Entreprise de Services du Numérique

Jean-Louis Bouchard

1974

19 pays dans le monde

9000+ collaborateurs

2

Entreprise > Identité

15/09/2016

Soutenance Professionnelle

3

Entreprise > Identité

Clients

Concurrence

15/09/2016

B2B

Soutenance Professionnelle

En quelques chiffres...

4

Entreprise > Quelques chiffres

Objectif 2017...

15/09/2016

Soutenance Professionnelle

5

Entreprise > Organigramme

BU DAS Lyon

15/09/2016

Digital Application Services

Services

Soutenance Professionnelle

Les Projets

6

Missions > Les Projets

15/09/2016

Gestion de documentation

Suivi des projets: Tâches & Imputations

PIC

Soutenance Professionnelle

Oasis

8

Missions > Oasis et SNCF Plus

• Facturation
• OSAC
• 2014   Smile

15/09/2016

SNCF Plus

2 versions majeures livrées

50 bugs corrigés

• Newsletter interne
• SNCF
• Centre de Services COWEB

30 travaux ponctuels

Soutenance Professionnelle

Amadeo

9

Missions > Amadeo

15/09/2016

• Bureau Veritas pour ses clients

• 2009

• Espace d'échanges

• Veille Réglementaire, certifications ISO

Soutenance Professionnelle

Amadeo : Revamping

10

Missions > Amadeo

15/09/2016

• Maquettes équipe Design

• Nettoyage de l'ancien style

• Intégration du nouveau style

• Tests et Recette

Equipe projet de 6 personnes

Soutenance Professionnelle

11

Missions > Amadeo

15/09/2016

Amadeo : Revamping

Soutenance Professionnelle

Amadeo : Quelques chiffres

12

Missions > Amadeo

15/09/2016

2 versions majeures livrées

40 bugs corrigés

300 jsp éditées en 1mois

9000+ fichiers...

Soutenance Professionnelle

Bilan

13

Missions > Bilan

Applications web...

Dimension importante

Très utilisée : 800 clients actifs

Application vieillissante (2009)

15/09/2016

Qu'en est-il de la sécurité ?

?

Soutenance Professionnelle

14

Mémoire > Introduction

15/09/2016

Démarche sécurité Econocom

• Centre de services DAS :  certifié 27001
• Nouvelles applications : ASVS niveau 1

Conformité ?

Soutenance Professionnelle

Problématique

15

Mémoire > Problématique

15/09/2016

OWASP

Application Security Verification Standard

AMADEO

Soutenance Professionnelle

16

Mémoire > Plan

15/09/2016

• Sécurité & Enjeux ESN

Plan

• Outils, Méthodes: OWASP et ASVS

• Cas d'étude : Audit d'Amadeo

Soutenance Professionnelle

Sécurité

17

Mémoire > I Sécurité & Enjeux ESN

15/09/2016

« Situation dans laquelle [...] quelque chose n’est exposé à aucun
danger[...]. »

- Larousse

à différentes échelles...

application

web

Soutenance Professionnelle

programmes pour 1 tâche

terminaux, transit de données

Enjeux pour les ESN

18

15/09/2016

Mémoire > I Sécurité & Enjeux ESN

• Clients certifiés, OIV
• Concurrence
• Maintien de l'activité

Enjeux financiers et d'image

Développement d'applicatifs pour les clients

Soutenance Professionnelle

Outils, méthodes

19

Mémoire > II Outils, Méthodes: OWASP et ASVS

15/09/2016

• Gestion des risques = Anticiper
• ISO 27001= Gérer
• Outils de pentest = Vérifier

Soutenance Professionnelle

OWASP ASVS

20

15/09/2016

Mémoire > II Outils, Méthodes: OWASP et ASVS

Open Web Application Security Project

Application Security Verification Standard

Soutenance Professionnelle

Advanced

Standard

Opportunistic

Cursory

Critères d'évaluation

21

15/09/2016

19                                        16

V1.0                                      v3.0

Soutenance Professionnelle

Mémoire > II Outils, Méthodes: OWASP et ASVS

Critères d'évaluation

22

15/09/2016

Niveau 1 : 76 critères évalués

1

17

10

2

3

11

7

4

7

6

0

0

7

NON

NON

1

Soutenance Professionnelle

Mémoire > II Outils, Méthodes: OWASP et ASVS

Critères d'évaluation

23

15/09/2016

Soutenance Professionnelle

Mémoire > II Outils, Méthodes: OWASP et ASVS

• 11.1 L’application accepte seulement les méthodes HTTP nécessaires (GET, POST...)
• 11.2 Spécifier le charset dans toutes les entêtes HTTP
• 11.5 Les réponses HTTP ne doivent pas informer sur les composants de l’application
• 11.6 Toutes les réponses [...] doivent contenir [...] "nosniff"
• 11.7 Avoir une politique de sécurité de contenu
• 11.8 Se protéger des failles XSS (header X-XSS)

Amadeo

24

Mémoire > III Cas d'étude: Audit d'Amadeo

15/09/2016

Pourquoi ?

• Etat des lieux de conformité des applicatifs
• Application Web
• Emblématique du DAS (2009 - BV - ISO)

Soutenance Professionnelle

Audit d'Amadeo

25

15/09/2016

• Etude du fonctionnel
• Technique: code source
• Session ZAP

Soutenance Professionnelle

Mémoire > III Cas d'étude: Audit d'Amadeo

Audit d'Amadeo

26

15/09/2016

• ZED Attack Proxy (OWASP)
• Environnement de test isolé

Exemple : Session ZAP

11.6 : pas de header X-Content-Type-Options : nosniff

11.8 : pas de header X-XSS

Soutenance Professionnelle

Mémoire > III Cas d'étude: Audit d'Amadeo

Audit d'Amadeo

27

15/09/2016

Résultats

Soutenance Professionnelle

0/1

12/17

7/10

0/2

0/3

10/11

5/7

3/4

5/7

2/6

4/7

1/1

Mémoire > III Cas d'étude: Audit d'Amadeo

Evolution des pratiques

28

15/09/2016

Langages &Frameworks

Configuration

Contrôle d'accès

Soutenance Professionnelle

Mémoire > III Cas d'étude: Conséquences

Sessions, authentification

Evolution des pratiques

29

15/09/2016

Audits sécurité 

avec les développeurs

Sécurité web &HTTP

Experts sécurité au coeur les projets

Soutenance Professionnelle

Mémoire > III Cas d'étude: Conséquences

Sensibilité à la sécurité

Formations

Communication

Conclusion

30

Mémoire > Conclusion

15/09/2016

Première concrétisation

Vers une feuille de route du changement

Intégration avec ISO 27001

Evaluation de la sécurité d'une application web selon OWASP : Quelles conséquences sur les processus de développement?

Soutenance Professionnelle