SECUP cours 3 - HackMD

--- title: SECUP cours 3 tags: SECUP, jeremy.delbarre authors: jeremy.delbarre --- # Sécurisation du développemment 70% des vulnérabilités proviennent d'erreurs de dévellopement régle pour un environnement de dev/test sécurisé: - un equipement de projet séparé de la production - des plateforme de dv et de recette séparé de celle de la production - un accès restreint aux plateforme de dev et de recette - la sécurisation des de tests et de recettes - protection de l'information confidentielle du projet ## Programmation sécurisée - respecter les normes de développement - fonction de sécurité (notamment sur la saisie utilisateur) - les applications Web - les progiciels ### les applications WEB - resisté a l'injection de codes malveillant - resisté a l'injection de commandes - au reverse engineering - exemple de réferentiel OWASP - anayler les parametre d'entrée/sortie - validation des modules de sécurité - stockage des données sensible - maintien du contexte - traçabilité ## Quiz Durant la phase de tets d'un projet de dev d'application un auditeur doit examiner - les rapports d'erreur un test de régression sert principalement a assurer - que les evolutions apportés n'ont introduit aucune failles La majorité des vulnérabilté sont applicatives ## Test de sécurité - Etape 1: scénario d'attaques/menaces - Source: interne/externe - Vecteur: réseau, application - Cibles: données, commandes - Objectif: accès, prise de main - Etape 2: Choix des tests - revue de vulnérabilité - test d'intrusion - test fonctionnelle ## La sécurisation de l'exploitation - personne différent gerant l'exploitation ## SOC Secuity Operating Center - Ce n'est pas - un call center - des opérationnels qui réalisents des opérations de corrections - du monitoring technique - un service d'archivage - c'est une equipe operationel - responsable sécuritére - profil juridique - expert antivirale - veille - expert système/réseaux ## quiz La capacité de reconnaitre un incident de sécurité repose sur - la sensibilisation de l'ensemble du personnel Une faille majeure de l'efficacité d'un service de soutiens technique (hot line) en cas de probleme serait - les incidents résolus sont clos sans prevenir l'utilisateur Laquelle des mesures suivantes reduit le risque ques des supports de sauvegarde - conserver une copie Quel est le plus grand risque dans l'utilisation de clé USB - le vol de donnée