sécurité dans les contrats d'externalisation de services de développement et hébergements...

1

Symposium dédié à la Cybersécurité en SuisseRôle de l’Etat et les attentes des PME

le 27 mai 2011 à GenèveCrowne Plaza Geneva

Workshop 3Externalisation des développements,

cloud computing et SaaS. Quelles mesures pour réduire les risques à la signature du contrat?

Antonio Fontes

2

Bio

Antonio Fontes– 6 ans d’expérience dans la sécurité logicielle et protection des données– Fondateur et Directeur de la société L7 Securité Sàrl– Intervenant régulier HES-SO/HEIGVD – Sécurité web

Focus:– Menaces, risques, et contremesures dans les architectures et services

web– Sécurité dans le cycle de développement logiciel– Etablissement du modèle de menace (threat modeling) – Evaluation/vérification de la sécurité/conformité– Analyse de performance

OWASP:– OWASP Suisse: membre du Comité, coordinateur Romandie– OWASP Genève: chapter leader

3

Agenda

• Revue d'actualité: le contexte, la menace• Théorie:– Cycle de développement d'une application web– Architectures web

• Opportunités pour l'organisation:– Externalisation d'un développement web– Déploiement de l'application sur un service Cloud– Location d'une application web (SaaS)

• Outils à disposition des organisations• Clôture

contexte et menace...

5

Etude de cas: SONY

6

Etude de cas: SONY

77 millions d’utilisateurs

7

Etude de cas: SONY

8

Etude de cas: SONY

9

Etude de cas: SONY

Détails de l'intrusion informatique auprès de Sony Entertainment Online (SOE) (1er mai 2011)

Photo: Dave Oshry

10

Etude de cas: Lastpass

Quelqu'un comprend-il cela au sein de votre

organisation?

11

Etude de cas: SONY (2)

101 millions

12

Etude de cas: Montreux Jazz

13

Etude de cas: SONY (3)23 mai 2011

14

Etude de cas: SONY (3)

Source: neowin.net

15

Etude de cas: SONY

• Dédommagement aux 101 mio. d'utilisateurs:– 1 an d'assurance "dommages vol d'identité" USD

1mio.$– 1 an d'assurance "surveillance cartes"– 30 jours de service offerts– 2 jeux vidéo offerts

• 23 jours d'interruption de service– Taux de disponibilité: 93%

16

Etude de cas: SONY

• Deux actions collectives (class action):– 2 mai 2011 (E.U.)• Négligence: pas de chiffrement de données, pas de

pare-feux applicatifs, pas de notification aux clients• Non respect des garanties de service: interruption de

plus d'une semaine

– 27 avril 2011 (Canada) • Dommage à la sphère privée • Des dommages pour le montant d'1 milliard de $ sont

réclamés

17

Etude de cas: SONY

• Coût de l'intrusion:– Immédiat: USD 172mio.– Estimé, attendu: USD >1mia. (incl. actions civiles)

• Profits attendus pour l'année fiscale 2011-2012 (avril): – USD 972mio.

18

SQL Injection?

• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

19

Etude de cas: Wordpress

20

Etude de cas: Infomaniak

21

Etude de cas: Infomaniak

22

Etude de cas: Infomaniak

23

Le contexte de l'organisation

• Problématique externe:– Adoption croissante du « tout web »– Intérêt « hostile » croissant dans les services en

ligne– Population « malveillante » croissante– Le piratage/La sécurité des applications web est

« simple » à comprendre/enseigner– Risque faible d’être rattrapé par les autorités / peu

de barrières à l'entrée

24

Le contexte de l'organisation

• Enjeux lors du développement:– Plusieurs dizaines de technologies web à gérer– Équipes internes hétérogènes, pratiques diverses– Culture de l’urgence– Rotation du personnel, fuite du savoir-faire– Manque de sensibilisation aux risques des

applications web– Méconnaissance du consensus des bonnes

pratiques

25

Le contexte de l'organisation

• Enjeux lors de l'externalisation:– Environnement technologique complexe, pour la

majorité des acteurs impliqués– Manque de connaissances quant aux risques des

applications web et leurs contrôles associés– Manque de labels sur lesquels s'appuyer– Opacité générale des fournisseurs:• Terme "sécurité" galvaudé, souvent confondu avec

