nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
L'Owasp, une association qui prêche la sécurité Web aux entreprises
L'Open Web Application Security Project publie son guide en français. Interview du président du bureau hexagonal.
Sébastien Gioria, le président du bureau français de l'Owasp, explique le rôle de l'Open Web Application Security Project, une communauté mondiale d'experts, chargée d'améliorer la sécurité des applications Web. Et qui commence à se
développer en France.
<i>01net. :</i> A quand remonte la création de l'Owasp aux Etats-Unis et en France ? Et quelle est sa composition ?
Sébastien Gioria : L'Owasp a été créé en 2000 aux Etats-Unis. Elle compte aujourd'hui 3 500 experts regroupés en plus de 110 chapitres, répartis sur toute la planète. En France, un bureau a été
officiellement ouvert vers la fin de l'année 2006. Il est opérationnel depuis peu et regroupe cinq experts en sécurité.
Quelles sont les missions de l'Owasp ?
Sa première mission est d'éduquer la communauté (entreprises, développeurs, architectes des projets, responsables sécurité...) sur les problèmes de sécurité des applications Web. Beaucoup d'entreprises ne sont pas assez prudentes dans ce domaine.
Elles ouvrent leur système d'information sur Internet pour leurs clients ou leurs partenaires en se contentant de mettre en place un premier, puis un deuxième firewall, sans regarder de près si ces applications sont vulnérables. Or, si elles sont mal ' écrites ', elles risquent de laisser passer des failles. D'ailleurs, nous en constatons très régulièrement : pertes de données, problèmes de phishing... Tout cela ne devrait pas exister si les applications étaient bien conçues.
Sa première mission est d'éduquer la communauté (entreprises, développeurs, architectes des projets, responsables sécurité...) sur les problèmes de sécurité des applications Web. Beaucoup d'entreprises ne sont pas assez prudentes dans ce domaine.
Elles ouvrent leur système d'information sur Internet pour leurs clients ou leurs partenaires en se contentant de mettre en place un premier, puis un deuxième firewall, sans regarder de près si ces applications sont vulnérables. Or, si elles sont mal ' écrites ', elles risquent de laisser passer des failles. D'ailleurs, nous en constatons très régulièrement : pertes de données, problèmes de phishing... Tout cela ne devrait pas exister si les applications étaient bien conçues.
Avec quels moyens effectuez-vous ce travail d'évangélisation ?
Avec plusieurs milliers d'experts dans le monde ! En France, aujourd'hui, nous animons des conférences ?" au salon Infosecurity à la fin novembre 2007, aux Techdays de Microsoft, mi-février, par exemple. Nous sommes en contact avec les deux plus gros groupes de formation dans le domaine de l'informatique en France (Supinfo et Epita) pour intervenir dans le cadre de leurs cours. Nous employons aussi des techniques de marketing viral pour montrer qu'on existe.
Avec plusieurs milliers d'experts dans le monde ! En France, aujourd'hui, nous animons des conférences ?" au salon Infosecurity à la fin novembre 2007, aux Techdays de Microsoft, mi-février, par exemple. Nous sommes en contact avec les deux plus gros groupes de formation dans le domaine de l'informatique en France (Supinfo et Epita) pour intervenir dans le cadre de leurs cours. Nous employons aussi des techniques de marketing viral pour montrer qu'on existe.
Vous publiez aussi des guides, comme le top 10 de l'Owasp ?
Oui. Le top 10 de l'Owasp ?" qui fournit des méthodes de base pour se protéger contre les vulnérabilités ?" vient d'être traduit en français. C'est absolument essentiel pour qu'il soit adopté par les entreprises. Nous voulons en faire un guide de référence auprès de nombreuses sociétés et des cabinets d'audit notamment ?" une sorte de recueil des bonnes pratiques dans le domaine de la sécurité des applications Web.
