Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Sécurité Web : l’état de l’art Paris
Sécurité Web : l’état de l’art Paris
DURéE
2 jours
DATES
12-13 octobre 2017
21-22 juin 2018
LIEU
Paris
PRIX 2017
1 910 € ht (2 292 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Sécurité Web : l’état de l’art

    >  Technologies, architectures, méthodes, outils et bonnes pratiques




    Illustré de cas concrets et de démonstrations, ce séminaire dresse l’état de l’art et répond à toutes les préoccupations actuelles en matière de sécurité Web : nouvelles techniques d’attaques, failles SSL/TLS, fausses autorités de certification, scanner de vulnérabilités Web, Web Application Firewall (WAF) et les architectures pour optimiser la sécurité et les performances du Web.

    • Comprendre les attaques spécifiques du Web (XSS, CSRF, cookie poisoning, etc.)
    • Comment protéger les utilisateurs contre le phishing ou les attaques “Man In The Middle” ?
    • Comment mettre en œuvre des solutions d’authentification robustes ?
    • Comment se prémunir des 10 risques du TOP Ten de l’OWASP ?
    • Quelle est l’efficacité d’un pare-feu applicatif (WAF) face aux attaques de type Cross Site Scripting ou SQL injection ?
    • Comment intégrer la sécurité dans le cycle de développement des applications ?
    • Comment auditer la sécurité d’une application Web ?
    • Quelles sont les obligations règlementaires de protection ? Quels sont les risques juridiques ?

    LE MOT DE L’INTERVENANT

    « Dans ce séminaire, je vous explique comment les applications Web sont attaquées et vous présente une réponse efficace basée sur le principe de la défense en profondeur : architecture sécurisée, cryptographie SSL/TLS, reverse proxy, pare-feu applicatif, authentification forte, méthodologie de développement sécurisé, revue de code, audit, test d’intrusion et bug bounty. »

    Boris Motylewski

    Ingénieur de formation et expert judiciaire près la cour d’appel de Montpellier. Il est le Président fondateur de la société Verisafe spécialisée en cybersécurité.



    Problématique et rappels sur la sécurité Web


    Problématique de la sécurité sur le Web

    • Attaques protocolaires vs attaques applicatives.
    • Le Web vecteur de croissance de la cybercriminalité ?
    • Les cinq mythes de la sécurité Web.

    Évolutions des attaques sur le Web

    • Cycle de vie des vulnérabilités.
    • Classification et statistiques des failles Web.
    • Quels sont les OS, serveurs Web et Framework les plus impactés et pourquoi ?

    Rappels sur HTTP et les architectures Web classiques

    • TCP : principes de connexion, persistance et pipelining.
    • Redirection HTTP, hôte virtuel, proxy cache et tunneling.
    • Architecture réseau, front-end/back-end server, proxy, reverse proxy, DMZ, etc.

    La sécurité sur les postes clients


    Attaques sur le navigateur Web

    • Technique d’attaque “drive by download”.
    • Les failles de sécurité dans les principaux navigateurs du marché.
    • Les failles dans les extensions et plug-ins (pdf, flash player, java, etc.).
    • Comment sécuriser efficacement la navigation ?

    Attaques sur l’utilisateur

    • Techniques de phishing et de spear phishing.
    • Social engineering.

    La sécurité des flux Web (SSL, TLS et HTTPS)


    Les fondamentaux de cryptographie avec SSL et TLS

    Les failles et attaques sur SSL/TLS

    • Techniques de sniffing réseau et attaque “Man In The Middle” avec sslsnif et ssltrip.
    • Pourquoi utiliser une « cipher suite » avec confidentialité persistante (PFS) ?
    • Attaques sur les certificats X509 serveurs (usurpation CA, collision SHA-1, etc.).
    • Heartbleed : la faille critique openSSL et ses conséquences.
    • Poodle : la vulnérabilité ultime du protocole SSL v3.

    La PKI Internet

    • Nouveaux certificats X509 EV du CA/B Forum, quel apport pour la sécurité ?

    Optimisation de la sécurité et des performances

    • Techniques de déport des traitements SSL/TLS sur reverse proxy.
    • L’impact de SSL sur les performances des applications Web.
    • La gestion matérielle SSL/TLS : Appliance ou carte embarquée sur serveur.
    • L’intérêt des cartes HSM SSL certifiées, critères communs ISO ou NIST FIPS-140 ?
    • Vérification et bonnes pratiques de configuration SSL/TLS.

    La sécurité des Web Services


    Les protocoles et standards pour la sécurité

    • Niveau XML : XML Encryption et XML Signature.
    • Niveau SOAP : WS-Security, WS-Reliability.
    • La sécurité des Web services : SOAP vs REST.

    Vulnérabilités et attaques sur les Web Services

    • Les attaques d’injection (XML injection, XPath/XQuery injection).
    • Les attaques par rejeu de messages applicatifs.
    • Exemples d’attaques (XML Bomb, XML Signature Wrapping).