"contrôle d'accès"• Le mythe "SSL"

26

Le contexte de l'organisation

• Impacts les plus fréquents d'incidents "web":– Perte/Vol/Extorsion de données confidentielles ou

stratégiques– Réduction/paralysie de l'activité de l'organisation– Compromission des systèmes "internes"– Frais de rétablissement largement sous-estimés

27

un peu de théorie(mais pas trop, rassurez-vous!)

28

Architecture web: base

29

Architecture web: base

30

Architecture web: hébergeur

31

Architecture web: hébergeur

32

Architecture web: cloud

33

Architecture web: cloud

34

Architecture web: cloud

35

Architecture web: SaaS

36

Architecture web: SaaS

37

Développement externalisé

38

le cycle de développement web

Analyse Conception Codage Vérification Déploiement Opérations

39

Cycle de développement web

nyuhuhuu@flickr.com

Analyse Conception Codage Vérification Déploiement Opérations

40

Cycle de développement web

40

ENTR

EEAC

TIVI

TES

LIVR

ABLE

S

- Etudes- Besoin

- Conception, architecture

- Spécifications techniques / fonctionnelles- Plans qualité (+ tests)

- Spécifications techniques + fonctionnelles

- Codage- Test unitaires

- Code compilé / exécutable- Rapport de tests unitaires

- Code source- Exécutables

-Test fonctionnel - Test technique- Doc

- Application-Recette- Docs / guides

- Application- Docs / guides

- Installation- Intégration- Vérification

- Go en production

- Incident- Problème- …

- Traitement de bugs

- Application corrigée

- Demande, besoin, idée

- Etudes (faisabilité, opportunité)

- Etudes-Décision: Go/nogo

Analyse Conception Codage Vérification Déploiement Opérations

41

Cycle de développement web

41

ENTR

EEAC

TIVI

TES

LIVR

ABLE

S

- Etudes- Besoin

- Conception, architecture

- Spécifications techniques / fonctionnelles- Plans qualité (+ tests)

- Spécifications techniques + fonctionnelles

- Codage- Test unitaires

- Code compilé / exécutable- Rapport de tests unitaires

- Code source- Exécutables

-Test fonctionnel - Test technique- Doc

- Application-Recette- Docs / guides

- Application- Docs / guides

- Installation- Intégration- Vérification

- Go en production

- Incident- Problème- …

- Traitement de bugs

- Application corrigée

- Demande, besoin, idée

- Etudes (faisabilité, opportunité)

- Etudes-Décision: Go/nogo

Analyse Conception Codage Vérification Déploiement Opérations

A chaque phase:- des enjeux spécifiques- des acteurs spécifiques- des livrables spécifiques- des risques spécifiques- des bonnes pratiques spécifiques- des contrôles spécifiques- etc.

Opportunités pour l'organisation:

Analyse Conception Codage Vérification Déploiement Opérations

Acroître la confiance "sécurité":- compréhension des enjeux- compétences- bonnes pratiques- contrôle- conformité

43

opportunités pour l'organisation: externalisation du développement web

Opportunités: développement web

Analyse Conception Codage Vérification Déploiement Opérations

Risques:- rôle de la réglementation- rôle et enjeux pour l'organisation- mauvaise conception du produit

Opportunités: développement web

Analyse Conception Codage Vérification Déploiement Opérations

Mesures:- analyse des besoins- classification / impacts- conception sécurisée- revue de la conception

Opportunités: développement web

Analyse Conception Codage Vérification Déploiement Opérations

Risques:- méconnaissance technologique- codage non sécurisé- sécurité non testée

Opportunités: développement web

Analyse Conception Codage Vérification Déploiement Opérations

Mesures :- Pratiques de codage sécurisé- Expertise technologique- Vérification de la sécurité

Opportunités: développement web

Analyse Conception Codage Vérification Déploiement Opérations

Risques:- déploiement non sécurisé- pas de processus de réponse- absence d'indicateurs