Oui. Le top 10 de l'Owasp ?" qui fournit des méthodes de base pour se protéger contre les vulnérabilités ?" vient d'être traduit en français. C'est absolument essentiel pour qu'il soit adopté par les entreprises. Nous voulons en faire un guide de référence auprès de nombreuses sociétés et des cabinets d'audit notamment ?" une sorte de recueil des bonnes pratiques dans le domaine de la sécurité des applications Web.
Proposez-vous d'autres outils sur le Web ?
Oui. Enormément : des outils pour faire des audits de sécurité, des guides qui permettent aux développeurs de savoir exactement comment sécuriser une application, etc. Ils sont disponibles gratuitement, en open source, sur notre site.
Oui. Enormément : des outils pour faire des audits de sécurité, des guides qui permettent aux développeurs de savoir exactement comment sécuriser une application, etc. Ils sont disponibles gratuitement, en open source, sur notre site.
Envisagez-vous des actions de formation dans les entreprises ?
Nous intervenons déjà dans les entreprises, sous la forme de conférences, par exemple. Certaines sociétés nous appelle pour évoquer des thèmes ' classiques ' comme le guide du top 10 par exemple ; d'autres veulent aller encore plus dans le détail et nous font revenir sur des sujets très précis tels que ' comment se prémunir contre certains types d'attaques ' ou ' Comment apprendre aux développeurs à ne pas reprendre des codes à risques '.
Nous intervenons déjà dans les entreprises, sous la forme de conférences, par exemple. Certaines sociétés nous appelle pour évoquer des thèmes ' classiques ' comme le guide du top 10 par exemple ; d'autres veulent aller encore plus dans le détail et nous font revenir sur des sujets très précis tels que ' comment se prémunir contre certains types d'attaques ' ou ' Comment apprendre aux développeurs à ne pas reprendre des codes à risques '.
Ces sujets ne sont-ils pas bien enseignés dans les écoles ?
Sur ces sujets, la sensibilisation est parfois trop simpliste dans les écoles. On ne rentre pas dans les détails. Il n'y a pas de cours réellement sur le développement sécurisé.
Sur ces sujets, la sensibilisation est parfois trop simpliste dans les écoles. On ne rentre pas dans les détails. Il n'y a pas de cours réellement sur le développement sécurisé.
Et si des entreprises sont intéressées par l'Owasp, que doivent-elles faire ?
Le mieux est de nous contacter ou d'aller sur notre site, car il existe plusieurs façons d'adhérer. Certaines sociétés apportent une contribution financière pour que l'Owasp, à travers ses experts, travaille sur un sujet de recherche et réalise des guides ou des outils utiles pour la communauté.
D'autres veulent mettre leur logo sur notre site. De plus en plus, notre association est reconnue sur ce marché de la sécurité. Elle est citée dans des conférences. Les entreprises voient bien que nous essayons de faire avancer les choses dans ce domaine.
Le mieux est de nous contacter ou d'aller sur notre site, car il existe plusieurs façons d'adhérer. Certaines sociétés apportent une contribution financière pour que l'Owasp, à travers ses experts, travaille sur un sujet de recherche et réalise des guides ou des outils utiles pour la communauté.
D'autres veulent mettre leur logo sur notre site. De plus en plus, notre association est reconnue sur ce marché de la sécurité. Elle est citée dans des conférences. Les entreprises voient bien que nous essayons de faire avancer les choses dans ce domaine.
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
Avis sur «L'Owasp, une association qui prêche la sécurité Web aux entreprises»
WebScarab
de
OpenSource
, posté le 22 septembre 2008 à 14h26
Salut, je veux travaillé avec webScarab, et j'ai installé ce dernier sur le poste client (les deux webscarab et application s'executent sur le meme poste) mais j'ai un problème lorsque je configure le proxy avec le browser IE.possible de les laisser sur le meme poste les deux je met dans le proxy de webScarab 127.0.0.1 et port 8008 et dans le browser 127.0.0.1 8008 mais lorsque je lance l'interception de requete sa marche mais la navigation entre les pages de l'application site ne se fait pas correctement j'attend assez de temps et soudainement outoffmemory de webscrab????
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires