OWASP?

• Open Web, Application Security, Project
• Organisme mondial à but non lucratif
• ans de services à la communauté
• Mission : rendre visible la sécurité du logiciel
• Tout est disponible librement et gratuitement

Présence OWASP

• Chapitres
  • 70 pays avec 200 chapitres
• Conférences
  • AppSecUSA, septembre, San Francisco
  • AppSecEU, mai, Amsterdam
  • Asie, Amérique latine

Équipes OWASP

• Membres
  • 2000+ membres individuel et corporatif
  • 40 000+ abonnés listes de courriels
• Projets
  • 180+ projets actifs
  • Code, Outils et Documentation

Projets OWASP ^1/2

Projets OWASP ^2/2

Sécurité Applicative

Plusieurs nomenclatures

• Software Security (swsec)
• Sécurité des Applications (SA)
• Application Security (AppSec)
• Security Development Lifecycle (SDL)

Software Security

Software security is the idea of engineering software so that it continues to function correctly under malicious attack.
-- Building Security In, Gary McGraw

infosec est basé sur la sécurité de l'information et swsec est basé sur la sécurité des logiciels

Sécurité des applications

Application security is a process performed to apply controls and measurements to an organization’s applications in order to manage the risk of using them.
-- ISO IEC 27034, Luc Poulin

SA de ISO 27034 est plus large que logiciel et ISO 27001 est la gestion des risques de sécurité de l'information

Application security

Application security (short: AppSec) encompasses measures taken throughout the code's life-cycle to prevent gaps in the security policy of an application or the underlying system (vulnerabilities) through flaws in the design, development, deployment, upgrade, or maintenance of the application.
-- Wikipedia, 175 rédacteurs

o_O

Microsoft SDL

The Security Development Lifecycle (SDL) is a software development process that helps developers build more secure software and address security compliance requirements while reducing development cost.
-- Microsoft Trustworthy Computing team

Suite à la note de Bill Gates en 2002

Convergence

Building security in

ISO 27034

Microsoft SDL

Life cycle?

Cycle de vie

• SDLC

  A Software Development Life Cycle is essentially a series of steps, or phases, that provide a model for the development and lifecycle management of an application or piece of software.
  -- Google Allmighty

• ALM

  Application Lifecycle Management Application lifecycle management is the product lifecycle management (governance, development, and maintenance) of application software.
  -- Google Allmighty

Définition

La sécurité applicative est donc l'intégration des activités, contrôles et pratiques dans le cycle de vie d'un logiciel ou d'une application afin de gérer les risques de sécurité

Flèches et boîtes

Activités/contrôles/pratiques
dans le cycle de vie

Utilisation d'OWASP

Projets à utiliser comme activités, pour définir des contrôles et guider les pratiques.

OWASP OpenSAMM

• OWASP Top 10
  • Pour une introduction aux développeurs
• Media Project
  • Pour l'intérêt général envers le sujet

• Testing Guide
  • Pour les testeurs d'intrusions applicatives Web
• ZAP
  • Pour outiller ces mêmes testeurs et peut automatiser des cas de tests

• ASVS
  • Originalement conçu pour la vérification mais on peut aussi en dériver des exigences

Conclusion

En fonction du cycle de vie existant, choisir les activités de sécurité applicative en les priorisants permet d'adresser les risques.

On obtient ainsi un programme de sécurité applicative

Défis

Le choix des activités du programme de sécurité applicative est limité par la capacité des intervenants en sécurité à comprendre le SDLC/ALM ainsi que par la capacité des équipes de développements à comprendre les principes de sécurité.

Questions ?

Merci !

Liens sur @jonathanmarcil

this