ISO IEC 27034 – Sécurité des applications par Luc Poulin

Transcript

1. – Luc Poulin
   La sécurité des applications
   c’est plus que la sécurité dans le développement d’applications
   Présenté par Luc Poulin
   Dans le cadre du projet :
   Conversion des Top 10 d’OWASP en CSA
   de la norme ISO/IEC 27034 – Application Security
   

   View Slide

2. La sécurité des applications
   Votre conférencier
   Luc Poulin M.Sc, CISSP-ISSMP, CSSLP, CISA, CISM
   • Éditeur principal de la norme ISO/IEC 27034 – Application Security
   • Plus de trente années d'expérience dans le domaine des TI
   – expertise en technologie des systèmes et en génie logiciel;
   – a déjà occupé les postes de responsable réseaux, de développeur, d’analyste,
   d’architecte, d’auditeur, de chef de la sécurité, etc.
   • Spécialisé
   – dans la gestion, l’implantation et l’évaluation de la sécurité globale de systèmes
   d’information, à l'intérieur d'environnements de développement et d’opération
   d'applications;
   – réalise de la recherche dans le domaine de la sécurité des applications.
   • Membre
   – du sous-comité 7 d’ISO sur Ingénierie du logiciel et des systèmes;
   – du sous-comité 27 d’ISO sur les techniques de
   sécurité des technologies de l'information;
   – d’OWASP, de l’ISACA, de l’(ISC)2, etc.
   2
   

   View Slide

3. La sécurité des applications
   Objectif de cette présentation
   • Nouveau projet d’OWASP
   – Conversion des Top 10 d’OWASP en CSA
   de la norme ISO/IEC 27034 – Application Security
   • Deux présentations de démarrage
   – Aujourd’hui (11 novembre 2013)
   • Présenter la norme ISO/IEC 27034
   • Partager une vision commune, initier des discussions
   – Le 2 décembre 2013
   • Identifier les composants et la stratégie à suivre
   • Démarrer le projet
   3
   

   View Slide

4. La sécurité des applications
   Quelques définitions
   • Aujourd’hui, tout le monde sait
   – qu’une application complètement sécuritaire, ça
   n’existe pas, …
   – mais tout le monde veux une application qui est
   « assez » sécuritaire.
   • Qu’est-ce qu’une application qui est « assez »
   sécuritaire?
   4
   

   View Slide

5. 1. Buts de la sécurité dans les applications
   2. Contextes de gestion de la sécurité de
   l’information
   3. Problématiques et besoins des intervenants
   4. Survol de la norme
   ISO/IEC 27034 – Application Security
   5. Conclusion
   

   View Slide

6. Buts de la sécurité des applications
   Protéger l’information des
   applications
   • Protection des informations sensibles
   impliqués par l’utilisation de l’application
   – la confidentialité
   – l’intégrité
   – la disponibilité
   – l’authentification et la non-répudiation
   6
   

   View Slide

7. Buts de la sécurité des applications
   Protéger l’information des
   applications
   • En mettant en place des contrôles permettant :
   – la prévention
   • Validation des données entrées et transmises
   • Refus des valeurs par défaut
   – la défense en profondeur (sécurité multi-niveaux)
   • Architecture, design et développement en fonction des
   besoins de sécurité
   • Appliquer le principe : attribuer seulement les privilèges
   nécessaires
   – la surveillance
   – la traçabilité
   – etc.
   7
   

   View Slide

8. 1. Buts de la sécurité dans les applications
   2. Contextes de gestion de la sécurité de
   l’information
   3. Problématiques et besoins des intervenants
   4. Survol de la norme
   ISO/IEC 27034 – Application Security
   5. Conclusion
   8
   

   View Slide

9. Contextes de gestion de la SI
   L’environnement de
   l’application
   9 9
   1..*
   Organisation
   1..*
   Besoin d’affaires
   *..*
   Processus
   d’affaires
   Actif informationnel
   1..*
   Contexte technologique
   Confiance
   1..*
   Personnes
   Processus
   Technologies
   Informations
   Application
   Contexte d’affaires
   Contexte juridique
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   SENSIBLE
   

   View Slide

10. Personnes
    Processus
    Technologies
    Informations
    Application
    SENSIBLE
    SENSIBLE
    SENSIBLE
    SENSIBLE
    Besoin d’affaires
    Contexte technologique
    Contexte juridique Contexte d’affaires
    Spécifications
    Contextes de gestion de la SI
    L’environnement de
    l’application
    10
    

