Communiqué de presse AppSec Forum 2011
0 j'aime•895 vues
68% des applications externes et 54% des applications internes présentent des failles de sécurité critiques. Un cycle de conférences et de formations, organisé par l'APSEL, vise à sensibiliser les décideurs et former les développeurs sur les risques liés aux failles de sécurité, en particulier pour les applications web. Cet événement, qui se tiendra les 26 et 27 octobre 2011, rassemblera des experts pour discuter des protections possibles contre les menaces croissantes.
Communiqué de presse AppSec Forum 2011
- 1. 68% des applications développées à l'externe et 54% des applications développées à l'interne présentent des failles de sécurité considérées comme critiques par les organisations Les attaques de sécurité logicielles sont en pleine expansion(http:// blog.alpict.com/2011/08/08/cyberattaques-de-grande-envergure-notamment- en-suisse/). En janvier, le site e-banking de la BCV devenait inaccessible 4 jours durant, suite à une attaque de sécurité (http://www.lematin.ch/actu/ suisse/le-site-e-banking-de-la-bcv-est-en-panne-88274. Dans le même temps, la bourse européenne des certificats d'émissions de carbone se faisait pirater suite à une faille de sécurité logicielle: 28 millions d'euros volés(http://commedansdubeurre.ch/? p=201101211803040). En avril, Sony se faisait voler les données de 77 millions de personnes en raison d’une attaque de sécurité et fermait son service de jeu en ligne durant plusieurs jours (http://www.france24.com/fr/20110427-vol- identites-reseau-playstation-psn-network-piratage-jeux-video-carte- credits-informations-personnelles) Présents dans tout, les logiciels sont devenus la base de notre quotidien, donc une source de risque exponentiellement préoccupante. Le développement des réseaux sans fils, des logiciels embarqués (équipant voitures, GPS et bientôt frigidaires et domotique) et des applications mobiles y sont pour beaucoup. Plus rien ne se fait sans eux car nous sommes devenus dépendants de leur fonctionnement et de leur disponibilité. Et avec nos smartphones, toujours plus puissants et contenant toujours plus d’informations, le risque est énorme. Pourtant les Best practices, les mesures et les outils pour nous préserver sont là! En règle générale, les vulnérabilités de sécurité au sein des applications Web sont liées à des erreurs de programmation. Un nombre important d’attaques exploitent ces vulnérabilités, au niveau de la syntaxe ou de la sémantique. Hors nombre de ces vulnérabilités pourraient être découvertes ou évitées par l'application de contrôles ou de best practices de manière systématique. Un cycle de conférences et des formations pour sensibiliser les décideurs et former les développeurs les 26 & 27 octobre 2011 C’est la raison pour laquelle l’APSEL (Association pour la Promotion de la Sécurité Logicielle en suisse) organise un cycle de conférences et des formations sans précédent sur le thème de la sécurité à destination des développeurs mais aussi et surtout des chefs de projets ou des mandataires pour que la sécurité et ses risques ne soit plus sous- estimés. Il s’agit de la plus importante et première conférence francophone de ce genre. Elle rassemblera quelques uns des meilleurs experts internationaux et devrait rassembler plus de 150 personnes.
- 2. Les thèmes: Parmi les divers sujets abordés, les experts parleront des risques auxquels les organisations s’exposent mais également de comment s’en protéger. Les 3 risques majeurs sont: - irrégularité réglementaire (perte de données personnelles) - dommage à la réputation (diffusion de l'incident) - perte financière directe (interruption des services, fraude ou détournement de ces derniers) et frais engendrés par le traitement interne, public et juridique de l'incident Très accessible: Le cycle de conférences est entièrement gratuit mais l’inscription est obligatoire. Certaines formations sont gratuites pour les étudiants. Le niveau des conférences et des formations permet aux novices comme aux experts de s’y retrouver. La cible des participants: Pour les développeurs web, iPhone, Android, responsables de développement dans une entreprise, chefs de projet ou ceux qui envisagent l’achat d’un nouvel ERP, d’applications dans «le cloud», la mise en place de projet NFC, RFID, Authentification Forte... Contacts media Pour les questions techniques Sylvain Maret Co-organisateur / Fondateur Email: [email protected] Portable: 079.445.84.49 Pour les interviews ou demandes d’accès Kenza Majbar Co-organisatrice / Responsable de la communication Email: [email protected] Portable: 076.423.76.60
- 3. BIO DES ORGANISATEUS Antonio Fontes Ingénieur en communication web de formation, Antonio Fontes possède plus de 10 ans d’expérience dans les entreprises intégrant le web dans leur stratégie. Hébergeur puis concepteur-développeur d’applications web, il a rapidement développé un intérêt particulier pour la sécurité de l’information. En 2005, il est engagé en qualité d’auditeur en sécurité (ethical hacking) auprès de la société ilion Security à Genève, dans laquelle il contribuera notamment au développement des produits et services d’audit et tests d’intrusion sur la couche logicielle. Il obtient en parallèle son diplôme d’études postgrades en intelligence économique et veille stratégique avec une spécialisation dans la veille concurrentielle et la protection des données personnelles. En janvier 2008, il rejoint New Access, éditeur de logiciels bancaires à Genève. Il prend en charge le pilotage des projets de sécurité et protection des données sur toute la gamme de produits de la société. En 2010, il fonde L7 Sécurité, société à travers laquelle il accompagne actuellement ses clients dans leur gestion du risque lors de la conception, du développement et de l’acquisition d’applications. Parallèlement, il est membre du Comité de la section OWASP Suisse, en charge de l’activité suisse romande, et contribue à divers projets de documentation tels que le référentiel “Top 25 most dangerous programing errors” (CWE/SANS). --- Sylvain Maret Ingénieur en informatique de formation, Sylvain Maret a rejoint la Télévision Suisse Romande en 1991 où il s’occupe successivement de la mise en place de la première architecture Internet et de la sécurité (firewall, dns, web, email, unix, etc.)pour le groupe SSR-SRG et la TSR. En 1996, alors Ingénieur Sécurité pour Dimension Data(ex Datelec), il mène des missions de consultant sécurité, ethical hacker*, puis devient formateur PKI & Crypto et instructeur Checkpoint CCSI (1997-2000). En 1997, il construit la première génération de Reverse Proxy SSL sur Apache(Web Application Firewall) supportant l’authentification forte Péri-métrique(SecurID, Radius, PKI/OCSP, WebSSO, mod_proxy, HSM): un produit appelé“Secure Gate” destiné au marché bancaire suisse. En 2001, Sylvain fonde e-Xpert Solutions S.A. à Genève et s’oriente vers les nouveaux développements technologiques: Authentification forte, Sécurité des application et des services Web, PKI, Biométrie, Identity Management, Match-on-Card et Encryption. En 2009, il créé MARET Consulting dont le but unique est d’aider les entreprises dans la mise en oeuvre de stratégies d’atténuation de risques. Son domaine de spécialité est la sécurité des identités numériques. Sylvain écrit pour diverses publications techniques. Il donne des conférences à l’Université de Genève, Clusis, OSSIR, Security Summit Italie,Confoo, Swiss Cyber Storm et est un expert de pointe pour l’Université des Sciences appliquées d’Yverdon. Egalement “Technology Evangelist” pour OpenID Suisse, il assure la promotion de l’Authentication forte. Il publie régulièrement des billets sur le Blog la Citadelle Électronique.