Nouvelles Menaces Sécurité des Applications Web

Action Nationale de Formation se déroulant sur le campus CNRS de Gif Sur Yvette les 18, 19 et 20 janvier 2017.

Inscription

Les inscriptions sont ouvertes à tout personnel CNRS ou travaillant dans une unité mixte CNRS.

En raison de contingences matérielles il n'y a que 20 places.

Merci de vous pré-inscrire sur http://alderaan.cnrs-bellevue.fr/limesurvey/index.php/496682/lang-fr

Présentation

TLDR;

Face aux attaques que les applications web subissent, il est nécessaire que les développeurs soient sensibilisés et formés. Lors de cette formation organisée par DevLOG et la DSI, nous travaillerons selon 3 axes

  • l'aspect juridique et réglementaire
  • aux outils des attaquants et principales attaques
  • aux méthodologie et pratiques de développement pour une meilleure sécurité

En détail

Les attaques massives sur les sites institutionnels du monde de la recherche en janvier 2015 (120 intrusions déclarées au Responsable de la Sécurité des Systèmes d’Information (RSSI) du CNRS en 2015 pour 60 en 2014) prouvent que les établissements doivent faire face d’urgence au défi des nouvelles menaces provenant d’Internet. L’amélioration de la sécurité des applications web est devenue un enjeu majeur pour le fonctionnement et l’image du CNRS. Ceci est d’autant plus vrai que la tendance actuelle est à avoir tout sous forme d’applications web.

L’analyse de l’exploitation réussie de ces nouvelles menaces, souvent par des pirates ne possédant pas de grandes compétences, a permis d’identifier deux axes majeurs de progression.

Le premier concerne la phase de développement d’un logiciel. Bien souvent le premier vecteur de compromission d’un projet applicatif sur Internet est une faille de sécurité qui s’est insérée lors du développement. Ceci, que le développement soit interne, effectué par un prestataire ou réalisé par une communauté de l’opensource.

Le second concerne la phase de test. Dans quasiment tous les cas, les vulnérabilités des applications web peuvent être rapidement détectées et corrigées. Si nous ne le faisons pas nous-même les pirates se chargeront de trouver « gratuitement » les failles et de les exploiter pour leur amusement ou leur profit. Par conséquent, si les développements étaient testés du point de vue de la sécurité, de la même façon qu’ils le sont du point de vue fonctionnel, ces vulnérabilités seraient rapidement identifiées et corrigées, et cela avant même la mise en exploitation du logiciel.

Objectifs

L’objectif de cette formation est de dresser, aux développeurs d’applications web du CNRS, un panorama des failles et vulnérabilités applicatives qu’ils sont(suscapTibles d’introduire dans leurs productions.

Afin de les aider à améliorer la sécurité de leurs codes, cette formation explicitera les méthodes et techniques de développement qu’il est nécessaire de déployer et les initiera aux outils leurs permettant de tester et de qualifier leurs codes en terme de sécurité applicative. L'outillage présenté permettra aux participants d'autoévaluer leurs développements, mais peut également devenir un socle de recette sécurité pour des développements externalisés. Enfin, nous souhaitons inciter les participants à devenir des vecteurs de sensibilisation afin qu’ils diffusent ou rejouent, totalement ou en partie, ce contenu dans les unités, les régions ou les réseaux métier.

Programme prévisionnel

  • Risques liés aux applications web
  • Référentiel des lois et normes
  • Hébergement, sous-traitance et co-développement
  • Principales failles applicatives
  • Principes de conceptions sécurisés
  • Techniques de réduction des failles applicative
  • Organisation de la sécurité lors du développement
  • Utilisation d’outils pour sécuriser le développement
  • Utilisation des outils de tests de sécurité

Logistique

L'action s'adresse à une vingtaine de participants et se déroulera sur le campus CNRS de Gif Sur Yvette les 18, 19 et 20 janvier 2017.

L'hébergement est assuré par le complexe hôtelier de la DR04.

Il n'est pas nécessaire de venir avec un ordinateur portable !

Equipe organisation

Contacts principaux

  • Jérémie BOUTARD <Jeremie.Boutard~~~dsi.cnrs.fr> (DSI)
  • Marc DEXET <Marc.Dexet~~~dsi.cnrs.fr> (DevLOG)

Animation et organisation

  • Michel CHABANNE <Michel.Chabanne~~~dsi.cnrs.fr>(DSI)
  • Julien DESENFANT <Julien.Desenfant~~~cnrs.fr> (DevLOG)
  • Guillaume HARRY <Guillaume.Harry~~~dsi.cns.fr> (DSI)
  • François MORRIS <Francois.morris~~~dsi.cnrs.fr> (DSI)

Supports de présentations

 
anf-nmsaw2016.txt · Dernière modification: 2017/02/01 15:36 par marc.dexet@dsi.cnrs.fr
 
Recent changes RSS feed Powered by PHP Powered by Pxxo Driven by DokuWiki