Bâtissez votre Culture AppSec

La première solution de sécurité applicative qui rassemble, dans une seule plateforme, les moyens de mesurer et d’améliorer la sécurité de vos applications tout au long de leurs cycles de développement.

Session de sensibilisation offerte

??      ??

Saviez-vous que les applications sont la première cible des attaques ? 

Les risques liés à la sécurité des applications sont en augmentation exponentielle ...

Il y a environ 20 millions de développeurs de logiciels dans le monde, écrivant plus de 100 milliards de lignes de code par an, et produisant ainsi 90 % des vulnérabilités. C'est loin d'être rassurant à une époque où les entreprises sont encouragées à amorcer leur transformation digitale. La digitalisation pousse les entreprises, indépendamment de leurs secteurs d'activités, à devenir des éditeurs de logiciels. 

Les organisations publiques et privées commencent à servir un nombre croissant de collaborateurs, partenaires et clients grâce à des applications Web/Mobile. Souvent, ces applications fournissent des services « sensibles » depuis Internet.

Ces applications sont la cible d’un nombre toujours croissant de fraudeurs et cybercriminels.

Dans ce paysage où les menaces sont en constante évolution, les entreprises commencent à comprendre que la sécurité est un enjeu majeur pour favoriser l'innovation sans s'exposer à des risques inutiles.

Chaque cas est un cas particulier qui présente des contraintes qui lui sont propres : 

  • ​​​Un manque de connaissance en interne en matière de sécurité applicative, 
  • Une multitude d’équipes de développements qui ont des priorités différentes de celles des équipes de ventes,
  • Des restrictions budgétaires,
  • L'absence d'une stratégie de sécurité globale,
  • Etc.

La montée inquiétante des menaces et des attaques à l’encontre des applications prouve que les approches traditionnelles, souvent réactives, ne conduisent qu'à des améliorations insuffisantes, qui ne permettent pas de résoudre le problème une fois pour toute :

  • Le paradigme PENTEST : Intervient tard dans le cycle de développement et augmente les coûts de corrections des vulnérabilités puisque les coûts liés à la sécurité augmentent considérablement au fur et à mesure que le cycle de développement progresse.
  • Les outils traditionnels de type SAST / DAST (e.g. Static Application Security Testing / Dynamic Application Security Testing) : Difficiles à installer/configurer, ils produisent souvent beaucoup trop de faux-positifs qui nécessitent un oeil expert pour débusquer le vrai du faux. 

Limiter les risques - avant qu'ils n'aient un impact sur l'entreprise - nécessite de se concentrer sur l'ingénierie sécurisée en intégrant les activités de sécurité manquantes dans le cycle de développement. Tous ces jalons, essentiels pour la sécurité de vos applications, présentent des caractéristiques communes :

  • Ils nécessitent d'avoir une équipe de développement en mesure de comprendre les enjeux de sécurité, les risques sur les applications et les moyens de s'en prémunir.
  • Ils ne doivent pas retarder, ni bloquer l'innovationLa sécurité applicative est un processus continu qui commence par la formation des développeurs / architectes logiciels, puis le coaching des chefs de projets et des Security Champions pour intégrer la sécurité dans le SDLC. 


Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez pas ces problèmes et vous ne comprenez pas la technologie "

Bruce Schneier

La Sécurité des Applications, un Enjeu Majeur pour le RSSI

Risques

Les 5 principaux risques en sécurité applicative pour les RSSI

  • Manque de sensibilisation aux questions de sécurité des applications,
  • Code source non sécurisé,
  • Méthodologies de testing inadéquates,
  • Budget pas assez conséquent pour soutenir les initiatives de sécurité des applications,
  • Manque de ressources qualifiées (exemple : manque de compétences en sécurité au sein de l'équipe).

