Interview Sebastien Deleersnyder (OWASP BE)

Thème : Sécurité

Bonjour Sebastien :) Les projets dont vous allez parler aux RMLL2013 viennent tous de l’OWASP, pouvez-vous nous présenter en quelques mots l’OWASP et ses objectifs ?

L’Open Web Application Security Project (OWASP) est une organisation mondiale sans but lucratif axée sur l’amélioration de la sécurité des logiciels. Notre mission est de rendre OWASP_Video visible la sécurité des logiciels, de sorte que Citations les individus et les organisations du monde entier puissent prendre des décisions éclairées au sujet des vrais risques de sécurité informatique. Chacun est libre de participer à OWASP et tous nos documents sont disponibles sous licence libre et ouverte. Vous trouverez tout sur OWASP ici ou via notre wiki et des informations récentes sur notre blog. OWASP ’’’ne cautionne ni ne recommande des produits ou services commerciaux’’’, permettant à notre communauté de rester indépendante de fournisseurs, avec la sagesse collective des meilleurs esprits au monde en matière de sécurité informatique.

Vous êtes le fondateur et leader du chapitre belge, en quoi cela consiste-t-il ? Quelles sont les activités d’un chapitre national ?

Les chapitres sont des organisations OWASP locales qui engagent la communauté locale à penser et à agir sur les logiciels vulnérables. En Belgique, nous le faisons depuis 2005 en organisant des réunions régulières où les gens peuvent apprendre et discuter de ces sujets. Nous présentons aussi régulièrement OWASP dans les écoles ou lors d’autres événements.

Les applications Web sont au cœur du sigle de l’OWASP, cette portée restreinte est-elle encore d’actualité ou fait-elle maintenant partie de l’histoire ?

Les applications Web sont bel et bien partie de l’acronyme, mais OWASP couvre les logiciels vulnérables dans le sens le plus large de sa définition. Au cours des dernières années, OWASP a également mis l’accent par exemple sur la sécurité des mobiles, pour plus de détails voir https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

Donc OpenSAMM est pertinent pour tout type de développement logiciel ?

Oui, ça l’est !

Qui utilise activement OpenSAMM ? Avez-vous des grands noms à partager ? J’ai entendu parler de Dell...

DELL est en effet l’un des premiers adeptes de SAMM, mais de nombreuses autres organisations ont adopté SAMM depuis lors. Nous allons construire une liste d’adoptants publics de SAMM dans les prochains mois dans le cadre des activités du projet. Personnellement, je connais beaucoup d’organismes financiers, gouvernementaux et de soins de santé qui ont adopté SAMM d’une manière ou d’une autre.

Gary McGraw a des liens étroits avec Owasp, pourriez-vous comparer son BSIMM avec OpenSAMM ? Y at-il des liens, des influences ?

BSIMM est maintenant en version 4 et a beaucoup de chevauchement avec SAMM. Pravir Chandra a contribué aux deux modèles et vous pouvez voir qu’il y a beaucoup de similitudes. Il ya même un mapping de BSIMM vers SAMM disponible sur http://www.opensamm.org/2011/03/bsi...

Quel sera le prochain fleuron sortant de l’incubateur à projets d’Owasp ?

Difficile à prévoir, cela dépend vraiment de combien d’attraction un certain projet obtient et comment le chef de projet peut activer et engager une communauté autour d’elle. Regardez par exemple l’OWASP Zed Attack Proxy (ZAP) que Simon a commencé il y a seulement 2 ans et qui est aujourd’hui l’un des projets phares.

Comment peut-on s’impliquer dans les activités de l’OWASP ?

C’est facile : venez à nos réunions de section, impliquez-vous dans les projets qui vous sont intéressants ou démarrez votre propre projet OWASP. Nous essayons que s’impliquer soit rendu aussi facile que possible. Un excellent point de départ : les initiatives OWASP où vous pouvez faire du bénévolat ou contribuer à des domaines clés couvrant l’adhésion, l’éducation, les chapitres, les conférences, les projets, les médias sociaux et les relations avec l’industrie.

Quelle est votre contribution personnelle à l’OWASP dont vous êtes le plus fier ? Pourquoi est-elle si importante à vos yeux ?

Outre le démarrage du chapitre belge où nous avons maintenant une grande équipe, je suis particulièrement fier d’avoir lancé le projet OWASP Education, qui est actuellement dirigé par Martin Knobloch. Sensibilisation et éducation sont les pierres angulaires les plus importantes de toute initiative de développement sécurisé. Comprendre le problème et le défi est la première mais surtout la plus importante étape pour résoudre les problèmes de sécurité auxquels nous sommes confrontés actuellement avec les logiciels.

Merci Sebastien et rendez vous le 10 Juillet !

Interview réalisée par email par Philippe Teuwen, co-chairman du thème Sécurité.