Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Un regard sur la Sécurité de l’information en 2015 par Éric Hébert

OWASP Montréal
September 08, 2015
Business
0
790

Un regard sur la Sécurité de l’information en 2015 par Éric Hébert

Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

Éric G. Hébert

ÉRIC G. HÉBERT, CISM, CISSP
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne.
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces.
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

OWASP Montréal

September 08, 2015
Tweet

More Decks by OWASP Montréal

See All by OWASP Montréal
OWASP_-_Operate_PCIDSS_infrastructure_using_devOps_approch.pptx.pdf
owaspmontreal
0
110
Endpoint Bypass Charles Hamilton
owaspmontreal
0
130
Hybrid approach to security testing
owaspmontreal
0
190
Threat Modeling Toolkit
owaspmontreal
0
900
NorthSec - Applied Security Event
owaspmontreal
0
170
Sécurité des applications : Les fondements
owaspmontreal
0
110
WORKSHOP ! Server Side Template Injection (SSTI)
owaspmontreal
1
900
Ransomware and healthcare - Hacking Health
owaspmontreal
0
140
OWASP Montréal reçoit Mario Contestabile
owaspmontreal
0
170

Other Decks in Business

See All in Business
株式会社tacoms 会社紹介資料
tacoms
0
280
Data Driven HR ~ エンジニア・人事の新たなキャリアパスの可能性 ~
tweeeety
3
900
会社説明資料|株式会社estie / company profile
estie
6
120k
会社説明_採用ページ
arisaiyou
0
2.4k
マネージャー&リーダー向け 社内トレーニング / Training of management and leadership for Stockmark
iwashi86
38
19k
Nstock 採用資料 / We are hiring
nstock
12
89k
個々の地域でロータリーを知らない世代にアプローチ:国際ロータリー第2720地区 会員増強拡大部門 紅葉谷 昌代 会員(2720 Japan O.K. ロータリーEクラブ) <熊本東南ロータリークラブ卓話>
2720japanoke
0
510
株式会社リクメディア(まるごと採用スライド)
recmedia
0
330
GNUS採用 会社紹介
gnusinc
1
3.7k
開発出身の強みと人事関与による恩恵 / Strengths from a development background and benefits from personnel involvement
tbpgr
4
820
VISASQ: ABOUT US
eikohashiba
10
380k
CELM Company Slide_2023.8Updated
celm1234
1
9.9k

Featured

See All Featured
Bash Introduction
62gerente
603
210k
Creatively Recalculating Your Daily Design Routine
revolveconf
208
11k
For a Future-Friendly Web
brad_frost
168
8.2k
Why Our Code Smells
bkeepers
PRO
329
55k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.3k
Documentation Writing (for coders)
carmenintech
54
3.3k
Testing 201, or: Great Expectations
jmmastey
26
6k
Web Components: a chance to create the future
zenorocha
304
41k
Making Projects Easy
brettharned
104
5.1k
How to train your dragon (web standard)
notwaldorf
69
4.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
184
15k
YesSQL, Process and Tooling at Scale
rocio
159
13k

Transcript

  1. Un regard sur la Sécurité de
    l’information en 2015
    8 septembre 2015
    Éric Hébert

    View Slide

  2. Introduction
    L’enjeu de la Sécurité de l’information n’est plus
    la technologie, ni sa mise en œuvre ou sa
    gouvernance; c’est la priorisation de cette
    dernière au sein de l’écosystème qu’est
    l’entreprise.

    View Slide

  3. Un peu d’histoire
    Source: http://www.quotium.com/resources/hackers-evolving-2015-version-history-
    internet-application-security/

    View Slide

  4. La sécurité applicative
    *SAMM: Software Assurance Maturity Model

    View Slide

  5. 2002
    • Disable the remote administration capabilities of the website. Priority – High.
    • Validate all uploaded files for cross-site scripting, and command or SQL injection attacks if
    they are to be displayed or processed. Priority – High.
    • Scan all uploaded files for virus, worms, trojans. Priority – High.
    • Ensure permissions are set so that the least possible access is granted when processing
    those files (saving, opening) so that only specific permissions are set over specific agents,
    actions and directories. Priority – High.
    • Validate that XML documents contain the information and the format expected before
    processing.. Priority – High.
    • Revise the security scheme for the Extranet so users are not allowed to bypass login.
    • Ensure server has been patched with latest patch to fix some known buffer overflow and
    cross-site scripting vulnerabilities (see MS02-018 April10, 2002). Priority – High.
    • Completely validate and filter/escape/block all special characters from this email
    functionality in all fields to prevent cross-site scripting, buffer overflow and command
    injection attacks. Priority – High.
    • Do not embed sensitive info on static pages or on dynamically generated pages that the
    user is not intended to have.. Priority – High*.
    Extrait d’un rapport de tests d’intrusion…il y a 13 ans
    Qu’est-ce qui cloche?

