Accueil - Observatoire FIC - PDJ 20/10/2015 - La sécurité des applications : le nouveau challenge

L'équipe FIC a le plaisir de vous inviter au septième Petit-déjeuner de l'Observatoire de l'année 2015 sur le thème "La sécurité des applications : le nouveau challenge".

Alors que plus de 80% des attaques informatiques passent désormais par la couche applicative, bien des entreprises continuent d’investir l’essentiel de leur budget de cybersécurité dans la protection de leurs infrastructures et de leurs accès. La sécurité des applications est souvent le parent pauvre, faute de processus systématique de prise en compte de la sécurité dans les développements et de méthode de test adaptée aux releases toujours plus fréquentes sous la pression du business.

Pour améliorer résolument la sécurité des applications, et en simplifiant quelque peu l’analyse, trois démarches doivent être menées :
- s’inscrire dans un process de développement sécurisé, basé par exemple sur les frameworks publics BSIMM ou OpenSAMM ;
- tester, toujours tester : pendant la phase de développement (tests statiques sur le code source, audits de code) et pendant la phase d’intégration ou de production (tests dynamiques, tests d’intrusion) ;
- déployer de manière sécurisée, dans le cadre d’une infrastructure adaptée (durcissement des serveurs, web-application firewall, administration robuste…).

Ces démarches ne sont pas simples à mener dans la réalité : les applications se comptent en centaines et sont très diverses (web, mobiles, cloud, open-source, développées en interne ou par un tiers…). Les nouvelles méthodes de développement (Devops, Agile…) imposent des contraintes fortes sur les délais de test, qui doivent se compter en jours et non en semaines. Les coûts doivent rester sous contrôle, en combinant judicieusement automatisation et expertise – gage de maîtrise des faux positifs et faux négatifs. La simple exigence de tester la sécurité de chaque release majeure d’application sensible (transactionnelles, ouvertes sur le web, contenant des données clients…) nécessite de grosses équipes de sécurité internes outillées et/ou un prestataire capable de fournir une prestation qualifiée et « industrielle ».

Ce petit-déjeuner accueillera :

Jean-Paul Joanany,RSSI, Generali
Yves Le Floch, Directeur du développement de la cybersécurité, Sogeti
Claudio Merloni, Software Security Solutions Architect, HP Enterprise Security Products

Ce petit déjeuner aura lieu le mardi 20 octobre 2015 de 08h30 à 10h00 au Cercle mixte du Quartier des Célestins (18, Boulevard Henri IV - 75004 Paris).