Priorités

Les 5 principales priorités en sécurité applicative pour les RSSI

  • Sensibilisation et formation des développeurs à la sécurité,
  • Sécurisation des processus du cycle de vie du développement logiciel,
  • Tests de sécurité pour les applications,
  • Gestion des vulnérabilités et de leurs corrections,
  • Analyse statique du code source pour trouver les failles de sécurité.

Challenges

Les 5 principaux challenges en sécurité applicative pour le RSSI

  • Disponibilité de ressources qualifiées,
  • Niveau de sensibilisation des développeurs à la sécurité,
  • Sensibilisation et parrainage du management,
  • Budget dédié,
  • Changement organisationnel.

Comment résoudre vos problèmes de sécurité applicative sans dépenser une fortune ?

continus.io est la première solution de sécurité applicative conçue pour rassembler, dans une seule plateforme, tout ce qu’il faut à vos équipes pour produire des applications qui résistent aux cyber attaques.

En mettant l’humain au centre de votre stratégie de sécurisation des applications, continus.io vous offre les clés pour faire face aux enjeux du DevOps et pour "scaler" votre programme de sécurité applicative. 

Bâtir votre culture de Sécurité "By Design"

continus.io permet à vos équipes de développement d’écrire un code-source sécurisé "by design" et  les aide à corriger les vulnérabilités.

Répondre à vos exigences de conformité internes & externes

continus.io permet d'intégrer la sécurité tout au long du cycle de développement et de répondre aux exigences de conformité internes et externes.

Mesurer l'amélioration continue de votre posture de sécurité

continus.io permet à votre équipe de contrôler la sécurité et la conformité des applications en s’adaptant aux enjeux de l’agilité et du DevOps.


Animer votre communauté de "Security Champions"

continus.io vous aide à bâtir une communauté AppSec incluant toutes les personnes impliquées dans la sécurité des applications et s'appuyant sur vos "Security Champions".

continus.io vous prend par la main, et vous accompagne pas-à-pas dans la mise en place d'une stratégie d'assurance sécurité qui vous permet de gérer les risques des applications de manière pro-active. La meilleure défense pour vos applications consiste à adopter le principe de défense en profondeur. 


C'est ce que vous propose continus.io via les 3 piliers de la sécurité applicative qui suivent.

continus.io, la première solution réellement 360°

continus.io est plus qu'une simple plateforme de sécurité applicative, c'est une solution à 360° qui vous permet de vous doter d'une feuille de route stratégique pour vos projets et d'adresser des problématiques qui vont au-delà de la simple détection des vulnérabilités. 


continus.io est conçu pour :

  • fournir des orientations permettant d'intégrer la sécurité "by design" dans les projets,
  • rendre la sécurité des applications plus visible auprès des différentes parties prenantes via des indicateurs pertinents,
  • former / sensibiliser de façon efficace vos collaborateurs aux risques et aux enjeux de la sécurité applicative,
  • assurer la conformité des applications avec les bonnes pratiques de sécurité en vigueur,
  • évaluer la sécurité de vos applications sans faire attendre vos équipes (e.g. Time to market),
  • privilégier la correction des vulnérabilités en fonction de l’exposition au risque,
  • mesurer et gérer les risques et les processus de sécurité des applications,
  • etc.

continus.io permet à nos clients de concrétiser leurs objectifs stratégiques en matière de sécurité applicative.

Continus learning
Bâtir une culture de Sécurité "By Design"

Permet à vos équipes d’écrire un code-source Sécurisé "By Design" et  les aide à corriger les vulnérabilités


continus coaching
Répondre aux exigences de conformité

Permet à vos chefs de projets (et à vos Security Champions) d’intégrer la sécurité by design et de répondre aux exigences de conformité

continus testing
Mesurer les améliorations continues et les restituer

Permet à votre équipe de sécurité de contrôler la sécurité en s’adaptant aux enjeux de l’agilité et du DevOps


Continus Learning


Bâtir une culture de Sécurité "By Design"

Par expérience, nous savons que les équipes de développement sont peu, voire pas, sensibilisées à la sécurité applicative. C'est pour cela que vos premiers pas sur continus.io débutent par la formation de vos collaborateurs.

