ISO IEC 27034 – Sécurité des applications par Luc Poulin

ISO IEC 27034 – Sécurité des applications par Luc Poulin

PRÉSENTATEUR PRINCIPAL: Luc Poulin

WEBCAST: http://www.youtube.com/watch?v=AAHG_oB9iEU

RÉSUMÉ: Cette nouvelle norme propose aux organisations de toutes tailles un modèle pour faciliter l’intégration de la sécurité tout au long du cycle de vie des applications. Ce modèle comprend des objets et des processus qui complètent ceux déjà en place dans l’organisation et s’insèrent dans les pratiques courantes de gouvernance, de gestion et d’opération, telles que le SGSI proposé par la norme ISO/CEI 27001, les processus ITIL et ISO/CEI 12207, les pratiques de sécurité OWASP et PCI-DSS, etc. La norme 27034 est destinée aux gestionnaires, équipes de réalisation et d’exploitation, clients et fournisseurs d’applications et auditeurs qui doivent concevoir, planifier, implanter, gérer et vérifier la sécurité des applications. La conformité à cette norme résulte en la diminution du risque par réduction des vulnérabilités des applications.

BIO: M. Poulin compte plus de trente années d'expérience en informatique, durant lesquelles il a acquis une solide expertise en technologie des systèmes et en génie logiciel. Il se spécialise en gestion, implantation et évaluation de la sécurité globale de systèmes informatiques, à l'intérieur d'environnements de développement et d’opération d'applications. Il est un membre du groupe de travail canadien WG D – Security Controls and Services au sous-comité sur la sécurité de l’information (SC 27) du comité conjoint ISO JTC 1, et corédacteur de la norme ISO/IEC 27034 – Sécurité des applications.

https://www.owasp.org/index.php/Montréal

09905cce02942fb076f958f4b69fd8f6?s=128

OWASP Montréal

November 11, 2013
Tweet

Transcript

  1. – Luc Poulin La sécurité des applications c’est plus que

    la sécurité dans le développement d’applications Présenté par Luc Poulin Dans le cadre du projet : Conversion des Top 10 d’OWASP en CSA de la norme ISO/IEC 27034 – Application Security
  2. La sécurité des applications Votre conférencier Luc Poulin M.Sc, CISSP-ISSMP,

    CSSLP, CISA, CISM • Éditeur principal de la norme ISO/IEC 27034 – Application Security • Plus de trente années d'expérience dans le domaine des TI – expertise en technologie des systèmes et en génie logiciel; – a déjà occupé les postes de responsable réseaux, de développeur, d’analyste, d’architecte, d’auditeur, de chef de la sécurité, etc. • Spécialisé – dans la gestion, l’implantation et l’évaluation de la sécurité globale de systèmes d’information, à l'intérieur d'environnements de développement et d’opération d'applications; – réalise de la recherche dans le domaine de la sécurité des applications. • Membre – du sous-comité 7 d’ISO sur Ingénierie du logiciel et des systèmes; – du sous-comité 27 d’ISO sur les techniques de sécurité des technologies de l'information; – d’OWASP, de l’ISACA, de l’(ISC)2, etc. 2
  3. La sécurité des applications Objectif de cette présentation • Nouveau

    projet d’OWASP – Conversion des Top 10 d’OWASP en CSA de la norme ISO/IEC 27034 – Application Security • Deux présentations de démarrage – Aujourd’hui (11 novembre 2013) • Présenter la norme ISO/IEC 27034 • Partager une vision commune, initier des discussions – Le 2 décembre 2013 • Identifier les composants et la stratégie à suivre • Démarrer le projet 3
  4. La sécurité des applications Quelques définitions • Aujourd’hui, tout le

    monde sait – qu’une application complètement sécuritaire, ça n’existe pas, … – mais tout le monde veux une application qui est « assez » sécuritaire. • Qu’est-ce qu’une application qui est « assez » sécuritaire? 4
  5. 1. Buts de la sécurité dans les applications 2. Contextes

    de gestion de la sécurité de l’information 3. Problématiques et besoins des intervenants 4. Survol de la norme ISO/IEC 27034 – Application Security 5. Conclusion
  6. Buts de la sécurité des applications Protéger l’information des applications

