--- titre: Sécurité dans les projets et audits/contrôles (Cours 3) description: Sécurité dans les projets et audits/contrôles (Cours 3), 24/02/2020 tags: SECUP, jerome.tchan author: Jérôme Tchan --- # Sécurité dans les projets et audits/contrôles (Cours 3) ## Sécurité du développement **70% des vulnérabilités proviennent d'erreurs de développement** Sécurité de l'environnement de développement, de test et de recette: - Environnement de projet séparé de la production - Equipe projet indépendante de l'exploitation - Equipe projet n'ayant pas d'accès en production - Plateformes de développement et de recette séparées de celles de production Programmation sécurisée: - Respect des règles de qualité - Gestion des paramètres par défaut - Intégration des contrôles - **Mise en place de normes de développement** Respecter des normes et règles de développement concernant: - les fonctions de sécurité - les applications web - les progiciels Pour les sites Web, le développement peut être sécurisé "by design" pour être résistant: - aux injections de code malveillant - aux injections de commandes - au reverse engineering Des méthodes de développement peuvent être appliquées => **OWASP** Exemple de règles pour un établissement bancaire: - Limitation des codes côté client - Gestion des allocations mémoire - Analyse des paramètres d'entrée / sortie - Validation des modules de sécurité - Stockage des données sensibles - Maintien de contexte - Traçabilité Il y a un nombre important de référentiels techniques ## Les tests et recettes de sécurité **La majorité des vulnérabilités sont applicatives** Stratégie de test: 1. Déterminer les scénarios d'attaques / menaces 2. Choix des tests Types de tests: - Tests d'intrusion - Revue de code ## Sécurisation de l'exploitation ### Gestion technique - Durcissement - Maintien du niveau de sécurité des infrastructures d'accueil - Patch management - Gestion de l'obsolescence - etc. - Surveillance - Maintenance - Tierce intervention - Sauvegarde #### Durcissement > Réduire les fonctions d'un dispositif pour assurer la maîtrise du comportement d'un système et d'activer les fonctions de sécurité ### Gestion fonctionnelle - Exploitation fonctionnelle - Utilisation - Gestion des incidents ### Zoom sur les incidents Process général: - Détection des incidents de sécurité - Mise en place d'une réponse - Définition des responsabilités - Observer l'évolution de l'incipdent et des effets de la réponse - Fn de l'incident, passage en fonctionnement nominal Incidents: 4 états => 4 niveaux distincts: - Enregistrement - Evènement - Alerte - Incidents SOC = Security Operating Center Le SOC regroupe: - Des experts sécurité - Des juristes - De la lute anti-virale - Une veille sécurité - Des experts système - Des experts réseau - R&D Le SOC s'appuie sur des outils comme le SIEM (Security information and event management) qui permettent d'analyser les logs et de générer des alertes. Norme PDIS: Prestataires de détection des incidents de sécurité ### Risques résiduels On commence avec des risques potentiels et on met en place des mesures pour le réduire => une partie risque maitrisé et une autre partie risque résiduel => Parfois (et même souvent), le risque résiduel est plus grand que le risque maitrisé ### Sécurisation de la sous-traitance Sous-traitance classique: - Hébergement - Développement Sous-traitance avec accès à distance: - Tierce Maintenance Applicative (TMA) - Maintien en Conditions Opérationnelles (MCO) Sous-traitance complète - Télé-service (ex: SOC, SaaS) - Cloud computing Encadrement de l'accès distant au SI non maîtrisé Politique interne du sous-traitant non maîtrisé Mesures: - Identification des données et traitements - Analyse des risques et identifications des mesures - ... Outils: - Clauses réglementaires et/ou juridiques - Clauses de sécurité et de confidentialité - Passerale sécurisée dédiée à la télémaintenance