🔒Secure Web Paris #4 - Octobre 2019

Bonjour à tous,

C'est la quatrième édition de Secure Web Paris!

📍 Où ? Hosté par CAPFI dans leur locaux, 25-27 Place de la Madeleine 75008 PARIS
📆 Quand ? Mercredi 02 octobre 19h00

Après la précédente édition ayant abordée l'upload de fichier de manière sécurisé avec Tanker.io et la réaction efficace aux vulnérabilité chez Dashlane, nous avons une nouvelle édition alléchante qui se prépare.

Les objectifs sont toujours les mêmes :

• Partager les bonnes pratiques de sécurité pour que les développeurs soient équipés et formés pour produire des applications sans faille du premier coup.
• Concevoir et partager des outils permettant d'améliorer la sécurité des applications tout en ayant un impact positif sur l'expérience développeur et sa productivité
• Créer des discussions autour d'un buffet convivial entre développeurs et experts sécurité pour tirer la communauté vers le haut

Vous avez un produit en SaaS améliorant la sécurité des applications webs? Vous avez découvert des outils et des bonnes pratiques? Vous avez envie de faire une introduction sur des sujets de sécurité très spécifiques? Nous serions ravi de recevoir votre proposition pour ce meetup ou une édition suivante : https://sipios.typeform.com/to/U25qvS

AU PROGRAMME :

🗞La Gazette Sécu

5 minutes de condensé des news du mois sur la sécurité. Nous faisons la veille pour vous :) Dans cette édition, nous incluerons toutes les sources pour vous aider à creuser après le Meetup !

1️⃣ TALK 1 : Jean-Baptiste Aviat, CTO de Sqreen: Prevent Business Logic Attacks using Dynamic Instrumentation

Description:
As application security practitioners, we know that the attacks representing the most significant business risk for our organizations are often attacks targeting sensitive business functions of our applications. Those go far beyond the OWASP Top 10 and make generic (existing?) security tools inefficient. We require very tailor-made solutions to cover our security needs.

This talk will show how to create a security automation tool using dynamic instrumentation that helps to prevent business logic attacks. Sensors are added to the application source code, business events collected in an analysis engine and automated responses are pushed back to the application at runtime. The presented tool is based on open source libraries, and easily extensible and pluggable to analysis engines such as Kibana or Splunk.

Dynamic instrumentation is a game changer because it allows security teams to add sensors remotely, in real time, without asking development teams to trigger a new build and a new deploy of their applications.

The talk will include concrete business examples to help the audience apply this strategy. It will also give tips to navigate through the various teams (fraud, developers, product, …) that own a different piece of this security puzzle.

2️⃣ TALK 2 : Shifting Left for DevSecOps

Les révolutions techniques et les changements méthodologiques de ces dernières années ont radicalement impacté le cycle de développement et le déploiement des applications. D’un déploiement d’une version tous les 6 mois dans les équipes les plus efficaces, on déploie aujourd’hui plusieurs fois par jour en production sur des environnement critiques.

Dans ce contexte, la sécurité doit être un enjeu adressé en continu, à chaque étape du développement. Trop de projets prévoient des tests de sécurité (pentest, audit de code, etc) avant le déploiement de la première version, mais cette étape est trop souvent oubliée par manque de ressources

Nous verrons pourquoi il est important d’intégrer des checks de sécurité au plus près des développeurs et à chaque étape du cycle de développement. En s’appuyant sur des statistiques concrètes faites sur GitHub, on étudiera différents outils qui s'attaquent aux challenges comme la gestion des vulnérabilités dans les dépendances open source, les linters de sécurité et la détection de secrets dans le code source.