La parole est aux speakers : Ambroise Rougier

Publié le

Jusqu’à l’AFUP Day 2024, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !

La conférence

Manage and prevent vulnerabilities

Cette conférence aborde la gestion et prévention des failles de sécurité dans le contexte d'une application PHP. L'objectif est de faire un retour d'experience sur notre méthodologie de travail chez Yogosha à travers un PoC (Proof of Concept) d'une faille de sécurité identifiée sur un environnement Php :

1/ PoC d'une faille de sécurité sur un environnement PHP :

  • Présentation d'un PoC. Nous passerons en revue les étapes de détection, d'exploitation de la faille et de son patch tout en soulignant l'impact potentiel sur la sécurité de l'application.

2/ Retour d'expérience sur la gestion des failles de sécurité :

  • Méthodologie de travail sur le patch d'une faille de sécurité : nous détaillerons comment nous abordons la résolution d'une faille de sécurité, depuis la réception du rapport de sécurité jusqu'à la mise en place d'un correctif.
  • Méthodologie de travail pour éviter les failles de sécurité : la prévention est tout aussi cruciale que la gestion. Nous partagerons notre approche pour éviter les failles de sécurité dès la phase de développement : au menu, tools, release management, formation interne et architecture logiciel.
Cobalt
24/05/2024
16:40-17:00

Quel est l’intérêt de prévenir plutôt que de réagir ? Et quelle serait la principale prévention à mettre en place selon toi ?

Lorsqu’on se fait hacker, on est forcément en réaction. Il peut y avoir un temps long entre le moment de l’attaque et le moment de l’alarme. Il faut ajouter à ce temps long un autre temps qui est celui du patch : le temps que l’on va passer à produire un correctif et potentiellement récupérer les données qui ont pu être impactées. Ces deux étapes sont de la réaction : on réagit à une attaque que l’on a subie.

À l’inverse, on est proactif lorsqu’on cherche la faille avant qu’elle n’arrive. Cette prévention est l’ensemble des processus qui servent à protéger le système et à identifier, de façon continue, de potentielles vulnérabilités / menaces sur notre système avant que celles-ci ne surviennent. (tests unitaire et fonctionnel, scan de vulnérabilités, SAST, fuzzing, DAST, monitoring, etc.)

Il y a de nombreuses préventions, mais en premier lieu il faut identifier quel est le rôle de l’entreprise et définir une politique de risque afin d’identifier ce qui est sensible et ce qui l’est moins : les risques acceptables et ceux qui ne le sont pas. Une fois la politique de risque définie, la principale prévention est de créer une culture de la sécurité et d’allouer du temps aux équipes pour qu’elles se forment et intègrent cette notion de sécurité tout le long du process DevSecOps.

On entend souvent dire « Au final, c’est l’humain la faille ». L’IA va remplacer une partie des processus humains, celle-ci peut-elle être un facteur pour limiter les failles de sécurité ?

L’IA va être (et est déjà) un acteur majeur pour limiter les failles de sécurité (meilleures analyses, automatisation de tâches, définition de scénarios d’attaques non identifiés par les équipes, etc. ) mais elle est également un amplificateur conséquent d’attaques (phishing, malicious code, mauvaises informations, etc.).

La place de l’IA dans la sécurisation des systèmes va devenir indispensable mais son utilisation doit être faite avec vigilance. Aujourd’hui la nouvelle zone d’attaque est l’IA. Comme tout autre systeme l’IA est sujet aux vulnerabilités (prompt injection attack, infection, evasion, DOS, extraction, etc.). Voir l’IA sous cet angle permet d’être plus vigilant·e quant à l’usage que l’on souhaite en faire dans la cyber.

Quels sont les principales cibles des cyberattaques ? Quelques grosses applications ciblées et reconnues avec une forte valeur de gain possible ou au contraire une multitude de petits sites avec peu d’intérêt ?

Tout le monde peut être la cible d’une cyberattaque. Tout dépend de l’attaquant et de ses motivations. S’il s’agit d’un hacker seul, un regroupement de hacker, d’un hacktiviste, d’un état, etc. Un hacker seul va avoir plutôt tendance à attaquer des petits sites plutôt simples à casser pour obtenir de petits gains plus fréquents. À l’inverse des groupes de hackers vont privilégier les cibles plus complexes pour obtenir des gains plus conséquents. Et enfin on a les attaques étatiques où l’on s’inscrit dans le temps long car le financement n’est pas un problème. Le but n’est pas le gain financier mais la déstabilisation.

Une conférence présentée par

Ambroise ROUGIER
Ambroise ROUGIER
Développeur chez Yogosha. Plateforme de cyber sécurité. VOC (Vulnearability Operations Center)

Autres intervenants