    • Protection des informations sensibles impliqués par l’utilisation de l’application – la confidentialité – l’intégrité – la disponibilité – l’authentification et la non-répudiation 6
  7. Buts de la sécurité des applications Protéger l’information des applications

    • En mettant en place des contrôles permettant : – la prévention • Validation des données entrées et transmises • Refus des valeurs par défaut – la défense en profondeur (sécurité multi-niveaux) • Architecture, design et développement en fonction des besoins de sécurité • Appliquer le principe : attribuer seulement les privilèges nécessaires – la surveillance – la traçabilité – etc. 7
  8. 1. Buts de la sécurité dans les applications 2. Contextes

    de gestion de la sécurité de l’information 3. Problématiques et besoins des intervenants 4. Survol de la norme ISO/IEC 27034 – Application Security 5. Conclusion 8
  9. Contextes de gestion de la SI L’environnement de l’application 9

    9 1..* Organisation 1..* Besoin d’affaires *..* Processus d’affaires Actif informationnel 1..* Contexte technologique Confiance 1..* Personnes Processus Technologies Informations Application Contexte d’affaires Contexte juridique SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE SENSIBLE
  10. Personnes Processus Technologies Informations Application SENSIBLE SENSIBLE SENSIBLE SENSIBLE Besoin

    d’affaires Contexte technologique Contexte juridique Contexte d’affaires Spécifications Contextes de gestion de la SI L’environnement de l’application 10
  11. 1. Buts de la sécurité dans les applications 2. Contextes

    de gestion de la sécurité de l’information 3. Problématiques et besoins des intervenants 4. Survol de la norme ISO/IEC 27034 – Application Security 5. Conclusion 11
  12. Vérification et contrôle (Conformité) Gestion de la sécurité de l’information

    (Gouvernance) Applications et systèmes d’information (Développement et évolution) Infrastructure technologique (Acquisition, maintenance et contingence) Problématiques 4 secteurs d’interventions en SI La sécurité de l’information d’une application nécessite la collaboration de personnes provenant de 4 secteurs d’intervention différents 12 Informations sensibles
  13. Problématiques pour • Les gestionnaires – Dépassement de coûts et

    d’échéanciers – Valeur ajoutée par la sécurité difficile à démontrer • Les équipes d’infrastructure – L’environnement technologique est de plus en plus complexe – Peu de contrôle sur les applications acquises, gérées par des tierces parties ou hébergées • Les auditeurs / vérificateurs – Difficulté à définir l’application et à délimiter la portée de l’évaluation – Absence de processus d’évaluation adéquat 13
  14. Problématiques pour les développeurs • Les développeurs – Peu d’activités

    de sécurité dans les méthodologies de développement – Peu de contrôles de sécurité (bonnes pratiques) – Peu de tests de sécurité – Absence de critères formels et vérifiables – Absence d’un processus répétable pour appliquer la sécurité dans un projet – La sécurité d’une application dépend de la compétence de chaque équipe – Peu de raisons pour améliorer tout cela! 14
  15. Besoins des intervenants gestionnaires • Objectifs – application (assez) sécuritaire;

    – éviter des coûts trop élevés. • Besoins – gérer les coûts vs les impacts des risques de sécurité; – spécifier ses exigences de sécurité – recevoir les preuves que l’application a atteint et maintient le niveau de confiance ciblé; – autorise le niveau de confiance adéquat en fonction du contexte de l’organisation; – minimiser les coûts des activités et de la vérification de la sécurité. 15
  16. Besoins des intervenants équipes de développement et d’infrastructure • Objectifs

