Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Développement sécurisé : retex d’un serious game

octobre 2017 par Emmanuelle Lamandé

Sysdream a mis sur pied un évènement de cyberentraînement à Clermont-Ferrand pour le compte de l’entreprise Michelin. A travers cette démarche, le groupe souhaitait sensibiliser ses salariés, et plus particulièrement ses équipes de développeurs et DevOps, à la sécurité, mais aussi les faire monter en compétences, en les mettant le temps d’une journée « dans la peau d’un hacker ». Vincent Hautot, Directeur Technique de Sysdream, et Mickael Laisney, Group Cyber-Defense, CERT - Michelin, nous livrent leur retour d’expérience à l’occasion des Assises de la Sécurité.

Dans bon nombre d’entreprises, ce sont principalement les équipes SSI qui testent aujourd’hui la sécurité du code et des applications, alors que les équipes de développeurs devraient toutes pouvoir par essence faire du développement sécurisé. D’où l’importance de les sensibiliser et de les former régulièrement dans ce domaine.

Via ce serious game, l’objectif de Michelin était, d’une part, de sensibiliser ses équipes IT aux différentes vulnérabilités existantes et aux différents modes opératoires des attaquants pour les exploiter. Le but était également de les aider à améliorer leurs capacités de détection et de correction de ces failles de sécurité, mais aussi à adopter les bons réflexes et les bonnes pratiques en matière de développement sécurisé.

Outre l’aspect formation, l’entreprise a souhaité les challenger, au travers d’un évènement CTF (Capture The Flag), organisé et animé par Sysdream. Ce challenge, qui a opposé une quarantaine de personnes, s’est articulé autour de 11 épreuves Web avec revue de code. Les thèmes abordés ont été sélectionnés en partenariat avec Michelin, mais s’inspirent globalement de l’approche de l’OWASP. Parmi les thèmes sélectionnés, on retrouve ainsi notamment : Oracle de padding dans un cookie de session, désérialisation PHP faible, CSRF dans une application de support, mauvaise isolation entre comptes utilisations, injection SQL, bruteforce HTTP, upload d’images et shell injection… A l’issue de ces différentes épreuves, les équipes ont pu débriefer aux côtés des organisateurs, et les vainqueurs se sont vus remettre un prix.

Objectif : tendre vers une « Security by Design »

Les conclusions de cet exercice se sont avérées positives pour Michelin puisque, mis à part globalement une différence de maturité observée entre les participants, les premiers retours ont été relativement constructifs et les développeurs mieux sensibilisés quant à ces problématiques. D’ailleurs, des impacts à court terme se sont fait sentir, puisque certains développeurs ont depuis lancé leurs propres campagnes de patching. Certains participants ont même créé des équipes de challenge en ligne. En outre, cette démarche a permis de renforcer le lien existant entre équipes de développeurs et sécurité.

Enfin, sur le long terme, ce type d’actions se caractérise notamment par une baisse du nombre de failles applicatives et une tendance plus naturelle à se diriger vers une sécurité pensée « by Design ». C’est d’ailleurs pourquoi l’entreprise a déjà prévu d’organiser d’autres évènements de ce type, prenant en compte quelques axes d’amélioration : une formation sur 2 jours, avec plus de participants, plus de pratique en termes d’attaque et d’exploitation, ainsi qu’un débriefing plus poussé dans la démonstration de résolution de certains challenges.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants