--- tags: SECUP, tristan.martin title: SECUP - Full Course --- ### (17/02/2020) Sommaire: # 1- Integration secu projet # 2- Audit Voir: Procedure de secu Hebergement securise Eval: (QCM + 1 cas d'usage) - Integration secu projet - Audit ## Intro * Constat * Enjeux et definitions * Le RSSI * film * Points clefs Cycle en V Opportunite (enjeux entreprise) Exploitation (deploy/ maintain) \> /> Faisabilite (cout/efficacite) Realisation (devs tests/rectette) \> /> (besoin fonc) conception generale -> concpetion detaillee (choix tech) ## Constat ### Plusieurs acteurs RSSI Maitrise d'oeuvre : informaik CIL: RGPD Experts techniques Utilisateurs SHOW schema1 ### Difficulte et Incomprehsension * Nivequ de connaissance * Voc different * ### Enjeux et definitions ISP => * promouvoir une "culture de la secu" -> moins experts / plus acteurs + responsabiliser + traiter sujet au bon moment * adapter les actions SSI selon les enjeux reels -> mieux sans trop / eviter mille-feuilles * maitriser les risques out au long du cycle de vie du S.I. -> etre sur de son S.I. et le rester ### Activite sur les seances * Analyse de risque MOA * Conformite juridique * Spec des mesures * Dev Securise * Tests et recettes de secu * Secu des externalisation (50% de l'info est sous-traite => bcp de potentielles failles) * Secu de l'exploit * Suivi des risques residuels * Audit * Doc de secu ### Quizz 1 1 audit phase analyse preli projet de dev nouvelle app pour s'asssurer de? => s'assurer que les exigences de secu soient bien etablies 2 resuire le cout? => de facon continue durant tout le proj ### VOCAB ISP: integration secu dans les proj ISC: integration secu dans les contrats ISO: International Organization for Normalization OWASP: Open Web App Secu Proj PAS: Plan Assurance Secu ANSSI: Agence Nationale Secu des S.I. ### Le RSSI ### Les Attak #### Context Destruction/Atteinte a l'image/Gain Financier Cout Secu 4.8M par entreprise en FRA 43 jours de delain moyen en FRA pour resoudre une cyberattak 243 jours a detect une breche de secu La menace "Rent a hacker" $5/h => attak website by service denial (DDOS) On peut tout acheter pour attak qqchose 2015 -> 23% de gens ouvre les piece jointe de fishing 127M nombre de malware circulant sur web nb d'incident de secu lie a erreur humaine -> 30% #### Type ##### Spam -> envoi en masse de mails mais de plus en plus efficace ajd car cible et plus intelligent ##### Social Ingenerie Human Hacking #### Malware: qlqs stars 2019 -> ransomware increase US / Indonesie / RoUni / FRA => plus touche DRIDEX WANNACRY => 300000 touches STUXNET ##### Crypto Locker technik de l'obfuscation chiffrement des coms methode de chiffrementgit rev-list --count #### Decryptage ### (19/02/2020) RAPPEL: Analyse risk et besoin -> exigences reglementaires -> mesure de secu -> secu du dev -> tests et recettes -> secu sout-traitance -> secu exploit -> risk residuels ## Risques SSI risk = fonction(impact, vuln, ) * Menace: * Vulnerabilite: disfonctionnement potentiel * Impact: ensemble globa; des consek d'un scenar de risk precis * Potentialite: estimation de la possibilite qu'un scenar precis survienne Un RSSI doit faire: - Inventaire risks - Choix et mesures tech et organisationnelles ##### Quizz Risk maj pour un construct auto? - vol des elements decrivant les futurs logiciels ## Exigences reglementaire # Securisation du dev ## Env de dev ### Imposition de regles pour etre securise * Env separe de prod * Team de proj inde de l'exploit * Team proj pas d'acces a la prod * Gestion d'acces aux platforme de dev et recette * Secu de tests et recette => pas le droit d'utiliser les donnees clients => pas de vraies donnees ## Programmation Secu * Devs doivent taffer proprement ### SOFT-APP * Respect regles * Params par default * blabla ### WEB * inject malveillantes * inject de cmds * reverse engineering ## Exemples * Limitation sur client -> preferer des calculs servers * Gestion allocation de memoire * Params entree sortie -> filtrage input/oupout * Validation module de secu -> relecture code / tests de refs * Stockage de donnees sensibles * Maintien (creation / duree de vie) * Tracabilite -> check que les gens ne font pas des choses bizarres a heure bizarre ### Refs Tech de Secu ## Quizz # 1 Durant Test d'un proj de dev d'app au audieur examine -> Les rapports d'erreurs # Les Tests et Recettes de Secu ## OWASP Bonne methode de coding ## Cost of Software Bugs the Cost is a curve increasing with the time the bug is undone during dev -> 25$ / after few weeks of prod -> 16.000$ * CS1 -> Controle Infra * CS2 -> Controle App * CS3 -> Controle Process ## Test Choix ### Intrusion * facile a realiser * preuve de vuln * competence moindre * depends des scenars testes ### Review de Code * Vue exhaustive * check efficience des Controle * assure la mise en oeuvre des controles ## Rapport de Test * Perimetre * Liste des reco * Liste des vulns: * * Annexe ### QUIZZ Test de regress: evolution apportees n'ont rien degrade ## Gestion Tech Durcir: * poste de taf * Carto de l'install info et la maintenir * Maintenir les composants software * Limiter support amovible/autorun * Chiffrer data * Antivirus / Logs * servers * network * Exploit Fonctionnelle * Utilisation * Gestion incidents ## Gestion Fonctionnelle * Process General * Detect incident secu * Mise en place rep * Def des responsabilites * observer evo incident et effet rep * Fin incident ## SOC (Secu Operating Center) ### Quizz #### 1 Cap de reco incident: sensibilisation utilisateur #### 2 Faille maj d'efficacite d'un service de soutien tech: les incidents resolus sont clos sans avertir utilisateur #### 3 Mesure de reduction de risk que support de sauvegarde irremlpacable soit perdu ou vole: faire une copie #### 4 + gd risk d'utilisation clef USB pour echanger data entre eux: Data volees #### 5 Si sinistre sur centre de data, meilleur strat la + appropriee pour recup complete d'une BDD critique: Replication en temps reel sur site a distance #### 6 install correctif de secu, provoc arret de serveur de prod. reduction risk que reproduction, if faut: processus de gestion du changement ## Suivi Risque residuel # Integration de la Secu dans les Projets ## Sous traitance * TMA (Tierce Maintenance Applicative) * MCO (Maintien des Conditions Operationnelles) * Tele-administration ### Securisation sous-traitance