29 février au 2 mars 2012
Montréal, Canada

Threat modeling d'une application: étude de cas

Vous êtes sur le point de signer un contrat avec un éditeur d'applications web. Tous les éléments du cahier des charges ont été pris en compte dans l'offre, même la sécurité: le contrôle d'accès, la disponibilité, et...et c'est tout! Où est le reste? Pirates informatiques? Fraudeurs? Revendeurs d'informations? Concurrence? Lois? Qui s'en occupe? Y a-t-on pensé?

Lors de cette séance, nous simulerons l'intervention d'un spécialiste en modélisation de menaces (threat modeling) au tout début du projet de développement d'une application web mobile hébergée en cloud.

Son rôle sera de recenser les menaces spécifiques auxquelles votre application est exposée, techniques et/ou fonctionnels, puis de formuler des recommandations pour les architectes et développeurs.

En quoi cette activité consiste-t-elle? Qui la réalise? Comment trouve-t-on les menaces? Avec quelles techniques? Que doit-on insérer dans le cahier des charges destiné à l'éditeur de l'application?

Voir les 161 présentations

Antonio Fontes

OWASP Switzerland

Antonio Fontes has over ten years experience in the software and information security industry. He is an active member of the OWASP Switzerland board and has contributed to several open projects such as the "CWE Top 25 most dangerous programming errors." His day job involves assisting both public and private organizations in increasing security visibility and control over their software, such as with dev training, threat modeling, design review, code reviews, penetration testing, etc.

Read More

Présenté par

Commandité par

Média