise technique ddie (conseil) / transfre lIT (externalise)

Prestataire

: Diffuse (chez gnralistes) / Pointue (experts en veille, sensibilisation, solution...)

Formation : Quel besoin pour qui ? Analyse de la valeur !

Rponse au besoin dexpertise SSI

Ex1 : Dveloppement logiciel scuris

Coeur de mtier

Besoin dexpertise

Gnie logiciel

(1) Trs bien dvelopper

(limiter les failles techniques)

Dfinition / respect de mthodologies

de dveloppement logiciel

(2) Mthode qualit logicielle

Gestion de projet
Approche qualit

Mode dacquisition :
1) Par lexprience
2) Par acquisition de connaissance
- Encadrement
- Veille / autoformation
- Formation externe
3) Par acquisistion de ressource
- Recrutement externe
- Assistance technique

Matrise des mthodes et outils de tests

(3) Exprience de test

Catalogue doutils & pratiques
Experience sur outils de tests

( ! ) La SSI est le domaine informatique qui

sollicite le plus les capacits de veille

(4) Mise en production / exploitation

Mise en production / exploitation
Plateforme de distribution de correctifs

Selon la ressource existante

2nde

expertise : Approche scurise

Mise en place dun environnement de

suivi / maintenance corrective

Connaissance des risques & vulnrabilits

lis au dveloppement applicatif

(1)

(5) Culture de scurit + Audit

Analyse de risque fonctionnel
Analyse de vulnrabilit technique

Testeur / Analyste scurit

Concepteur dveloppeur
(2)
(3)

(4)

Architecture + Expertise fonctionnelle

(limiter les failles de conception)

Chef de projet
Testeur appplicatif

Exploitant (maintenance)

Dveloppement
scuris

(1) => Formation + Encadrement

(autres) => Recrutement + Encadrement

(5)

La scurit est une 2ble comptence

que lon peut acqurir par la formation
en complment dune trs bonne expertise
du coeur de mtier (dveloppeur)

Ex 2 : Administration & Supervision de la scurit du SI

Coeur de mtier

Besoin dexpertise scurit

Administrateur systmes
Windows, Unix, VM

(1) Durcissement, monitoring,

Sauvegarde, haute disponibilit

Administrateur rseaux
WAN, (W)LAN, Filtrage TCP/IP

(2) Expertise des solutions propritaires

(Cisco, Checkpoint, Linux...)

Administrateur applicatif
Appli. sp., ERP, middleware...

(3) Segmentation, intgration de systmes

(solutions propritaires)

La scurit est une 2ble comptence

ncessite une trs bonne comptence
dans le coeur de mtier (administrateur)
... et de nombreuses formations
Les exigences dadministration portent
sur le respect de :
1) lintgrit des donnes
2) La disponibilit des services
3) La traabilit des utilisateurs
4) La confidentialit des informations

Approche scurise
Controle des standards
applicatifs et systmes

(3) Gestion du parc et des configurations

Stratgies de scurit locale / groupe
Plateforme de gestion des mises jours

Contrle dIntgrit
/ Scurisation des flux

(4) Outils AV, ASpam (locaux / rseaux)

Admin Firewall, VPN, SSL, PKI, ...
Admin Proxy, IDS, Honeypot, NAC...

Contrle daccs utilisateur

(5) Admin. de domaine de ressources / annuaires

Charte utilisateurs, monitoring / reverse proxying
Solution globale didentity access management (SSO...)

Supervision des vnements

Gestion des incidents / dsastre

(6) Interconnexion / Remontes dalertes des systmes

Monitoring / Consolidation / Alerte de scurit
Gestion / Suivi dvnements / Forensic
(7) Organisation de suivi des incidents + support IT
Plan de sauvegarde / restauration
Plan de continuit dactivit / gestion de crises

Les formations permettant de matriser

les exigences de scurit portent sur :
1) Les mthodes et process dadministration
2) Une vision globale du SI
3) La connaissance des failles et pratiques
4) Lexpertise de solutions propritaires

Gestion
dvnnements
SI de la Scurit
Standards

Flux

Acces

Admin scurise des SI

Admin. Applications / Systmes / Rseaux

Formation : Facteurs cls de succs

Scurit = double comptence

Coeur de mtier = Informatique

Facteur dexcellence = Scurit

Dveloppement informatique
Testeur
Administration rseaux & systmes
Administrateur applicatif (ERP, SGBD, ...)
Administrateur du SI (domaine, utilisateurs, services...)
Concepteur / Intgrateur de systmes (SI de la scurit)
Gestionnaire de Parc / Support utilisateur
Chef de projet (dploiement de logiciels / infrastructures)
Auditeur informatique (analyse de risque, schma directeur...)
Qualiticien (Iso, mthodes, domaines et best practices...)