Opportunités: développement web

Analyse Conception Vérification Déploiement Opérations

Mesures:- sécurité de l'environnement-processus de traitement des incidents- indicateurs de sécurité

Codage

50

opportunités pour l'organisation: hébergement de l'application et

environnements cloud

Opportunités: cloud

Analyse Conception Codage Vérification Déploiement Opérations

Risques "cloud":- cycle de vie des données inconnu- guidance de déploiement sécurisé absente- incapacité de tester la sécurité- territorialité inconnue- cohabitation avec les autres clients?- traitement des incidents-…

Opportunités: cloud

Mesures "cloud":- guidance de déploiement sécurisé- prise d'informations- contrat- Prise en compte des risques et mesures "web"

Analyse Conception Codage Vérification Déploiement Opérations

53

opportunités pour l'organisation: SaaS (location du service)

Opportunités: SaaS

Risques "SaaS":- Service présentant des vulnérabilités- Environnement mal protégé- Traitement des incidents de sécurité- Isolation entre clients- etc. cloud?

Analyse Conception Codage Vérification Déploiement Opérations

Opportunités: SaaS

Mesures "SaaS":- Prise d'informations- Contrat- Traitement des incidents de sécurité

Analyse Conception Codage Vérification Déploiement Opérations

56

"Servez-vous!"outils à disposition des organisations

57

OWASP

• Open Web Application Security Project• https://www.owasp.org• Fondation à but non lucratif, ouverte et

internationale• Projets OWASP• Sections OWASP (Local Chapters)– OWASP Suisse https://www.owasp.org/index.php/Switzerland

– OWASP Genève https://www.owasp.org/index.php/Geneva

58

Stratégie OWASP

Web Application

Outils

Processus

Personnes

Menace

Patrimoine

Sommet

Sous-Comités

Comité

Chapitres

Projets

Application Web

Conférences

Membres

Site web

59

Projets OWASP: outils

Analyser Concevoir Implémenter Vérifier Déployer Répondre

AntiSAMMY

ESAPI

ModSecurity CRS

JBroFuzz

LiveCD

WebScarab

Academy portal, Broken Web applications, ESAPI Swingset, Webgoat

CSRFGuard

Encoding

Code Crawler

DirBuster

WebScarab

OrizonO2

Zed Attack Proxy

Stinger

https://www.owasp.org/index.php/Category:OWASP_Project

60

Projets OWASP: référentiels

Development

RoR Security

Code Review

Testing

ASVS

Academy, Appsec FAQ, Appsec metrics, Common Vuln. List, Education, Exams, Legal, OWASP Top 10

.NET Security

Secure coding practices

Code Review

Testing

Secure contract

Backend Security

Threat risk modeling

AJAX Security

Application security

requirements

J2EE Security

PHP Security

Analyser Concevoir Implémenter Vérifier Déployer Répondre

https://www.owasp.org/index.php/Category:OWASP_Project

OWASP Top 10 Web applications security risks

61

Top 10• Référentiel des 10

risques de sécurité majeurs sur les applications web

• Utilisable comme base pour "négocier" les exigences minimales en matière de sécurité

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

62

Secure Software Contract Annex• Guide OWASP• Compagnon de route

pour l'élaboration ou l'évaluation de contrats de services menant à des applications web mieux sécurisées

https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex

63

Conclusion

• L'externalisation de services liés aux applications web est une délégation.

• Cette délégation doit inclure la mise à disposition de services protégeant le patrimoine de l'organisation.

• Des outils sont mis à la disposition des organisations pour obtenir de la confiance, et de l'assurance.

• La gouvernance reste nécessaire: ces mesures doivent implémenter une stratégie.

64

Plus?

• La dernière version de cette présentation sera prochainement disponible sur http://www.slideshare.net

• Outils:– Top 10 web applications security risks (OWASP)

https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex

– Secure contract annex (OWASP)https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex

– Cloud computing: Risk assessment (ENISA) http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

65

Merci!

contact: antonio.fontes@l7securite.ch