    View Slide

11. 1. Buts de la sécurité dans les applications
    2. Contextes de gestion de la sécurité de
    l’information
    3. Problématiques et besoins des intervenants
    4. Survol de la norme
    ISO/IEC 27034 – Application Security
    5. Conclusion
    11
    

    View Slide

12. Vérification
    et contrôle
    (Conformité)
    Gestion
    de la sécurité
    de l’information
    (Gouvernance)
    Applications
    et systèmes
    d’information
    (Développement
    et évolution)
    Infrastructure
    technologique
    (Acquisition,
    maintenance
    et contingence)
    Problématiques
    4 secteurs d’interventions en SI
    La sécurité de l’information
    d’une application
    nécessite la
    collaboration
    de personnes
    provenant
    de 4 secteurs
    d’intervention
    différents
    12
    Informations
    sensibles
    

    View Slide

13. Problématiques
    pour
    • Les gestionnaires
    – Dépassement de coûts et d’échéanciers
    – Valeur ajoutée par la sécurité difficile à démontrer
    • Les équipes d’infrastructure
    – L’environnement technologique est de plus en plus
    complexe
    – Peu de contrôle sur les applications acquises, gérées
    par des tierces parties ou hébergées
    • Les auditeurs / vérificateurs
    – Difficulté à définir l’application et à délimiter la portée
    de l’évaluation
    – Absence de processus d’évaluation adéquat
    13
    

    View Slide

14. Problématiques
    pour les développeurs
    • Les développeurs
    – Peu d’activités de sécurité dans les méthodologies de
    développement
    – Peu de contrôles de sécurité (bonnes pratiques)
    – Peu de tests de sécurité
    – Absence de critères formels et vérifiables
    – Absence d’un processus répétable pour appliquer la
    sécurité dans un projet
    – La sécurité d’une application dépend de la compétence
    de chaque équipe
    – Peu de raisons pour améliorer tout cela!
    14
    

    View Slide

15. Besoins des intervenants
    gestionnaires
    • Objectifs
    – application (assez) sécuritaire;
    – éviter des coûts trop élevés.
    • Besoins
    – gérer les coûts vs les impacts des risques de sécurité;
    – spécifier ses exigences de sécurité
    – recevoir les preuves que l’application a atteint et
    maintient le niveau de confiance ciblé;
    – autorise le niveau de confiance adéquat en fonction du
    contexte de l’organisation;
    – minimiser les coûts des activités et de la vérification de la
    sécurité.
    15
    

    View Slide

16. Besoins des intervenants
    équipes de développement
    et d’infrastructure
    • Objectifs
    – inclure la sécurité dans l’application
    • Besoins
    – connaître pourquoi, quand et comment les contrôles
    de sécurité de l’application doivent être implémentés;
    – minimiser l’impact de la sécurité dans leur travail;
    – répondre aux besoins fonctionnels et de sécurité;
    – avoir des outils et des bonnes pratiques;
    – faciliter la révision par les pairs.
    16
    

    View Slide

17. Besoins des intervenants
    vérificateurs et auditeurs
    • Objectifs
    – faire une vérification de la sécurité d’une application.
    • Besoins
    – connaître la portée et le processus de vérification des
    contrôles de sécurité de l’application;
    – rendre les résultats de l’audit répétables;
    – avoir une liste de contrôles et de mesures permettant
    de vérifier le niveau de confiance de l’application;
    – normaliser la vérification de la sécurité d’une
    application.
    17
    

    View Slide

18. Besoins des intervenants
    propriétaire, détenteurs
    et utilisateurs
    • Objectifs
    – avoir confiance en l’application.
    • Besoins
    – avoir confiance qu’il est sécuritaire d’utiliser
    ou de déployer cette application;
    – avoir confiance que l’application va produire des
    résultats fiables, constants, rapidement;
    – avoir confiance aux contrôles de sécurité qui ont
    été implémentés et dont quelqu’un a bien vérifié
    le fonctionnement tel qu’attendu.
    18
    

    View Slide

19. 1. Buts de la sécurité dans les applications
    2. Contextes de gestion de la sécurité de
    l’information
    3. Problématiques et besoins des intervenants
    4. Survol de la norme
    ISO/IEC 27034 – Application Security
    5. Conclusion
    19
    

