Scribd Logo
Upload

Welcome to Scribd!

  • JSSI-2011 ESTRADE Menaces-Web PDF

    Uploaded by

    aminerached
    29 views23 pages

    Original Title

    JSSI-2011_ESTRADE_Menaces-web.pdf

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    29 views23 pages

    JSSI-2011 ESTRADE Menaces-Web PDF

    Uploaded by

    aminerached

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 23

    JSSI

    Montpellier - 2011

    RISQUES ET MENACES DES


    APPLICATIONS WEB
    www.bee-ware.net

    Le web
    Utilisation
    Quotidienne
    Banalise

    Un navigateur web est disponible


    Sur tous postes de travail

    Personnel
    Libre service

    www.bee-ware.net

    Les smartphones
    Sont de plus en plus utiliss pour naviguer sur

    les applications web


    Ils sont synchroniss directement sur le PC
    dentreprise
    Ils peuvent se connecter autant dun rseau
    internet la maison que dun point daccs
    wi en entreprise (Rebond)

    www.bee-ware.net

    Utilisation personnelle
    Achats sur les sites de e-commerce
    Consultation de comptes bancaires
    Sites de rencontres
    Sites dinformations en temps rel
    Recherche dinformation spcialise
    Etc.

    www.bee-ware.net

    Utilisation professionnelle
    Consultation dun site partenaire

    Catalogue
    Informations
    Extranet
    Etc.

    Applications mtier

    www.bee-ware.net

    Intranet
    HR / Administration
    Gestion de stock
    Etc.

    Le web

    Est devenu un reexe


    Concerne toutes les entreprises et tous les

    salaris

    www.bee-ware.net

    Quelles intractions ?
    Les attaques sur les applications web
    La publication dune application peut ouvrir une

    brche dans le systme dinformation

    Les attaques sur le navigateur web


    La navigation dun salari sur un site contenant un

    code malicieux ouvre une brche dans le systme


    dinformation

    www.bee-ware.net

    Le firewall rseau inutile

    www.bee-ware.net

    Quels sont les risques ?


    Fuite dinformations sensibles
    Atteinte limage de lentreprise
    Impossibilit de travailler (deni de service)
    Mise en cause de la responsabilit de
    lentreprise pour le mauvais comportement
    dun salari ?

    La liste est longue


    www.bee-ware.net

    Exposition

    www.bee-ware.net

    Quelques exemples ?
    Sony estime que la facture nale suite

    lintrusion sur le rseau Playstation lui coutera


    171 millions de $
    Lattaque SQL Injection contre TJX aux tats unis
    permis de dtourner 172 millions de $
    Un internaute dcouvre la base de donnes
    utilisateurs et numros de carte de crdit de chez
    tati en naviguant simplement sur le site.
    Le cot moyen dune intrusion est de 1,5 millions

    de $ pour une entreprise denviron 2000


    personnes.

    www.bee-ware.net

    Les solutions ?
    Traiter la scurit pendant le cycle de vie de

    lapplication

    Conception / mises jour


    Tests
    Dploiement
    Exploitation

    Scuriser la navigation des salaris

    www.bee-ware.net

    Ou ?
    OWASP
    www.owasp.org
    Open Web Application Security Project

    WASC
    www.webappsec.org
    Web Application Security Consortium

    www.bee-ware.net

    Conception: Eduquer
    Eduquez les dveloppeurs si lapplication est

    dveloppe en interne
    Ex: TOP10 OWASP:

    https://www.owasp.org/index.php/
    Category:OWASP_Top_Ten_Project
    WASC Threat Classication: http://
    projects.webappsec.org/w/page/13246978/Threat-
    Classication

    www.bee-ware.net

    Conception: Guidelines
    Dvelopper avec des librairies de scurit et

    guides de bonnes pratiques

    https://www.owasp.org/index.php/

    Category:OWASP_Enterprise_Security_API

    www.bee-ware.net

    Conception: SSII
    Rdigez un contrat de prestation de service

    contenant des objectifs scurit quand


    lapplication est dveloppe par une SSII
    Ex: https://www.owasp.org/index.php/

    Category:OWASP_Legal_Project

    www.bee-ware.net

    Les tests
    Audit de code rgulier sur les applications

    web laide de logiciels danalyse statique


    Audit de vulnrabilits laide dun scanner
    Les critres de choix: http://

    projects.webappsec.org/w/page/13246986/Web-
    Application-Security-Scanner-Evaluation-Criteria

    Tests dintrusions
    Tests logiciels
    https://www.owasp.org/index.php/

    Category:OWASP_Testing_Project

    www.bee-ware.net

    Dploiement
    Utiliser un rewall applicatif web
    Blocage des attaques connues et inconnues
    Comment choisir son WAF: http://

    projects.webappsec.org/w/page/13246985/Web-
    Application-Firewall-Evaluation-Criteria

    www.bee-ware.net

    Exploitation
    Raction en cas de vulnrabilit dtecte

    grce au rewall applicatif


    Centralisation des logs (Serveurs web, rewall
    applicatif, rewall rseau, base de donne)
    Archivage et rtention (dure lgale selon le
    domaine dactivit)

    www.bee-ware.net

    WAF et virtual Patching

    www.bee-ware.net

    Scuriser la navigation
    Installation dun proxy ltrant pour les ux Web

    sortants

    Interdiction de naviguer sur des sites qui ne

    concernent pas lactivit de lentreprise


    Interdiction de naviguer sur des sites pouvant fournir
    du contenu illgal

    Interdire les ux autre que Web de sortir du

    rseau

    Blocage des chevaux de troie et autres virus qui

    pourraient faire fuir de linformation.

    www.bee-ware.net

    Scuriser les identits


    Contrler lutilisation des identits en dehors

    de lentreprise
    Facebook
    LinkedIn
    Twitter
    Etc.

    www.bee-ware.net

    Questions ?

    mestrade@bee-ware.net
    www.bee-ware.net

    You might also like