CTO & Co-Founder SYNHACK
System/Network/Security Engineer
Anglicisme du mot "encrypt"
Non reconnu par l'académie française
Rendre impossible la lecture d'un document sans la clé
Par contre, on peut dire
Tout ce qui se rapporte aux doigts
Tout ce qui se rapporte à l'informatique
Développeur chez Yahoo
Congédié en Septembre 2016 avec le reste de l'équipe IT.
Développeur chez Linkedin
Congédié en Mai 2016 avec le reste de l'équipe IT pour ne jamais avoir remarqué un piratage datant de 2011...
Développeuse chez VTech
Congédiée en Décembre 2015 après avoir mis en danger des milliers d'enfants.
Parce que c'est la loi...
CNIL,
Code Pénal,
Code du travail,
Tout ça, tout ça...
Les attaques sont aujourd'hui automatisées
Une entreprise met en moyenne 200 jours à détecter une attaque
Sans compter le temps de "réparation"
Attaques de type: Advanced Persistent Threat (APT)
Les pirates ne font pas que révéler des informations confidentielles
Utilisation des ressources (Espace disque, RAM, bande passante)
Chantage (DOS, Cryptolocker, Vol de données)
Espionnage (Concurence, Etat)
Défi technique
La sécurité doit être adaptée au besoin de l'entreprise
Pour ce faire, il est possible d'effectuer un diagnostic de maturité
On compare la sécurité actuelle au besoin réel de l'entreprise
On peut se sécuriser à minima via l'utilisation de solutions Open Source
CIA ça vous parle ? Parce qu'un logiciel doit couvrir cet acronyme
Confidentiality
Integrity
Availability
Aussi appelé DIC en français (si ça peut en aider certains...)
Le but de la sécurité c'est:
Le but de la sécurité ce n'est pas:
Une guerre asymétrique...
ce qu'il ne faut pas faire
On développe, et on sécurise après
On fait un audit ou un test d'intrusion une fois le produit terminé
Du coup, on prend du retard si ça ne va pas.
Du coup on paye plus cher que prévu
Parfois on annule le projet
On déploie chez le client puis on s'en va
Le but:
Méthode EBIOS
ou
Méthode Mehari
Le but est d'anticiper les risques pesant sur un projet
Un risque c'est la combinaison d'une probabilité et d'un impact
# | Vulnerabilités |
---|---|
1 | Injections (SQL, LDAP, ...) |
2 | Authentification faible / Gestion incorrecte des sessions |
3 | Cross Site Scripting (XSS) |
4 | Réference directe non sécurisée à un objet |
5 | Configurations non sécurisées |
6 | Exposition de données sensibles |
7 | Mauvaise gestion des accès au niveau fonctionnel |
8 | Cross Site Request Forgery (CSRF) |
9 | Librairies tierces vulnérables |
10 | Redirections et renvois non validés |