Talk d’ouverture inspirant et rafraichissant

Comment qu'on fait

L'Objectif :

  • Un talk d'actualité (mais pas trop)
  • Qui parle technique (mais pas trop)
  • Avec des GIF trop cool (mais pas trop)
  • Un talk qui troll les devs (mais pas trop)
  • Un discours printanier (mais pas trop)
  • Une conférence qui résout la faim dans le monde (peut-être)

Talk d’ouverture inspirant et rafraichissant

Et si on revoyait les bases ?

L'Objectif :

  • On parle pas technique (mais un peu quand même)
  • On discutera bonnes pratiques
  • On laissera du temps pour les questions
  • Avec des GIF cools (quand même)
  • Un talk qui troll les devs (parce que)
  • Une conférence qui résout la faim dans le monde (peut-être)

Yoann Ono Dit Biot

Responsable équipe Pentest

Twitter @y0no
Mastodon @y0no
https://y0no.fr

L'humain première source de compromission ?

L'humain première source de compromission ? OUI

L'humain est chiant à gérer :

  • Il peut être imprévisible
  • Il peut être têtu
  • Il peut être malveillant
  • Il n'est pas scriptable

Du coup on doit gèrer pour lui.

Est-ce qu'il est déjà compromis ?

Son mot de passe est faible ?

  • Le post-it
  • Gestionnaires de mot de passe
    • Dashlane
    • 1Password
    • Lastpass
    • Bitwarden
    • Keepass

Son mot de passe est faible ? (bis)

  • Double authentification
    • Token USB (U2F)
    • Carte à puce
    • One Time Password
    • SMS

Il navigue n'importe comment ?

  • Antivirus (oui oui ça sert)
  • Mise à jour OS et apps
  • Extensions navigateur
    • µBlock, Ghostery
    • Mot de passe dans le navigateur

Il n'est pas formé ?

  • Sensibilisation
  • Formations
  • Exercices
    • Campagnes de phishing
    • Test Social Engineering

Si c'est un humain ET qu'il est développeur ?

Le TOP 10 OWASP

1.  Injection
2.  Authentification de mauvaise qualité
3.  Exposition de données sensibles
4.  XML External Entities
5.  Violation de contrôle d'accès
6.  Mauvaise configuration Sécurité
7.  Cross-Site Scripting (XSS)
8.  Désérialisation non sécurisée
9.  Utilisation de composants vulnérables
10. Journalisation & surveillance insuffisantes

Planning

  • Stratégie
  • Définition des rôles
  • Processus
  • Budget

Analyse

  • Concurrence
  • Dépendances
  • PMV
  • Vision du projet

Design

  • Faisabilité
  • UI / UX
  • Structure BDD
  • Structure du code

Implémentation

  • Développement

Test & Intégration

  • Tests unitaires
  • Bug tracking
  • Tests fonctionnels

Maintenance

  • Mise à jour
  • Résolution de ticket

Planning

  • Gouvernance de la sécurité
    • Qui fait quoi ?
    • Comment ?
    • Quand ?

Analyse

  • Contrainte de sécurité
  • Analyse de risque

Design

  • Identifier les contraintes métier
  • Appliquer des règles de conception sécurisée
  • Connaitre sa surface d'attaque

Implémentation

  • Bonnes pratiques de codage
  • Analyse statique du code
  • Relecture de code
  • Utilisation de framework

Test & Intégration

  • Analyse dynamique
  • Fuzzing
  • Revue de la surface d'attaque
  • Test d'intrusion

Livraison

  • Documentation du déploiement
  • Vérification du déploiement
  • Plan de réponse à incident
  • Politique d'audit

Maintenance

  • Surveillance de sécurité
  • Réalisation d'audit
  • Mise à jour régulière
  • Bug Bounty

Apprentissage

  • Sensibilisation
  • Formation
  • Exercice

C'est documenté quelque part ?

C'est documenté quelque part ? OUI

Microsoft SDL

  • Créé en 2002
  • A pour but de simplifier l'adoption de SDL

width:1300px

BSIMM

  • Building Security in Maturity Model
  • Créé en 2008
  • Actuellement en version 10

SAMM

  • Software Assurance Maturity
  • Créé en 2008
  • Actuellement en version 1.5
  • Cédé à l'OWASP
  • S'intègre au SDLC
  • 12 pratiques de sécurité
    • 3 pratiques dans 4 catégories
    • 3 niveau par pratiques
  • https://owaspsamm.org

Il y a des outils pour ça ?

Il y a des outils pour ça ? OUI

Implémentation

  • Convention de nommage
    • pylint
    • phplint
    • prettier
    • rubocop
    • golint
  • OWASP Top10 (Encore)

Test & Intégration

Maintenance

  • Scanner de vulnérabilités
    • OpenVAS
    • Nessus
    • NeXpose
    • Qualys
  • Bug Bounty
    • YesWeHack
    • HackerOne
    • Yogosha

Formation

Conclusion

[X] On parle pas technique (mais un peu quand même)
[X] On discutera bonnes pratiques
[ ] On laissera du temps pour les questions <= j'espère
[X] Avec des GIF cools (quand même)
[X] Un talk qui troll les devs (parce que)
[ ] Une conférence qui résout la faim dans le monde <= Laissé en TP pour vous

Des questions ?

Conclusion

[X] On parle pas technique (mais un peu quand même)
[X] On discutera bonnes pratiques
[X] On laissera du temps pour les questions <= YES
[X] Avec des GIF cools (quand même)
[X] Un talk qui troll les devs (parce que)
[ ] Une conférence qui résout la faim dans le monde <= Laissé en TP pour vous