La Sécurité Continue dans le développement d'applications Web
Intervention : Ablogix (Arnaud BOURLIER)
Description:
De nos jours, il faut peu de temps pour pirater un site web : mal sécurisé, mal codé, ... Les outils de hacking sont disponibles en open sources, mais les outils d'identification et remédiation des vulnérabilités sont moins courants et plus limités.
Pour une entreprise, les dégâts causés peuvent être dramatiques : vol de données confidentielles, atteinte à la réputation, perte de confiance des clients, etc...
Lors des développements d'applications Web, les audits de sécurité et pentests sont trop lents et rares!
Une solution: utiliser un "Scanner de Vulnérabilité" intégré au cycle de développement (scan de code, scan de site).
Nous présenterons une matrice des capacités de quelques Scanner au regard de l'OWASP et leurs utilisations avec l'Intégration Continue.
Les slides :
2 ou 3 slides pour montrer comment une attaque peut se réaliser en quelques minutes grâce à des outils open sources (sqlmap, metasploit, etc.)
1 slide avec l'OWASP Top 10 : catégories de vulnérabilités...
2 ou 3 slides avec une description de Cycle de Dév. outillé pour la Sécurité Continue et des exemples de Reporting : OWASP, PCI-DSS...
Commentaires