Stéphane Oziol, Checkmark : Il est indispensable de sécuriser les applications
juillet 2014 par Marc Jacob
Checkmark sera une nouvelle fois présente aux Assises de la Sécurité, a cette occasion, ce spécialiste de la sécurité applicative animera une conférence intitulée : « Attention ! Une tempête s’apprête à déferler dans votre code JavaScript » afin de pointer les vulnérabilités qui pèsent sur les codes Javascript. Pour Stéphane Oziol, Regional Manager chez Checkmark il est aujourd’hui indispensable de sécuriser les applications.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Stéphane Oziol : Checkmarx est un éditeur de logiciel qui intervient dans le domaine de la sécurité applicative. Nous avons développé une solution nouvelle génération pour l’Analyse de Code-Source (SCA) s’appuyant sur une technologie brevetée qui nous permet d’analyser les principaux langages de développement du marché.
Cela nous permet de proposer aux entreprises le meilleur moyen d’assurer la sécurité tout au long du Cycle de Développement de leurs applications (SDLC) afin d’éliminer les vulnérabilités du code-source.
Les développeurs et les auditeurs disposent d’un accès immédiat aux résultats de l’analyse du code-source, à l’emplacement des vulnérabilités ainsi qu’aux solutions pour les corriger. Nous fournissons à nos clients une plateforme conviviale, utilisée par des milliers de développeurs dans le monde, assurant la sécurité et la qualité des applications face au piratage informatique.
Parmi les clients de Checkmarx, se trouvent des centaines de Fortune 500, les organisations Gouvernementales, des compagnies High-tech, de défense, du secteur médical, de la Télécommunication, et ceci dans plus de 30 pays.
GS Mag : Quelle va être le thème de votre conférence cette année ?
Stéphane Oziol : Nous animons une conférence sur qui s’intitule : Attention ! Une tempête s’apprête à déferler dans votre code JavaScript.
Le JavaScript est utilisé quotidiennement par des applications pour zoomer sur une carte, pour jouer en ligne, ou pour prendre un rendez-vous chez le médecin.
Les impacts de l’exploitation des vulnérabilités en JavaScript dans l’entreprise peuvent aller du vol d’informations coté serveur à l’utilisation de malwares.
Dans cette conférence nous explorons les différentes vulnérabilités découlant des langages de Script. Nous parcourons les nouveaux types de vulnérabilités spécifiques au JavaScript ainsi que les vulnérabilités exploitées dans les plateformes tierces via les nouvelles générations de type JavaScript ou HTML5.
GS Mag : Comment va évoluer votre offre pour 2014/2015 ?
Stéphane Oziol : Notre entreprise est toujours en mouvement, à l’écoute et prête à répondre aux besoins actuels et futurs du marché. Cette année, nous avons à la fois intégré de nouveaux langages de développement dans notre solution ainsi que de nouvelles fonctions, permettant aux organisations d’aborder le défi de sécuriser une application tout en réduisant le temps et les coûts de son développement. Checkmarx continue d’apporter des solutions innovantes sur le marché afin d’accomplir sa vision d’un monde sans piratage informatique.
GS Mag : Quelle sera votre stratégie commerciale pour 2014/2015 ?
Stephane Oziol : L’organisation Deloitte nous classait il y a quelques mois parmi les éditeurs ayant connu la plus forte croissance depuis les 5 dernières années. Nous nous adressons en effet à tous ceux qui développent des applications, parmi eux, les entreprises, les éditeurs de logiciels (ISVs), les fournisseurs de plate-forme de Cloud et les fournisseurs du service de sécurité. Pour chacun d’eux, nous avons une unique approche du marché :
Pour les entreprises, nous intégrons dans le cycle de développement de leurs applications pour en garantie la sécurité et la conformité.
Pour les éditeurs de logiciels, nous assurons la sécurité des logiciels en s’assurant que les bonnes pratiques de développement sont bien appliquées.
Pour les fournisseurs qui préfèrent un modèle dans Cloud, nous permettons un processus de certification pour toutes les applications utilisées dans Cloud.
Quant aux fournisseurs de services de sécurité, nous fournissons une plateforme qu’ils utilisent pour la vérification du code source de leurs clients.
Notre stratégie de distribution s’appuie sur des partenaires locaux à forte valeur ajoutée et des fournisseurs de services.
GS Mag : Quel est votre message aux RSSI ?
Stéphane Oziol : Jusqu’à présent, les investissements dans le domaine de la sécurité de l’information se concentraient sur la protection du réseau et des accès avec des technologies telles que les pare-feu. Les pirates informatiques se tournent désormais vers la " porte d’entrée " en prétendant être les utilisateurs d’une application web ou mobile. Ils utilisent des vulnérabilités du code-source tels que les injections SQL, le cross-site Scripting et des centaines d’autres failles pour prendre le contrôle de l’application et perpétrer leurs actes malveillants.