    – inclure la sécurité dans l’application • Besoins – connaître pourquoi, quand et comment les contrôles de sécurité de l’application doivent être implémentés; – minimiser l’impact de la sécurité dans leur travail; – répondre aux besoins fonctionnels et de sécurité; – avoir des outils et des bonnes pratiques; – faciliter la révision par les pairs. 16
  17. Besoins des intervenants vérificateurs et auditeurs • Objectifs – faire

    une vérification de la sécurité d’une application. • Besoins – connaître la portée et le processus de vérification des contrôles de sécurité de l’application; – rendre les résultats de l’audit répétables; – avoir une liste de contrôles et de mesures permettant de vérifier le niveau de confiance de l’application; – normaliser la vérification de la sécurité d’une application. 17
  18. Besoins des intervenants propriétaire, détenteurs et utilisateurs • Objectifs –

    avoir confiance en l’application. • Besoins – avoir confiance qu’il est sécuritaire d’utiliser ou de déployer cette application; – avoir confiance que l’application va produire des résultats fiables, constants, rapidement; – avoir confiance aux contrôles de sécurité qui ont été implémentés et dont quelqu’un a bien vérifié le fonctionnement tel qu’attendu. 18
  19. 1. Buts de la sécurité dans les applications 2. Contextes

    de gestion de la sécurité de l’information 3. Problématiques et besoins des intervenants 4. Survol de la norme ISO/IEC 27034 – Application Security 5. Conclusion 19
  20. Survol de la norme ISO/IEC 27034 Structure • 27034-1: Survol

    et concepts • 27034-2: Cadre Normatif de l’Organisation – Processus de gestion de la sécurité de l’ensemble des applications de l’organisation • 27034-3: Processus de gestion de la sécurité d’une application • 27034-4: Validation de la sécurité des applications – Validation de l’organisation – Validation d’une application – Validation des qualification d’une personne • 27034-5: Protocoles et structure de données des contrôles de sécurité des applications • 27034-6: Pratique de sécurité pour des cas spécifiques d’applications 20
  21. Survol de la norme ISO/IEC 27034 Objectifs • Propose un

    modèle pour faciliter l’intégration de la sécurité dans le cycle de vie des applications – Concepts, principes, cadres, composants et processus • S’applique autant au développement interne qu’à l’impartition ou l’acquisition d’applications • Propose une approche qui respecte et s’adapte aux processus et méthodologies de l’organisation • Ne propose pas de contrôles ou de règles de développement 21
  22. Survol de la norme ISO/IEC 27034 Principes • La sécurité

    est une exigence • La sécurité d’une application dépend de son contexte d’utilisation • La sécurité d’une application doit pouvoir être démontrée • Il faut investir les ressources appropriées pour sécuriser une application 22
  23. Organisation Organisation Survol de la norme ISO/IEC 27034 Une nouvelle

    vue sur la sécurité 23 Logiciels Processus Information Personnes Infrastructure Application Application
  24. 24 Survol de la norme ISO/IEC 27034 Information impliquée dans

    l’utilisation d’une application
  25. Survol de la norme ISO/IEC 27034 Définitions • Application –

    Une application est un système TI qui supporte au moins un besoin d’affaires • Aide une organisation à automatiser un processus ou une fonction d’affaires. • Un processus inclus les personnes et la technologie. • Environnement d’opération cible – Correspond aux contextes technologique, d’affaires et juridique dans lequel fonctionnera l’application. 25
  26. Survol de la norme ISO/IEC 27034 Définitions • Niveau de

    confiance – Cible : Liste des contrôles de sécurité qui a été identifiée et approuvée par le propriétaire. – Actuel : Résultat de la vérification des contrôles de sécurité identifiés pour l’application. • Application sécuritaire 26 =
  27. 27 Survol de la norme ISO/IEC 27034 Modèle référence du

    CdV de la SA Modèle de référence du cycle de vie de la sécurité d’une application Archivage Transition Préparation Impartition Développement Fournir une application Destruction Acquisition Utilisation Gestion de l’infrastructure Mise à la retraite Gestion de l’infrastructure de l’application Gestion de l’infrastructure du projet d’approvisionnement Audit de l’application Audits de l’approvisionnement de l’application Audits de l’opération de l’application Couche Secteur d’intervention
  28. CSA Modèle référence du cycle de vie de la sécurité

    d’une application Vérification de la Mesure (qui, quand, quoi, comment , coût) Activité de sécurité (qui, quand, quoi, comment, coût) 28 Survol de la norme ISO/IEC 27034 Le contrôle de sécurité de l’application Spécifications de l’application, respect des lois et règlements, normes et bonnes pratiques (pourquoi) Exigence de sécurité
  29. Survol de la norme ISO/IEC 27034 Le contrôle de sécurité

    de l’application • C’est un mécanisme de réduction de risque • Approuvé et maintenu par l’organisation • Utilisé par les équipes de projet et d’opération • Utilisé par les équipes d’assurance-qualité et d’audit • Peut servir pour le développement interne ou comme critère d’acceptation / homologation • Vérifiable en tout temps • Décrit formellement dans un format et une structure normalisés 29
  30. CSA Paiement en ligne CSA CSA Survol de la norme