    Les firewalls applicatifs pour les Web Services

    • Quelle approche technologique, quelle efficacité ?
    • Les principaux produits sur le marché.

    La sécurité des applications Web


    Attaques sur les applications Web

    • Attaques Cross Site Scripting (XSS) et SQL injection.
    • Les autres attaques spécifiques du Web (URL tampering, cookie poisoning, CSRF, session hijacking, etc.).
    • Les nouvelles failles introduites par le Web 2.0.
    • Les attaques sur les CMS : intérêt pour le hacker ? conséquence pour l’internaute ?
    • OWASP : les dix risques majeurs des applications Web (Top Ten).
    • Les principales attaques et vulnérabilités du Web selon la X-Force IBM.
    • Les différentes techniques d’exploitation des vulnérabilités.

    Hardening des serveurs

    • En quoi consiste le “hardening” ? Comment procéder ?
    • La sécurisation de l’OS et du frontal HTTP/ HTTPS.
    • Impact de la virtualisation sur la sécurité des applications Web.

    Développement sécurisé des applications

    • Intégrer la sécurité dans le cycle de développement des applications.
    • Les 17 étapes du processus SDL (Security Development Lifecycle).
    • Valider son application via les techniques de “fuzzing”.
    • Les outils de revue de code orientés sécurité (SCA).

    La protection avec un WAF (Web Application Firewall)

    • WAF ou firewall réseau : quelle différence ?
    • Le rôle du WAF, quelle efficacité, quelles limites ?
    • Construire son WAF en Open Source avec Apache en reverse proxy et ModSecurity.
    • Les principaux acteurs sur le marché (RS Cybersecurity, imperva, etc.).
    • Les critères d’évaluation d’un WAF selon le Web Application Security Consortium (WASC).

    Haute disponibilité et performances

    • L’accélération HTTP par compression et réduction du volume des flux à la volée.
    • Comment utiliser la virtualisation pour améliorer la disponibilité et les performances.
    • Quelle solution Open Source pour faire du reverse proxy cache et de l’accélération SSL ?

    Problématique de l’authentification des utilisateurs


    Les techniques standards d’authentification

    • L’authentification HTTP Basic Authentication et HTTP Digest Authentication.
    • L’authentification applicative via un formulaire HTML, suivi des sessions utilisateurs.
    • http protocole sans état (stateless) : les conséquences sur la gestion des sessions dans les applications Web.
    • Comment stocker de façon sécurisée les mots de passe dans une base de données ?

    Les solutions évoluées

    • L’authentification évoluée avec calculette dynamique, CAPTCHA, etc.
    • Les solutions de Web SSO avec SAML v2.
    • La fédération d’identité via les API des réseaux sociaux (Facebook, Twitter, Google) et technologies associées (OpenID, OAUth)

    Les attaques sur les authentifications

    • Les attaques sur les mots de passe : sniffing, tabnabbing, brute force, spear phishing, keylogger.
    • Les attaques par vol de session (session hijacking).

    Contrôle de la sécurité Web et validation juridique


    Comment contrôler la sécurité du Web ?

    • Audit de sécurité ou test d’intrusion ? Quelles différences ? Les aspects techniques et juridiques.
    • La surveillance basée sur les IDS (Host-based, Network-based et Application-based).
    • Veille technologique : comment se tenir informé des nouvelles failles ou vulnérabilités du Web ?
    • Que faire en cas d’intrusion ? Comment procéder à une investigation numérique légale (computer forensics).

    Les outils d’analyse et de contrôle

    • Le contrôle de la sécurité par la gestion des logs (les outils de SIEM).
    • La détection de violation d’intégrité pour lutter contre le “site defacing”.
    • Scanners de vulnérabilités Web : quelle utilisation ? Quelles limites ? En Appliance ou dans le Cloud ?
    • Panorama des principaux produits du marché Webinspect (HP), Web Vulnerability Scanner (Acunetix), etc.
    • Que valent les scanners en Open Source (Nikto, Webscan, Webfuzzer, Wapiti) ?
    • Utilisation d’une plate-forme de « bug bounty » pour identifier les failles de sécurité.
    • Qualifier son application avec l’ASVS (Application Security Verification Standard) de l’OWASP.

    Validation juridique

    • L’impact du nouveau règlement européen (GDPR) sur la sécurité des applications Web.
    • Quelle responsabilité pour l’entreprise éditrice d’un site Web en cas de fraude via son site ?
    • Comment gérer les cookies en application de la directive européenne 2009/136/CE ?
    • Quid de la cybersurveillance, de l’utilisation de scanner, sniffer et autres outils ?
    • Cryptographie et réglementation : peut-on vraiment chiffrer au-delà de 128 bits ?
    • La réglementation française et les principales sanctions prévues par la loi.