La première génération de solutions pour sécuriser les applications permet aux organisations de scanner leurs logiciels à un stade relativement tardif dans l’élaboration du logiciel. Généralement, beaucoup de failles de sécurité sont identifiées à ce moment-là et cela a tendance à énormément frustrer les développeurs qui doivent corriger une partie du code écrite des mois auparavant.
Le coût pour corriger les failles des applications à ce stade est estimé comme étant jusqu’à 100 fois plus important que lorsque la correction intervient dès les premières étapes de codage. De surcroit, la première génération de solutions est caractérisée par des résultats imprécis, autrement dit un taux important de faux-positifs détectés.
Checkmarx offre un haut niveau de précision dans sa vérification des codes non-compilés ainsi que la possibilité de tester la sécurité du logiciel pendant toute la durée de sa conception.
De cette manière, les développeurs reçoivent immédiatement les évaluations du code qu’ils ont écrit et peuvent rapidement le corriger en ayant un aperçu d’une façon optimale d’y arriver en fonction des relations entre les vulnérabilités.
Checkmarx est également l’unique solution à identifier le meilleur emplacement pour effectuer les corrections dans le code en permettant aux développeurs d’éliminer de multiples vulnérabilités en n’en corrigeant qu’une seule, ce qui leur évite des coûts supplémentaires et augmente leur productivité.
Avec l’aide de Checkmarx, le service de sécurité peut automatiquement appliquer sa politique de sécurité ce qui permet d’économiser du temps, de l’argent et d’atteindre l’objectif de fournir des applications sécurisées.
Articles connexes:
- Benoît Grunemwald, ESET France : Venez découvrir les arcanes du marché noir de la cybercriminalité lors des assises de la sécurité
- Arnaud Cassagne, Nomios : il faut ouvrir les yeux des utilisateurs sur ce qui peut leur paraître anodin
- Kaveh Tofigh, ForgeRock : Dans l’économie numérique actuelle, les gagnants seront déterminés par leur capacité à répondre aux questions d’identités
- Nicolas Bonte, NetIQ : En 2014, les RSSI doivent prendre à bras le corps le problème de l’identité
- Philippe Fonton, neXus Technology : les RSSI souhaitent des solutions de gestion des identités qui simplifient la gestion des droits et des accréditations
- Thierry Pertus, Conix : la SSI doit être aussi traitée au travers de la gouvernance à l’opérationnel
- David Grout, Intel Security : Vers toujours plus de simplification du management de nos solutions
- Michel Tiberini, Président, Quotium : la protection des applications est indispensable
- Fabrice Clerc, Président de 6cure : en matière de DDoS nous vous proposons un éclairage loin des idées reçues !
- Emmanuel Volckringer, Steria France : l’innovation est au cœur de l’ADN de Steria
- Gaël Barrez, ForeScout Technologies, Inc. : « La seule limite de notre solution c’est votre imagination » !
- Jean-François Aliotti, Directeur Général de NetXP : le DDoS menace majeure pour les RSSI au cours de 5 prochaines années
- Sébastien Faivre, Brainwave : la meilleure approche pour limiter les risques reste de restreindre l’accès aux applications et aux données sensibles
- Stéphane Pacalet, Profil Technology/Bitdefender France : Venez découvrir Bitdefender GravityZone pour sécuriser les clouds hybrides
- Béatrice Bacconnet, Directeur Exécutif Bertin IT : La protection des OIV est pour nous une question de sûreté de la Nation
- Hervé Rousseau, Directeur d’Openminded Consulting : Nous sommes drivés par l’expertise technique et l’innovation
- Théodore-Michel Vrangos, Président d’I-TRACING : Le métier de la sécurité SI est aujourd’hui clé en entreprise
- Thierry Evangelista, Orange Business Services : il est nécessaire de mettre en place un plan d’action en cas d’attaque ou de compromission de données
- Daniel Benabou et Daniel Rezlan, Idecsi : les boites mails des dirigeants et VIP doivent être particulièrement protégées
- Rodolphe Moreno, Infoblox : Les RSSI vont devoir trouver des solutions pour se protéger des risques d’indisponibilité
- Charles Hirel, AirWatch by VMware, une solution pour tous vos besoins de mobilité d’entreprise
- Bertrand Augé, CEO de Kleverware : J’aime à croire que le dicton « La confiance n’empêche pas le contrôle » sera un jour adopté par tous !
