De quoi s'agit-il ?
Quel en est l'enjeu ?
Emilien Kia
CLUSIR - antenne de Grenoble / UPMF-IUT2
8 juin 2009
La scurit applicative
La scurit applicative
Introduction :
Qu'est-ce que la scurit applicative ?
Pourquoi la mettre en place ?
La scurit de l'information
L'intgrit du S.I.
La confidentialit du S.I.
Consquences en cas de :
La scurit applicative
Les failles
Les attaques
Leurs consquences
Sur l'entreprise
Outils/Langages : BufferOverflow
Rupture de la traabilit/imputabilit/preuve
La scurit applicative
Phase de spcification
Phase de conception
Phase de dveloppement
Phase de production
Disponibilit
Intgrit
Confidentialit
Traabilit
Suivi/SAV/MCO (patchs, SP )
La scurit applicative
La prvention globale
La prvention globale
La prvention globale
Analogie de l'entreprise :
Services (production, compta, achats,
commerciaux, expditions)
Locaux (pices, tages, btiments, sites, pays...)
Personnels (dirigeants, gestionnaires, techniques,
commerciaux... employs, dtachs, intrimaires,
stagiaires...)
Prestataires
Clients
La scurit applicative
Conclusion
CLUSIR Rhone-Alpes
Antenne de Grenoble
Sbastien BOURDON
sebastien.bourdon@iut2.upmf-grenoble.fr
Matre de confrence en informatique (IUT 2 Grenoble)
Consultant en Scurit des systmes dinformation (SBN Consultants)
Connaissance de
lentreprise / la scurit
Exprience
Encadrement
Formation
Recrutement
Assistance technique
Acquisition dexpertise
Existant + Cible
Moyens dy parvenir
Resources / ROI
Entreprise
Utilisatrice
Scurit
Besoins
trs diffrents
de formation
Prestataire de service
TPE / PE
ME
GE
Prestataire
Besoin dexpertise
Gnie logiciel
Mode dacquisition :
1) Par lexprience
2) Par acquisition de connaissance
- Encadrement
- Veille / autoformation
- Formation externe
3) Par acquisistion de ressource
- Recrutement externe
- Assistance technique
2nde
(1)
Concepteur dveloppeur
(2)
(3)
(4)
Chef de projet
Testeur appplicatif
Exploitant (maintenance)
Dveloppement
scuris
(5)
Coeur de mtier
Administrateur systmes
Windows, Unix, VM
Administrateur rseaux
WAN, (W)LAN, Filtrage TCP/IP
Administrateur applicatif
Appli. sp., ERP, middleware...
Approche scurise
Controle des standards
applicatifs et systmes
Contrle dIntgrit
/ Scurisation des flux
Gestion
dvnnements
SI de la Scurit
Standards
Flux
Acces
Dveloppement informatique
Testeur
Administration rseaux & systmes
Administrateur applicatif (ERP, SGBD, ...)
Administrateur du SI (domaine, utilisateurs, services...)
Concepteur / Intgrateur de systmes (SI de la scurit)
Gestionnaire de Parc / Support utilisateur
Chef de projet (dploiement de logiciels / infrastructures)
Auditeur informatique (analyse de risque, schma directeur...)
Qualiticien (Iso, mthodes, domaines et best practices...)
Dveloppement logiciel
Gnie logiciel
Mthodologie de
dveloppement logiciel
Administration rseau
Administration applicative
(Dveloppement / framework)
Administration de la scurit
Solutions propritaires
Administration (rseau / systmes / applications)
Solutions intgres de scurit (IAM / SSO)
Environnement de la scurit
Sensibilisation par scnarisation
Vulnrabilit / Menaces & Risques
Illustration technique des concepts
Environnement lgal, Cybercriminalit
et Intelligence conomique
Mthode de veille applique la SSI et
communication aux rseaux dexperts
Mise en place dune charte utilisateurs
Introduction aux mthodologies / normes
Audit de scurit
Outils/mthodes de tests de pntration
Prvention et raction en cas dattaque