SECUP Cours 3 - HackMD

--- tags: SECUP, joffrey.chambon title: SECUP Cours 3 --- # Sécurisation du développement 70% des vulnérabilités proviennent d'erreurs de développement 30% restant -> problèmes d'infra, d'OS Environnement de projet (dev) séparé de l'environnement de production Equipe projet n'ayant pas accès à l'env de production Equipe d'exploitation séparée de l'équipe de dev Gestion des accès aux différents env Sécurisation des données de tests et recette Protection de l'information confidentielle du projet ## Programmation sécurisée Respect des normes et règles de développement concernant : * fonc de secu * app web * progiciels Site Web : * résistant au injections de code malveillant * injection de commandes * reverse engineering Des méthodes peuvent être appliquées (ex : OWASP) Exemple de règles dans un établissement bancaire : * Limitiation code côté client * Gestion alloc mémoire * Analyse paramètres entrée/sortie (injection,...) * Validation des modules de sécurité * Stockage des données sensibles * Maintien de contexte * Traçabilité # Tests de sécurité ## Etape 1 : Scénario d'attaques ## Etape 2 : Choix des tests ## Types d'investigation ### Contrôler les infrastructures * Analyse d'architecture * Contrôle de configuration * Tests d'intrusion ### Contrôler les applications * Analyse de code * Tests des fonctions de sécurité * Tests de vulnérabilité ### Contrôler les process * Contrôle environnements * Contrôle des procédures * Contrôle des méthodes ## Choix de stratégie de test ### Tests d'intrusion * Facile à réaliser * Preuve de vulnérabilité * Compétence moindre * Dépend des scénarios testés ### Revue de code * Vue exhaustive * Vérifie l'efficience des contrôles * S'assure de la mise en oeuvre des contrôle ## Rapport de test * Périmètre * Liste des recommandations * Liste des vulnérabilités * Niveau de risque * Description * Probabilité # Sécurisation de l'exploitation ## Gestion technique * Durcissement * Maintien au niveau * Surveillance * Maintenance * Tierce investigation * Sauvegarde ### Durcissement Def : **Réduire les fonct d'un dispositif pour assurer la maîtrise du comportement d'un système et d'activer les fonctions de sécurité** ## Gestion fonctionnelle ### Exploitation fonctionnelle ### Utilisation ### Gestion des incidents ### Zoom sur les incidents Process général : Détection des incidents de sécurité Mise en place d'une réponse Définition des responsabilités Observer l'évolution de l'incident et des effets de la réponse ### Process général 4 états qui représentent 4 niveaux distincts : * Enregistrement * Evènement * alerte * incidents ### SOC (Security Operating Center) Equipe dediée à la cybersécurité Ce n'est pas : * Un call center * Des opérationnels * Monitoring technique * Un service d'archivage/reporting Champs d'intervention : * Lutte antivirale * Juriste * Expert sécurité * R&D * Expert réseau * Expert système * Veille sécurité #### Outils : SIEM #### Normalisation PDIS #### Forensic Collecter les traces laissées par les attaques Important de prévenir l'utilisateur que l'incident est résolu. e