(Ci-dessous, notre programme de formation sur les applications Web est donné à titre d'exemple)

1

Semaine 1

Sécuriser vos développements logiciel est une affaire sérieuse. Une seule brèche peut causer des millions de dommages et nuire à la réputation d'une entreprise pour les années à venir.

 

C'est pourquoi, notre première semaine commence par un aperçu du concept de sécurité dès la phase de conception suivie d'une présentation de notre plateforme unique en son genre.

2

Semaine 2

Notre deuxième semaine donne un aperçu de la façon de sécuriser l'authentification, la gestion des sessions et les mécanismes de droits d'accès. Nous étudierons également la méthodologie mise en œuvre par les pirates pour mener à bien leurs objectifs de compromission.


C'est en comprenant les techniques d'attaque qui sont utilisées par ceux qui souhaitent attaquer vos applications que vous allez être en mesure de développer des applications sécurisées.
Vous allez donc vous glisser dans la peau d'un attaquant et commencer à exploiter les failles qui vous seront présentées en cours !

3

Semaine 3

Notre troisième semaine nous permettra d'introduire la pratique la plus importante en matière de sécurité des applications : la gestion des entrées et sorties des utilisateurs.


Une validation incorrecte des entrées et sorties des utilisateurs entraîne systématiquement des vulnérabilités de sécurité, ce qui permet aux pirates d'injecter du code qui sera exécuté par le serveur ou le navigateur des utilisateurs de vos applications.

4

Semaine 4

Notre quatrième semaine nous permettra de vous présenter les meilleures pratiques qui vous aideront à éviter les fuites d'information dans les messages d'erreur et à surveiller le comportement des utilisateurs afin de détecter, en amont, les tentatives d'attaques ou, pire, d'identifier une compromission de données.


Nous enseignerons également les bases de la cryptographie et nous étudierons les attaques qui visent les services Web SOAP et REST.

Méthodologie innovante  & Interactivité forte avec nos experts AppSec

Le format  téléprésentiel reprend le meilleur du MOOC tout en préservant ce qui fait l'efficacité de la formation traditionnelle : cours en direct, émulation collective, accompagnement constant, suivi des progrès, suivi individuel de l'étudiant, etc.  

Avec notre approche hybride qui combine le meilleur des cours traditionnels en présentiel et en ligne, même les participants les plus timides ne seront plus laissés pour compte.

Classe traditionnelle VS MOOC VS Téléprésentiel

AVANTAGES

Présentiel

MOOC

Téléprésentiel

Possibilité de suivre la formation depuis son poste de travail

Présence d'un formateur pendant toute la durée de la formation

Faible taux d'abandon (< 5 %) et fort taux de participation (90 %)

Accès 24 / 7 aux supports, enregistrements et outils pédagogiques

Possibilité de réaliser des exercices pratiques depuis un simple navigateur Web (pas de contrainte d'installation de logiciels tiers)

Suivi individuel des participants à la formation ("learning analytics" pertinents)

Continus Coaching


Répondre aux exigences de sécurité & conformité

Après la formation, et l'identification des Security Champions, le Coaching permet d'accompagner vos chefs de projets (et vos Security Champions) pas-à-pas, afin de leur permettre d'intégrer les principes de Sécurité "By Design" dans le cycle de développement, de mesurer leur niveau de maturité, et d'avoir une roadmap d'améliorations. 


Le Coaching permet à vos équipes de comprendre les exigences de sécurité qu'ils doivent respecter et les exigences de conformité internes et externes auxquelles il faut répondre en fournissant les orientations nécessaires à l'intégration de la Sécurité "By Design" dans les projets. 


Pour démontrer l'efficacité de l'investissement dans le Coaching et son impact sur le risque métier, continus.io  mesure la gouvernance, le risque et la conformité des processus de sécurité dans les projets puis restitue ces métriques aux différentes parties prenantes impliquées dans la mise en place du SDL (e.g. Cycle de développement sécurisé).

