SPbD @ IBM France Lab par Patrick MERLIN
0 j'aime736 vues
Le document présente l'évaluation et la mise en œuvre des principes de sécurité et de confidentialité dès la conception (SPBD) dans le développement d'un projet informatique, en se concentrant sur des pratiques telles que la minimisation des attaques et la défense en profondeur. Il décrit des processus comme le scan de code, les tests de pénétration et la gestion des vulnérabilités, tout en soulignant l'importance de la conformité avec le RGPD. La conclusion suggère de définir des politiques SPBD claires et de former les développeurs dès le début du cycle de développement pour intégrer la sécurité efficacement.
SPbD @ IBM France Lab par Patrick MERLIN
- 1. © 2018 IBM Corporation REX Security & Privacy by Design IBM France Lab Patrick MERLIN October 8th, 2019
- 2. © 2019 IBM Corporation REX Security & Privacy by Design 2
- 3. © 2019 IBM Corporation SPbD Parcours De RGPD à SPbD Evaluation Security Privacy by Design Threat Model Code Scan Security Tests Penetration Tests Vulnerability Management REX Conclusion 3
- 4. © 2019 IBM Corporation Parcours 4 KUBERNETES OPERATORS //@RO14ND Membre du France Lab (R&D) dans l’équipe « Optimization Decision Management » rattachée à Digital Business Automation Avant IBM: Réseau / Sécurité Début chez IBM : Compliance avec les normes de Sécurité IBM Maintenant: DevSecOps Audit ISO 27001 Réseau / Sécurité dans le cloud ;-) Mise en place SPbD Déploiement continue d’ODM « Dockerisé » dans le cloud sur Kubernetes
- 5. © 2019 IBM Corporation De RGPD à SPbD 5 KUBERNETES OPERATORS //@RO14ND Intégrer les principes du RGPD dès la conception d'un projet informatique pour respecter la vie privée des utilisateurs Les principes fondamentaux : • minimiser la surface d’attaque • le moindre privilège • la défense en profondeur - mesures proactives et non réactives • Assurer la protection implicite de la vie privée • sécurité de bout en bout, pendant toute la période de conservation
- 6. © 2019 IBM Corporation Evaluation Security Privacy by Design 6 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
- 7. © 2019 IBM Corporation Evaluation Security Privacy by Design 7 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
- 8. © 2019 IBM Corporation Threat Model 8 KUBERNETES OPERATORS //@RO14ND Inventaire des composants Acteurs Co-location ? (multi/mono tenant) Schéma réseau Liste des processus avec les privilèges d’exécution Liste des protocoles, ports, flot de données par processus Liste des 3rd party libraries Qui discute avec qui, comment… Stockage: Base de donnée, Logs, backup Stockage des données clients de manière sécurisée -> chiffrement au repos & en transit Stockage des clés / certificats / API-Key -> Vault Top 10 OWASP checkbox (sanitization …) ….
- 9. © 2019 IBM Corporation Evaluation Security Privacy by Design 9 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
- 10. © 2019 IBM Corporation Code Scan 10 KUBERNETES OPERATORS //@RO14ND • Pair programming / Code Review • Static Application Security Testing WhiteSource (https://www.whitesourcesoftware.com/), AppScan (https://www.hcltech.com/software/appscan-standard) • Dynamic Application Security Testing aka Web Application Scanning Appscan • Interactive Application Security Testing : combinaison des 2 Contrast (https://www.contrastsecurity.com) Qui scanne les 3rd party libraries ?? Beaucoup de faux-positif • Conseils VS actions • Vulnérabilité VS code à risque
- 11. © 2019 IBM Corporation Evaluation Security Privacy by Design 11 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
- 12. © 2019 IBM Corporation Security Tests 12 KUBERNETES OPERATORS //@RO14ND Tests automatiques - Accès en fonction des droits - Test des corrections de Vulnérabilités - Test des versions des composants -« Detect secrets » sur les repositories de source code pour ne plus commiter des secrets (https://github.com/Yelp/detect-secrets) -TLS Version & Ciphers avec SSL Cert Scan (https://www.ssllabs.com/) -…
- 13. © 2019 IBM Corporation Evaluation Security Privacy by Design 13 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
- 14. © 2019 IBM Corporation Pénétration Tests 14 KUBERNETES OPERATORS //@RO14ND • Planifier ses pentests à l’avance ! • Changer de fournisseur • Pentest Interne et Externe dès la RC0 • Correction des défects High avant la release Politique SPbD: Puis je livrer s’il reste plusieurs défect Med ?
- 15. © 2019 IBM Corporation Evaluation Security Privacy by Design 15 KUBERNETES OPERATORS //@RO14ND Code Scan Threat Model Penetration Test Security Tests Vulnerability Management
- 16. © 2019 IBM Corporation Vulnerability Management 16 KUBERNETES OPERATORS //@RO14ND • Scanner de vulnérabilités type Nessus / OpenVAS • Détecter / Remédier • Veille Sécurité (Mailing List) • Alertes CERT / PSIRT (https://www.cert.ssi.gouv.fr/) • Outil de suivi des vulnérabilités (https://www.saucs.com/) • OWASP Dependency Check (https://www.owasp.org/index.php/OWASP_Dependency_Check)
- 17. © 2019 IBM Corporation REX 17 KUBERNETES OPERATORS //@RO14ND ODM on Cloud : Vieux monolithe de 20 ans Threat model: stabilisé Code scan: remontait au début beaucoup d’alertes Pentest: moins d’évolution du produit … moins intéressant VM: avec focus important sur les vieilles bibliothèques Release Sécurité Decision Composer: Nouveau projet de modélisation de règles Threat model: bouge Code scan: ne remonte que peu d’alertes car géré dès le début Pentest: intéressant VM: dernière version des bibliothèques Release : Beaucoup de nouveautés du produit par rapport à la sécurité
- 18. © 2019 IBM Corporation Conclusion 18 KUBERNETES OPERATORS //@RO14ND • Définir une politique SPbD • Des documents uniformisés présentant chaque application • Ne pas gérer la sécurité juste avant la livraison • Définir des objectifs atteignables • Attention aux dépendances ! • Commencer le code scan le plus tôt possible • Du travail au début, beaucoup moins par la suite. • Plan Do Check Act • Revue SPbD complète à chaque nouvelle version majeure • Former les développeur à la sécurité
- 19. © 2019 IBM Corporation Q/A 19 Thank You