    ISO/IEC 27034 Le contrôle de sécurité de l’application • Les CSA peuvent être reliés en graphe 30
  31. 31 Survol de la norme ISO/IEC 27034 La libraire des

    CSA ▶ Liste tous les CSA de l’organisation ... 0 Librarie des CSA de l’organisation 1 3 2 9 10 Niveaux de confiance d’application utilisés par l’organisation CSA CSA CSA CSA Contexte d’affaires PCI-DSS Aéronautique APPROUV APPROUV APPROUV APPROUVÉ É É É
  32. Survol de la norme ISO/IEC 27034 La libraire des CSA

    • Similaire à un recueil de bonnes pratiques • Adaptée aux besoins spécifiques de l’organisation • Adaptée au contexte d’affaires, légal et technologique • Alimentée par les normes et standards, les bonnes pratiques du marché, l’expérience de l’organisation • Gérée et approuvée par l’organisation • Elle contient les CSA disponibles pour chaque exigence et chaque degré de confiance désiré • C’est un indice de tolérance au risque 32
  33. Survol de la norme ISO/IEC 27034 Le niveau de confiance

    • C’est le plan d’action de sécurité pour l’application – On le fait déjà: analyse de risque et plan d’action, mais c’est souvent improvisé et c’est toujours à recommencer • La norme standardise le processus dans l’organisation • Suite à l’analyse de risque, on choisit un plan d’action pré-approuvé et éprouvé • Gain d’efficacité et d’efficience majeur 33
  34. 34 Cadre normatif de l’organisation Survol de la norme ISO/IEC

    27034 Tout est conservé dans le CNO Modèle APPROUV APPROUV APPROUV APPROUVÉ É É É
  35. Survol de la norme ISO/IEC 27034 Les deux niveaux de

    processus • La norme repose sur des processus que l’organisation doit définir ou arrimer avec ses processus existants • Deux niveaux de processus: – Organisationnel: gestion du Cadre normatif organisationnel – Projet: utilisation du Cadre normatif organisationnel pour gérer la sécurité d’une application 35
  36. Niveau de l’application Niveau de l’organisation 36 Survol de la

    norme ISO/IEC 27034 Les deux niveaux de processus Processus de gestion Cadre Normatif de l’Organisation Cadre Normatif de l’Organisation Cadre Normatif de l’Application 2 Cadre Normatif de l’Application 2 Processus de gestion Cadre Normatif de l’Application 3 Cadre Normatif de l’Application 3 Processus de gestion Cadre Normatif de l’Application 1 Cadre Normatif de l’Application 1 Processus de gestion
  37. 37 Survol de la norme ISO/IEC 27034 La gestion de

    la SA Processus de gestion de l’organisation Processus de gestion de la sécurité d’une application Est requis pour Cadre normatif de l’organisation Produit Cadre normatif de l’application Produit les artéfacts du projets d’application et le CNA requis pour 4 Est requis pour Réaliser et opérer l’application
  38. 38 Survol de la norme ISO/IEC 27034 La vérification de

    la SA Cadre normatif de l’organisation Contexte d’affaires Contexte technologique Contextes de l’organisation Contexte juridique Dépôt des spécifications Environnement ou sera utilisée l’application Évaluation des risques de sécurité Aide à identifier Niveau de confiance cible pour l’application Identifie
  39. 1. Buts de la sécurité dans les applications 2. Contextes

    de gestion de la sécurité de l’information 3. Problématiques et besoins des intervenants 4. Survol de la norme ISO/IEC 27034 – Application Security 5. Conclusion 39
  40. None
  41. None
  42. None
  43. None
  44. None