- Philippe Jouvellier HP : Les applications sont le talon d’Achille des systèmes d’information !
- Dominique Meurisse, Directeur des Opérations de Wallix : Le message est simple, le WAB c’est Maintenant !
- Florian Malecki, International Product Marketing Director, Dell Network Security de Dell
- Pierre Goyeneix, Splunk : Splunk Enterprise Security, pour avoir une vision à 360° des systèmes d’informations
- Laurent Maury, Thales : Il est nécessaire de passer à la "cyber-secured by design"
- Luc Caprini, Ping Identity : Avec le développement du Cloud et de la mobilité, l’identité est devenue la clé de la sécurité !
- Ghaleb Zekri, Juniper Networks : L’« Open Security Intelligence Platform » rend les Firewalls dynamiques et intelligents
- Gaël Kergot, CA Technologies, France : les RSSI ont un rôle essentiel et stratégique pour leurs entreprises et l’économie digitale
- Alexandre Fayeulle, PDG d’Advens : La sécurité est un pré-requis indispensable à la réussite de la « civilisation numérique »
- Emmanuel Macé, Akamai : le Big Data peut renforcer la sécurité
- Nicolas Brulez, Kaspersky Lab : le Spear phishing toujours aussi efficace pour mener à bien des attaques ciblées
- Emmanuel Schupp, Citrix : l’expérience utilisateur et la sécurité sont intimement liées
- Michel Lanaspèze, Sophos : en matière de sécurité, la simplicité est une vertu
- Gérôme Billois, Solucom : les métiers de plus en plus conscients du besoin d’intégrer la sécurité dans les nouveaux projets
- Laurent Gautier, Ilex International : la gestion des identités et des accès, un levier business pour les métiers
- Barbara Goarant, CS Communication & Systèmes : la cybersécurité a besoin de standardisation pour formaliser les échanges entre les différents acteurs
- Arnaud Casali, Jaguar Network : Nous accompagnons les entreprises dans leur changement en structurant leurs projets de croissance et en rationnalisant leurs infrastructures IT
- Ismet Geri, Proofpoint : TAP pour intercepter les URL malicieuses avant que les utilisateurs ne cliquent
- Florent Embarek, A10 Networks : Devant la recrudescence des menaces plus que jamais la sécurité constitue la colonne vertébrale du SI
- Loïc Guézo, Trend Micro : Découvrez comment avoir le pouvoir de dire oui, avec les offres et solutions de Trend Micro !
- Ronald De Temmerman, GlobalSign : Nous sommes bien plus qu’un fournisseur de certificats SSL
- Nathalie Schlang, Oodrive : la facilité d’utilisation n’écarte pas la sécurité
- Pascal Colin, CEO, OpenTrust : nous nous réjouissons de l’entrée en vigueur du règlement eIDAS
- Frédéric Pierre, Avencis : la gestion des identités, des habilitations et des accès est un outil essentiel au service de la sécurité et de la qualité de service du SI
- Dominique Loiselet, Blue Coat : les entreprises doivent s’inscrire dans une stratégie du type « Réponse Continuelle »
- Jean-Michel Orozco, Président de CyberSecurity chez Airbus Defence and Space : tous les acteurs de la sécurité doivent continuer à démocratiser la cyber sécurité
- Bart Vansevenant, Verizon : une nouvelle approche de détection des incidents est nécessaire
- Philippe Siour, Unisys France : Stealth, une solution complémentaire aux mécanismes de sécurité AWS
- Jacques Pantin, Morpho Dictao : Dictao unit ses forces à Morpho pour répondre aux besoins de la nouvelle économie numérique
- Stéphane Pitavy, Fortinet : la protection globale des systèmes d’informations au cœur de nos préoccupations
- Marc Hudavert, SVP Identity & Access de Gemalto Notre ADN s’est forgé autour de la sécurité et de la mobilité
- Bertrand Braux, Cryptolog : 2014 sera l’année de la signature électronique
- Jean-Christophe Touvet, Devoteam : La maturité sécurité de l’entreprise permet-elle de protéger votre business ?
- David Remaud, SPIE Communications : Internet des objets quelles sont les premières briques de sécurité à mettre en œuvre ?
- Philippe Duluc, Bull : le Big Data doit s’insérer dans le SMSI
- Eric Boulay, PDG d’Arismore et Michel Arpin, PDG de Kernel Networks : Nous souhaitons devenir le champion français de la gestion d’identité
- Sophie Grynszpan, HARMONIE TECHNOLOGIE : Nous sommes un « pure player SSI »
- Fabrice Clerc, Président de 6Cure : Water Torture, subir une attaque DDoS sans recevoir le moindre paquet !