    View Slide

  6. Pourquoi ca ne fonctionne pas?
    Source: Survey on Application Security Programs and Practices, Feb 2014, SANS Institute

    View Slide

  7. Pourtant…

    View Slide

  8. Ref: http://rafeeqrehman.com/
    2015:
    La job du
    CISO

    View Slide

  9. Ref: http://rafeeqrehman.com/
    2015:
    La job du
    CISO

    View Slide

  10. Le contexte de son patron.
    La naissance d’un plan
    Source: http://www.xmind.net/share/kanunski/

    View Slide

  11. Retenez ceci

    View Slide

  12. C’est bien beau tout ça mais
    maintenant je fais quoi?

    View Slide

  13. Étude de cas #1
    • Entreprise de distribution
    • État de la SI : Pas grand-chose (de base). Vient de se
    faire arnaquer par une fraude au président pour 2,5M$
    • Chiffre d’affaires 500M$
    • Ressources TI: 50
    • Budget TI: 20M$ (4%)
    • Budget Développement: 1M$
    • Budget Opérations: 10M $
    • Budget SI: 2M$
    • Budget Ressources: 7M$

    View Slide

  14. Non non, ce sont de vrais chiffres…

    View Slide

  15. Vous êtes le nouveau CISO.
    On commence par quoi?
    • Budget :2,0M$
    • Il reste 300,000$
    • On achète un outil, on embauche du monde, on
    implante des processus, on externalise notre
    sécurité?
    • On sécurise les endpoints ou le périmètre? On fait
    de la sensibilisation?
    • Même si on gère avec une approche basée sur le
    risque, par où commence-t-on?

    View Slide

  16. Étude de cas #2

    View Slide

  17. • Entreprise de service Web
    • État de la SI : Pas grand-chose (de base). Vient de se
    faire …
    • Chiffre d’affaires (2012): 63M$
    • Budget TI:
    – 4M$ (6.3%) (surtout du développement (AM Labs)
    • Budget pub: 27M$
    • Budget Ressources: 12M$
    • Autres : 2M$
    • Profits : 15M$
    Source: AM dump, Budget 2012 - _January 13 2012.xlsx

    View Slide

  18. • Tout est une question de contexte
    • De l’argent, il y en a mais pas pour tout
    • Il y en a moins que ce que vous aimeriez
    • Le risque est relatif au contexte
    • Ce sont des humains qui décident des
    budgets, des allocations et qui, en bout de
    ligne, livrent la valeur à l’entreprise…Donc…
    Rendu ici,

    View Slide

  19. La gestion des
    relations
    • Auprès des exécutifs
    – Les mettre en confiance
    • Parler leur langage.
    • Être CONCIS et savoir se taire.
    • Être honnête et intègre avec soi-même.
    • Faire la « job » politique (i.e. avant la réunion).
    • Ne pas les confronter de façon directe.
    • Se mettre à leur place, ce qui veut dire se projeter dans
    un rôle plus large pour comprendre leurs
    préoccupations.

    View Slide

  20. • Auprès des équipes
    – Mériter leur confiance
    • Les écouter.
    • Prendre des décisions rapides, mais celles qui vous reviennent!
    • Les supporter lorsqu’il y a des difficultés.
    • Parler à tous, régulièrement.
    • Ne jamais critiquer si les choses ne fonctionnement pas comme
    vous le voulez.
    • Les guider et leur indiquer la destination, pas la route à suivre.
    • Leur apprendre la différence entre ‘parfait’ et «good enough».
    La gestion des
    relations

    View Slide

  21. • Auprès des individus
    – Leur faire confiance
    • Les écouter.
    • Ne les pas les critiquer.
    • Vous intéresser à eux.
    • Les respecter non seulement pour ce qu’ils vous
    apportent mais aussi pour qui ils sont.
    • Les aider lorsqu’ils rencontrent des difficultés.
    La gestion des
    relations

    View Slide

  22. Dites-vous une chose
    • C’est toujours facile de critiquer.
    • C’est toujours facile de mettre la faute sur
    quelqu’un d’autre.
    • C’est très, très, très difficile de se mettre à la
    place des autres.

    View Slide

  23. Merci!
    [email protected]
    Eric G. Hébert

    View Slide