les tests de securite devops
TRANSCRIPT
![Page 1: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/1.jpg)
Les tests de sécurité DevOps
![Page 2: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/2.jpg)
Qui es tu ?
Christophe Villeneuve
![Page 3: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/3.jpg)
Ce qu'il vous attend...
● Aborder les tests de sécurité● Mesurer votre qualité de sécurité Web● Le DevOps de la sécurité avec vos outils Open Source
![Page 4: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/4.jpg)
A l'abordage
![Page 5: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/5.jpg)
L'importance des tests
● Pourquoi c'est utile ?
‐ Le code peut casse‐ Changer le nom d'un fichier‐ Pas le temps d'en faire‐ C'est long manuellement
● Et l'intérêt…‐ Coûte du temps au début‐ En fait gagner ensuite‐ Nécessite de la rigueur et de la
constante
![Page 6: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/6.jpg)
Les différents types de tests
● Tests unitaires● Tests fonctionnels● Tests intégrations● Tests Automatisés● Tests de charges● Tests d'ergonomie● Tests de sécurité
![Page 7: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/7.jpg)
Humour : la sécurité
Ca ne sert rien
C'est de la vente forcée
Ce n'est pas pour moi
![Page 8: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/8.jpg)
Les menaces
![Page 9: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/9.jpg)
Les risques
● Ne connaissent pas ‐ L'étendue des risques liés à la sécurité de leur site
● Significations du terme « piratage » ‐ voir définition Wikipedia
● Et surtout : ‐ Vol d'informations‐ Usurpation d'identité‐ Indisponibilité de service‐ Défiguration de site‐ Désinformation
![Page 10: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/10.jpg)
La vie du hacker
● Des sites référencent ‐ Sur les failles‐ Les alertes (veilles / R&D)
● Leurs métiers● Des scanners● ...
![Page 11: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/11.jpg)
Les différents types d'attaques (1/2)
● Matériels ● Périphériques ● Smartphones
![Page 12: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/12.jpg)
Les différents types d'attaques (2/2)
● Internet des Objets● Le web● Logiciels
![Page 13: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/13.jpg)
Les mesures
![Page 14: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/14.jpg)
CVE Security (1/3)
● Base de données des vulnérabilités (source d'informations)● OS / Langages / CMS / Framework / Navigateurs...
![Page 15: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/15.jpg)
CVE Security (2/3)
● Représentation annuelle
![Page 16: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/16.jpg)
CVE Security (3/3)
![Page 17: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/17.jpg)
Identifier les risques
● Systèmes trop verbeux‐ DNS / Réseaux
● Système d'authentification faible‐ SSH
● La gestion des droits‐ Maillons faibles
● Les mots de passes systèmes‐ Admin du poste / compte utilisateur
● Bases de données‐ Stockage des informations sensibles
● Partage de fichiers‐ Périphériques hardwaire
● Serveurs à l'abandon● Vulnérabilités web
‐ Voir les rapports OWASP
![Page 18: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/18.jpg)
Le mode parano
● Pour le service informatique‐ Les tests de pénétration
● Tous les sites
‐ Les Firewall / Parefeu web● Toutes les 3 à 4 semaines
‐ Analyser le code● Toutes les 2 semaines
![Page 19: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/19.jpg)
Analyse des freins...
● Temps d'installation● Durée● Temps d'analyse
![Page 20: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/20.jpg)
DevOps / Outils
![Page 21: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/21.jpg)
Quoi faire ?