    View Slide

20. Survol de la norme ISO/IEC 27034
    Structure
    • 27034-1: Survol et concepts
    • 27034-2: Cadre Normatif de l’Organisation
    – Processus de gestion de la sécurité de l’ensemble des
    applications de l’organisation
    • 27034-3: Processus de gestion de la sécurité d’une
    application
    • 27034-4: Validation de la sécurité des applications
    – Validation de l’organisation
    – Validation d’une application
    – Validation des qualification d’une personne
    • 27034-5: Protocoles et structure de données des
    contrôles de sécurité des applications
    • 27034-6: Pratique de sécurité pour des cas spécifiques
    d’applications
    20
    

    View Slide

21. Survol de la norme ISO/IEC 27034
    Objectifs
    • Propose un modèle pour faciliter l’intégration de
    la sécurité dans le cycle de vie des applications
    – Concepts, principes, cadres, composants et processus
    • S’applique autant au développement interne qu’à
    l’impartition ou l’acquisition d’applications
    • Propose une approche qui respecte et s’adapte
    aux processus et méthodologies de l’organisation
    • Ne propose pas de contrôles ou de règles de
    développement
    21
    

    View Slide

22. Survol de la norme ISO/IEC 27034
    Principes
    • La sécurité est une exigence
    • La sécurité d’une application dépend de son
    contexte d’utilisation
    • La sécurité d’une application doit pouvoir être
    démontrée
    • Il faut investir les ressources appropriées pour
    sécuriser une application
    22
    

    View Slide

23. Organisation
    Organisation
    Survol de la norme ISO/IEC 27034
    Une nouvelle vue sur la sécurité
    23
    Logiciels
    Processus
    Information
    Personnes
    Infrastructure
    Application
    Application
    

    View Slide

24. 24
    Survol de la norme ISO/IEC 27034
    Information impliquée dans
    l’utilisation d’une application
    

    View Slide

25. Survol de la norme ISO/IEC 27034
    Définitions
    • Application
    – Une application est un système TI qui supporte au
    moins un besoin d’affaires
    • Aide une organisation à automatiser un processus ou
    une fonction d’affaires.
    • Un processus inclus les personnes et la technologie.
    • Environnement d’opération cible
    – Correspond aux contextes technologique,
    d’affaires et juridique dans lequel fonctionnera
    l’application.
    25
    

    View Slide

26. Survol de la norme ISO/IEC 27034
    Définitions
    • Niveau de confiance
    – Cible : Liste des contrôles de sécurité qui a été
    identifiée et approuvée par le propriétaire.
    – Actuel : Résultat de la vérification des
    contrôles
    de sécurité identifiés pour l’application.
    • Application sécuritaire
    26
    =
    

    View Slide

27. 27
    Survol de la norme ISO/IEC 27034
    Modèle référence du CdV de la SA
    Modèle de référence du cycle de vie de la sécurité d’une application
    Archivage
    Transition
    Préparation
    Impartition
    Développement
    Fournir
    une application
    Destruction
    Acquisition
    Utilisation
    Gestion de
    l’infrastructure
    Mise à la retraite
    Gestion de l’infrastructure
    de l’application
    Gestion de l’infrastructure du projet
    d’approvisionnement
    Audit de
    l’application
    Audits de l’approvisionnement de l’application Audits de l’opération de l’application
    Couche
    Secteur
    d’intervention
    

    View Slide

28. CSA
    Modèle référence du cycle de vie
    de la sécurité d’une application
    Vérification de la Mesure
    (qui, quand, quoi, comment
    , coût)
    Activité de sécurité
    (qui, quand, quoi, comment, coût)
    28
    Survol de la norme ISO/IEC 27034
    Le contrôle de sécurité de
    l’application
    Spécifications de l’application,
    respect des lois et règlements,
    normes et bonnes pratiques
    (pourquoi)
    Exigence de sécurité
    

    View Slide

29. Survol de la norme ISO/IEC 27034
    Le contrôle de sécurité de
    l’application
    • C’est un mécanisme de réduction de risque
    • Approuvé et maintenu par l’organisation
    • Utilisé par les équipes de projet et d’opération
    • Utilisé par les équipes d’assurance-qualité et
    d’audit
    • Peut servir pour le développement interne ou
    comme critère d’acceptation / homologation
    • Vérifiable en tout temps
    • Décrit formellement dans un format et une
    structure normalisés
    29
    

    View Slide

30. CSA
    Paiement en ligne
    CSA
    CSA
    Survol de la norme ISO/IEC 27034
    Le contrôle de sécurité de
    l’application
    • Les CSA peuvent être
    reliés en graphe
    30
    

