29 février au 2 mars 2012
Montréal, Canada
Threat modeling d'une application: étude de cas
Vous êtes sur le point de signer un contrat avec un éditeur d'applications web. Tous les éléments du cahier des charges ont été pris en compte dans l'offre, même la sécurité: le contrôle d'accès, la disponibilité, et...et c'est tout! Où est le reste? Pirates informatiques? Fraudeurs? Revendeurs d'informations? Concurrence? Lois? Qui s'en occupe? Y a-t-on pensé?
Lors de cette séance, nous simulerons l'intervention d'un spécialiste en modélisation de menaces (threat modeling) au tout début du projet de développement d'une application web mobile hébergée en cloud.
Son rôle sera de recenser les menaces spécifiques auxquelles votre application est exposée, techniques et/ou fonctionnels, puis de formuler des recommandations pour les architectes et développeurs.
En quoi cette activité consiste-t-elle? Qui la réalise? Comment trouve-t-on les menaces? Avec quelles techniques? Que doit-on insérer dans le cahier des charges destiné à l'éditeur de l'application?
Lors de cette séance, nous simulerons l'intervention d'un spécialiste en modélisation de menaces (threat modeling) au tout début du projet de développement d'une application web mobile hébergée en cloud.
Son rôle sera de recenser les menaces spécifiques auxquelles votre application est exposée, techniques et/ou fonctionnels, puis de formuler des recommandations pour les architectes et développeurs.
En quoi cette activité consiste-t-elle? Qui la réalise? Comment trouve-t-on les menaces? Avec quelles techniques? Que doit-on insérer dans le cahier des charges destiné à l'éditeur de l'application?
Antonio Fontes
OWASP Switzerland
Antonio Fontes has over ten years experience in the software and information security industry. He is an active member of the OWASP Switzerland board and has contributed to several open projects such as the "CWE Top 25 most dangerous programming errors." His day job involves assisting both public and private organizations in increasing security visibility and control over their software, such as with dev training, threat modeling, design review, code reviews, penetration testing, etc.
Présenté par
Commandité par
Média