 

(Ci-dessous, les grandes étapes du Coaching)

1

Etape 1 : Mesurer votre niveau de maturité

Identifier et comprendre le niveau de maturité des pratiques de développement de vos projets. Evaluer l'état actuel et analyser l'écart vis-à-vis de l'état de l'art. 

2

Etape 2 : Définir une feuille de route personnalisée

Après avoir identifié le niveau de maturité de vos projets, vous obtenez une feuille de route stratégique avec des objectifs précis que nous allons vous aider à atteindre.

3

Etape 3 : Augmenter votre niveau de maturité

Accompagnement pas-à-pas de de vos équipes projet dans l'implémentation des améliorations définies dans la feuille de route afin de répondre aux exigences de conformité en vigueurs.

4

Etape 4 : Partager les accomplissements

Veiller à ce que les améliorations soient disponibles et utilisées dans les projets en reportant les indicateurs clés au Top Management.

Continus Testing


Mesurer les améliorations continues et les restituer

L'objectif de la partie Testing (qui s’adapte aux enjeux de l’agilité et du DevOps) est de découvrir les faiblesses de vos applications et les rendre visibles pour les parties-prenantes pour qu'ils puissent rapidement / efficacement les corriger sans bloquer le cycle de développement (e.g. Respect du Time to Market & Quick Feedback Loop). 


continus.io se concentre sur les tests agiles de la sécurité afin de s'adapter aux contraintes du DevOps :

  • Base de référence commune afin de détecter automatiquement une partie des vulnérabilités,
  • Tests de sécurité manuels ciblant les portions critiques pour la sécurité,
  • Suivi des vulnérabilités et assistance des équipes dans la corrections,
  • Intégration des tests dans la pipeline CI/CD,
  • Reporting des indicateurs clés.
Evaluation de la sécurité
Tests manuels
Sécurité en profondeur et paramètrage

Inspection manuelle de vos applications effectuée régulièrement, réalisation d'un état des lieux initial et paramètrage spécifique des outils de test automatiques en fonction des cibles et des résultats

Evaluation de la sécurité
Tests Automatiques
Non régression & amélioration continue

Inspection automatique réalisée après chaque "Build" pour identifier et corriger rapidement les vulnérabilités qui affaiblissent la sécurité de vos applications.

Aide à la mise en oeuvre des remediations
Priorisation des corrections & Réduction du risque

Chaque faille identifiée lors des tests de sécurité fait référence à notre "Knowledge Base" (e.g. Base de connaissance).
Un système de ticketing permet d'obtenir une aide personnalisée de nos experts.

Pourquoi avons-nous construit continus.io ?​

Après plus d'une décennie de services et formations AppSec traditionnelles pour renforcer la sécurité applicative de nos clients, nous avons été confronté à plusieurs challenges que nous avons relevé, et à plusieurs difficultés liés à l'implémentation de l'état de l'art et la scalabilité des solutions classiques.


C'est pourquoi nous avons décidé de concevoir continus.io, avec l'agilité et la scalabilité en tête, pour résoudre ces problèmes qui empêchent l'intégration de la sécurité de bout-en-bout dans le cycle de développement. 


En se basant sur notre expérience (des milliers d'heures de formation dispensées, des centaines de tests d'intrusion et des millions de lignes de code auditées), nous proposons une approche unique que l'on peut décomposer selon les 3 axes principaux suivants :

  • La formation en continu  pour comprendre les risques et savoir s'en protéger,
  • Le coaching en continu pour répondre aux exigences de conformité,
  • Le testing en continu pour contrôler les risques et mesurer les améliorations sans faire attendre vos équipes.

Ces 3 axes constituent les piliers d'une culture DevSecOps et de notre solution continus.io


Les Fondateurs.

Azziz ERRIME

Tarik EL AOUADI

contact@continus.io

>