● Un processus dans un déploiement continue‐ En différentes petites étapes
● Exemple : Regardons les sites actuels‐ Dans leur cycle de déploiement
![Page 22: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/22.jpg)
Contrôle de sécurité (1/2)
● Intégrer les Risques IT‐ Stratégie métier et modèle opérationnel à la cartographie
● Développer les synergies‐ Des filières Risque, Contrôle, Sécurité et Continuité
● Adopter un modèle de protection ‐ Les secrets et données personnelles proportionné
● Industrialiser
‐ Un accompagnement de sécurité des projets métiers
![Page 23: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/23.jpg)
Contrôle de sécurité (2/2)
● Stimuler ‐ La gestion des identités et des accès
● Outiller ‐ La détection et la réaction aux incidents
● Innover et soutenir les équipes projets ‐ Notamment dans la relation avec leurs multiples sous-traitants
https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx
![Page 24: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/24.jpg)
Déploiement continue
Développement
Serveurvalidation
Serveur intégration
Outils SCA
Tâches répétitives
- Analyse de code- Contrôle du code- Déclencheur Build
ServeurPréprod
Serveurproduction
Tests de sécuritéautomatisé
Report&
Notification
![Page 25: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/25.jpg)
Mise en place / procédure
![Page 26: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/26.jpg)
Plan de sécurité
● Identifier les API et les frameworks ● Imprimez les portions du code de sécurité (mécanisme)‐ Authentification‐ Mot de passe
● Planifiez-le● Anticipez les problèmes réglementaires
![Page 27: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/27.jpg)
Sensibiliser les développeurs
● Les rapports OWASP‐ TOP 10 Web ‐ TOP 10 mobile ‐ TOP 10 IoT
● Analyser le code dans l'Intégration continue
![Page 28: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/28.jpg)
Equiper les développeurs
● Utilisation des frameworks sécurisés et reconnus‐ Spring Security, JAAS, Apache Shiro, Symfony2, Drupal...
● Le framework OWASP‐ ESAPI
● Outils de Feedback sur la sécurité avant l'étape de validation‐ Ex : librairie SCA dans un IDE
ATTENTION : Librairies externes / anciennes
![Page 29: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/29.jpg)
Automatisation
● Associé dans les outils de déploiement (Build)‐ Jenkins, Bamboo, TeamCity, etc.
● Test de sécurité statiques de vos API ‐ (SAST = Static Application Security Testing)
‐ Top 10 Strategic Technology Trends● Test dynamique de sécurité des applications
‐ (DAST = Dynamic Application Security Testing)
Résultat faible
Bloquer le processus
![Page 30: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/30.jpg)
Outils de tests de sécurité automatisé
● Plateforme de tests d'intrusion‐ Metasploit, Aircrack-ng
● Tests résistence d'un password‐ John the ripper
● Audit de monitoring, réseaux sans fil‐ Aircrack-ng
● Sniffer, analyseur protocoles réseau & applicatif‐ Wireshark
● Scanner de ports, vulnérabilités‐ Nmap
● Récupération mot de passe
‐ Cain & Abel
● Emulation Navigateur web
‐ Paros Proxy, charles proxy
● Capture de requêtes, proxy applicatif
‐ Zed Attack Proxy, Paros Proxy
● Audit des applications web
‐ Burp Suite, Wfuzz, spiderfoot, cerveau
![Page 31: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/31.jpg)
Les tests en déploiement continue
Développement
Serveurvalidation
Serveur intégration
Outils SCA
Tâches répétitives
- Analyse de code- Contrôle du code- Déclencheur Build
ServeurPréprod
Serveurproduction
Tests de sécuritéautomatisé
Report&
Notification
![Page 32: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/32.jpg)
Au final
● La sécurité en DevOps, c'est maintenant‐ Il est toujours temps de s'en préoccuper
● La sécurité ne doit pas être comprise● Il ne faut pas accablé
● Commencer petit
![Page 33: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/33.jpg)
Plus loin
● Outils SCA :https://www.owasp.org/index.php/Source_Code_Analysis_Tools
● OWASP : https://www.owasp.org
●
![Page 34: Les tests de securite devops](https://reader034.vdocuments.fr/reader034/viewer/2022042619/5877959d1a28ab0f778b5dcd/html5/thumbnails/34.jpg)
Merci
@hellosct1