    View Slide

31. 31
    Survol de la norme ISO/IEC 27034
    La libraire des CSA
    ▶
    Liste tous les CSA de
    l’organisation
    ...
    0
    Librarie des CSA de l’organisation
    1 3
    2 9 10
    Niveaux de confiance d’application
    utilisés par l’organisation
    CSA
    CSA
    CSA
    CSA
    Contexte
    d’affaires
    PCI-DSS
    Aéronautique
    APPROUV
    APPROUV
    APPROUV
    APPROUVÉ
    É
    É
    É
    

    View Slide

32. Survol de la norme ISO/IEC 27034
    La libraire des CSA
    • Similaire à un recueil de bonnes pratiques
    • Adaptée aux besoins spécifiques de l’organisation
    • Adaptée au contexte d’affaires, légal et technologique
    • Alimentée par les normes et standards, les bonnes
    pratiques du marché, l’expérience de l’organisation
    • Gérée et approuvée par l’organisation
    • Elle contient les CSA disponibles pour chaque exigence
    et chaque degré de confiance désiré
    • C’est un indice de tolérance au risque
    32
    

    View Slide

33. Survol de la norme ISO/IEC 27034
    Le niveau de confiance
    • C’est le plan d’action de sécurité pour
    l’application
    – On le fait déjà: analyse de risque et plan d’action,
    mais c’est souvent improvisé et c’est toujours à
    recommencer
    • La norme standardise le processus dans
    l’organisation
    • Suite à l’analyse de risque, on choisit un plan
    d’action pré-approuvé et éprouvé
    • Gain d’efficacité et d’efficience majeur
    33
    

    View Slide

34. 34
    Cadre normatif de l’organisation
    Survol de la norme ISO/IEC 27034
    Tout est conservé dans le CNO
    Modèle
    APPROUV
    APPROUV
    APPROUV
    APPROUVÉ
    É
    É
    É
    

    View Slide

35. Survol de la norme ISO/IEC 27034
    Les deux niveaux de processus
    • La norme repose sur des processus que
    l’organisation doit définir ou arrimer avec ses
    processus existants
    • Deux niveaux de processus:
    – Organisationnel: gestion du Cadre normatif
    organisationnel
    – Projet: utilisation du Cadre normatif
    organisationnel pour gérer la sécurité d’une
    application
    35
    

    View Slide

36. Niveau de
    l’application
    Niveau de
    l’organisation
    36
    Survol de la norme ISO/IEC 27034
    Les deux niveaux de processus
    Processus de
    gestion
    Cadre Normatif
    de l’Organisation
    Cadre Normatif
    de l’Organisation
    Cadre
    Normatif
    de l’Application
    2
    Cadre
    Normatif
    de l’Application
    2
    Processus de
    gestion
    Cadre
    Normatif
    de
    l’Application 3
    Cadre
    Normatif
    de
    l’Application 3
    Processus de
    gestion
    Cadre
    Normatif
    de
    l’Application 1
    Cadre
    Normatif
    de
    l’Application 1
    Processus de
    gestion
    

    View Slide

37. 37
    Survol de la norme ISO/IEC 27034
    La gestion de la SA
    Processus de
    gestion de
    l’organisation
    Processus de gestion de la sécurité
    d’une application
    Est requis
    pour
    Cadre normatif de
    l’organisation
    Produit
    Cadre normatif de
    l’application
    Produit les
    artéfacts du projets d’application
    et le CNA requis pour
    4
    Est requis
    pour
    Réaliser et
    opérer l’application
    

    View Slide

38. 38
    Survol de la norme ISO/IEC 27034
    La vérification de la SA
    Cadre normatif de
    l’organisation
    Contexte
    d’affaires
    Contexte
    technologique
    Contextes de
    l’organisation
    Contexte
    juridique
    Dépôt des
    spécifications
    Environnement
    ou sera utilisée
    l’application
    Évaluation
    des risques de
    sécurité
    Aide à
    identifier
    Niveau de confiance cible
    pour l’application
    Identifie
    

    View Slide

39. 1. Buts de la sécurité dans les applications
    2. Contextes de gestion de la sécurité de
    l’information
    3. Problématiques et besoins des intervenants
    4. Survol de la norme
    ISO/IEC 27034 – Application Security
    5. Conclusion
    39
    

    View Slide

40. View Slide

41. View Slide

42. View Slide

43. View Slide

44. View Slide