Comprhension des failles de codage / vulnrabilits

Tests de vulnrabilit
Protocoles et fonctionnalits de scurit
Segmentation, stratgies de scurit,
Gestion centralise / primtre de scurit / annuaire /...
Dfinition / Acquisition / Interprtation centralis des alertes
Inventaire / classification des resources / Gestion dincident
Chef de projet (dploiement ddis la SSI)
Auditeur scurit (tests de pntration, vulnrabilit...)
Politiques de scurit (Iso 27k, PDCA, analyse de risque, Itil...)

Dfinir le niveau dexpertise requis

Fondamentaux
Fondamentaux dadministration (rseaux & systmes)
Fondamentaux de dveloppement informatique (hacking, outils et SI)
Comprhension des Organisations, mthodes et process types
Enjeux et principes de la scurit (vulnrabilits, menaces, risque...)
Formation aux mthodes de veille (autoformation / bulletin dalerte)
Expertise pointue
Ingnierie dorganisation de la scurit (audit / schma directeur)
Formation propritaires (expertise dadministration)
Certification (organisation & politiques, audit technique...)

Limiter le cot de la mise niveau

Rationaliser linformatique
1) Standards propritaires
- Complexit / compatibilit
- Cot conseil / Formation des admin.
2) Obsolescence
- Fin de support / formation / rappro
- Gestion des RH
3) Approche globale
- Interconnexion des systmes
- Mise en oeuvre de la politique globale
Rationaliser les formations

Standards (virtualisation, centralisation)

Ressources gnralistes / stratgiques (internes)
Ressources atypiques (externes)

(*) Licence pro Administration & Scurit des Systmes dinformation)

Exemple (*) de progression pdagogique de formation

Dveloppement logiciel
Gnie logiciel
Mthodologie de
dveloppement logiciel

Administration du Systme dinformation

Administration systme

Administration rseau

(Windows, Unix) + Durcissement

Virtualisation / Haute disponibilit

WAN, (W)LAN, Filtrage TCP/IP

Mthodes et outils de tests

Mise en pratique

Administration applicative

(Dveloppement / framework)

nTiers, SGBD, C/S intranet

Administration dun domaine

Administration de la scurit

Stratgies de scurit / groupe

Plateforme de mises jours

Dploiement doutils (AV, ASpam)

Firewall, Proxy, IDS, VPN, SSL, PKI

Complments (RSSI, prestataire) :

Ingnierie informatique scurise
Dveloppement logiciel scuris
Thorie et technique de Cryptage
Ralisation du SI de la scurit
Audit stratgique / organisationnel

Organisation & Plan Qualit

Conception de politique SSI
Certification ISO (PDCA, risk, domaines...)

Solutions propritaires
Administration (rseau / systmes / applications)
Solutions intgres de scurit (IAM / SSO)

Environnement de la scurit
Sensibilisation par scnarisation
Vulnrabilit / Menaces & Risques
Illustration technique des concepts
Environnement lgal, Cybercriminalit
et Intelligence conomique
Mthode de veille applique la SSI et
communication aux rseaux dexperts
Mise en place dune charte utilisateurs
Introduction aux mthodologies / normes

Systme dinformation de la scurit

Interconnexion / Remontes des alertes
Monitoring / Consolidation / Alerte dintervention
Gestion / Suivi dvnements / Forensic

Organisation de suivi des incidents

Plan de sauvegarde / restauration
Plan de continuit dactivit / gestion de crise

Audit de scurit
Outils/mthodes de tests de pntration
Prvention et raction en cas dattaque