SDL en une slide Modélisation des menaces Démo…interactive!

Slides:



Advertisements
Présentations similaires
Présentation des technologies SharePoint 2007
Advertisements

SDL Trustworthy Computing Security Development Lifecycle Synthèse E. Mittelette, E Vernié
Modélisation des menaces
Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.
Tableau de Bord DSI Lionel Gomes Da Rosa
Linq, fonctionnement et architecture
Test et Développement Visual Studio Team System Eric Mittelette – Benjamin Gauthey – Yann Faure DevDays 2006 Equipé aujourdhui, prêt pour demain !
Conception de la sécurité pour un réseau Microsoft
Acci-Vision, cest un logiciel à la fine pointe de la technologie développé par une équipe dexperts en prévention des accidents. Acci-Vision analyse sous.
Construire une Set Top Box Avec Windows CE 6.0
Le portail des sports des associations de la ville de Nice
Sécurité Informatique
Août 2007 Aide au maintien à domicile copyright François Chausson Aides au maintien à domicile Les besoins Les objectifs Le moyen Les aides La mise en.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Microsoft Dynamics AX et la mobilité
Efficience Industrie – 30 rue de la république LYON RCS LYON - Développez le potentiel de votre entreprise.
BINOMIAL PlanBuilder pour la continuité de services
Introduction à ASP.NET 2.0 Christine DUBOIS MSDN Regional Director AGILCOM.
Bonnes pratiques et top Issues Ce quapporte Vista Démos!
Type de contenu. © Partouche David / 2007 version 0.1 Colonne de site Une colonne de site permet de définir un champs qui sera exploitable au sein de.
Tests de performance et optimisation de vos applications
Cette session suppose une connaissance préalable des grands principes de Workflow Foundation Nous parlerons très peu de lécriture de workflows Une session.
Formulaires dynamiques et workflows évolués
Présentation de Microsoft IT Service Management Office Le Catalogue de Services de Microsoft IT.
Excel et Excel Services
Gestion 100% réalisée par le système Les API du système permettent de : Savoir si le mot de passe est actif Declare Function GetPasswordStatus Lib "Coredll"
Accédez à Office 365 Microsoft Online Services Transition de BPOS à Office 365 pour les actuels clients BPOS.
Aplications bureautiques dans les travaux scolaires.

DTH VERSION FRANÇAISE I-MAIRIE MAIRIE NUMÉRIQUE ET PORTAIL CITOYEN Présentation interne Microsoft.
•Présentation de Team Edition for Database Professionals •La méthodologie •Etude de cas.
Introduction Concepts d’affichage Quels sont les outils à notre disposition ? Quels sont les avantages et contraintes ? Process de rendu Description.
Un outil paramétré sur mesure !
1 Un partenariat privilégié au bénéfice des entreprises.
Jour 4: Management & Information System (MIS). Objectives de la session Introduire le thème MIS: définition, les différents éléments, construire le système.
Université Ferhat Abbas –Sétif 1 Centre des Systèmes et Réseaux d’Information Et de Communication, de Télé-enseignement et D’Enseignement à Distance.
Outil de gestion des cartes grises
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
GUIDE UTILISATION PLATEFORME Appel d’offres ouverts
Introduction Les contrôles Les templates de données Les vues Conclusion.
Introduction au développement Office 2007
Qu’est-ce que eTéléfilm ? Portail de commerce électronique entre Téléfilm Canada et ses clients. Publication –Demandes : informations sommaires, contacts.
Combien envisagent d’utiliser SSMA pour migrer : OracleSybaseAccess.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
Outil de conception d’applications WPF Anciennement « Interactive Designer » Orienté « intégrateur graphistes » Particularité : Blend tm est une application.
La sécurité dans SQL Server 2005
Technet Office System
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
Découverte des notions fondamentales du respect des normes du Web Découverte de l’implémentation des normes et standards au sein de Visual Studio Comment.
Avantages pour les développeurs
Communication & Collaboration Gestion de contenu numérique Business Intelligence Solutions Office system 2007 Vos équipes Gestion de Projets Entreprise.
Eric Mittelette Mitsuru Furuta Microsoft France
Quels sont les bénéfices techniques à migrer vers Windows Longhorn Server ?
Comprendre le Catalogue de Données Métier Utiliser le Catalogue de Données Métier Développer avec le Catalogue de Données Métier Conclusion.
 Répondre aux problèmes principaux de VS 2005  Augmenter toujours la productivité côté désign  Un vrai outil de développement pour le développement.
Contenu coréalisé avec Florent Santin. Un bref rappel Scénarios sans concurrence d’accès Hosting embarqué (mono-host) Hosting embarqué (multi-host) Gestion.
Dessine-moi un workflow
Atteindre l’excellence avec l’expertise d’Efficience Industrie
Portail collaboratif avec les technologies SharePoint
Introduction Les bases de la 3D dans WPF L’application Tron (la 3D pour les nuls ) Passer d’un rendu 2D à un rendu 3D La 3D dans les interfaces WPF.
Linq = Language INtegrated Query DLinq = Database + Linq Appelé maintenant Linq to Data Xlinq = XML + Linq Appelé maintenant Linq to XML.
1 Eric Mittelette Eric Vernié DPE – Microsoft France.
1 Chesné Pierre
Création d’applications distribuées.NET Ziriad Saibi Relation technique éditeurs de logiciels Microsoft France.
Vous voici dans notre site « laboratoire » pour la démonstration AJOUTER UNE PAGE Cliquez sur ENTREZ ICI pour accéder à la partie administration.
CIRCABC facile Centre de ressources en communication et information pour les administrations, les entreprises et les citoyens DIGIT A3 – EGIS DIGIT-CIRCABC-SUPPORT.
Analyse - Architecture des sites Web Chaptire 7 - Plan de maintenance du site Internet.
Le guide d’autoévaluation interactif, Mode d’emploi Version Mai 2016.
1 Interne Orange Accédez à votre système d'information depuis votre terminal mobile Nomalys.
Ecrire du code .NET 2.0 dans SQL Server 2005
Transcription de la présentation:

SDL en une slide Modélisation des menaces Démo…interactive!

…Ce processus consiste à ajouter une série d'activités et de tâches relatives à la sécurité à chacune des phases du processus de développement des logiciels Microsoft… L'équipe SWI est d'accord sur le fait que la modélisation des menaces est le composant le plus important du SDL Concentrer les efforts sur la modélisation des menaces, les révisions de code, l'utilisation d'outils automatisés ainsi que des tests de robustesse plutôt que sur des tests de pénétration.

Faire vivre un document listant toutes les menaces pesant sur la solution Initier un « brainstorm » avec l’équipe projet Identifier les risques et les impacts Identifier les parades Distribuer les rôles et responsabilités Faire vivre ce document tout au long de cycle de développement

Échec de la connexion Attaques d'entreprise Données confidentielles Violations accidentelles de la sécurité Attaques automatisées Pirates Virus, chevaux de Troie et vers Déni de service (DoS) DoS

Une compagnie d’assurance prévois d’utiliser le format OpenXML (ici DOCX) pour stocker les informations liées a un sinistre automobile. Une assistante doit pouvoir constituer un dossier depuis un site Web de l’entreprise création du docx avec éléments initiaux L’expert doit faire sa visite et utilise une application riche sur son TabletPC Modification du docx avec annotations schéma et photos de l’expert en mode remote Le garagiste doit pouvoir consulter et ajouter au dossier le détail et coût de ses réparations Ajout depuis un site web des éléments garagistes

Site Web interne Site Web externe Web Service Application TabletPC

Altération des données (mal formaté peut donner un Deny de Service) Altération des données (falsification des données ) quelles validation ? Authentification / Autorisation = Usurpation d’identité (se faire passer pour un expert) DOCX contient des binaires malicieux DOCX « énorme » et DoS Quid de la saisie sur page Web (upload docx, avec saisie N° assuré date du constat + upload) Securité (WSI ?) sur le WebService Signature digitale / DRM sur DOCX Anti virus sur le docx Macro dans docx ? « on pète la gueule à l’expert » = lui permettre d’annuler un constat dans les 24 ou 48 heures (pince monseigneur + cable sur pc de l’expert) Bonne foi du garagiste ? (Qui valide quoi précisément)

S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique Visual Studio Abonnement MSDN Premium Abonnement TechNet Plus : Versions d’éval + 2 incidents support

© 2007 Microsoft France Votre potentiel, notre passion TM