{{Chapter Template|chaptername=France|extra=The '''Chapter Leaders''' are [mailto:ludovic.petit@owasp.org Ludovic Petit] and [mailto:sebastien.gioria@owasp.org Sebastien Gioria]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-france|emailarchives=http://lists.owasp.org/pipermail/owasp-france}}'''
<paypal>France Chapter</paypal>

'''The French Chapter is also available on LinkedIn''': [http://www.linkedin.com/groupInvitation?gid=1638517 '''Join us''', it only takes a minute!]

== Contacts, Présentations, Contributions & Partenariats ==

*[mailto:sebastien.gioria@owasp.org Sebastien Gioria] et [mailto:ludovic.petit@owasp.org Ludovic Petit] sont à votre disposition si vous souhaitez des informations et discuter de la plus-value proposée par la Fondation OWASP, ainsi que sur la Sécurité des Applications Web.

Entreprises, Individuels, Monde Académique, Sponsors, Supports, tout le monde est bienvenu à l'OWASP! L'accès à nos Chapter meetings est gratuit et ouvert à tous.

Pour les Entreprises souhaitant adhérer à l'OWASP, différents [https://www.owasp.org/index.php/Membership mécanismes sont disponibles]. Le montant de l'adhésion annuelle est en partie reversée(jusqu'a 40%) au Projet ou au Chapitre de votre choix. Ce montant est déductible à 100% aux USA, et en partie en France aussi. Pour ceux qui souhaitent adhérer mais ne peuvent pas donner le montant corporate, il est possible d'effectuer des dons au [https://www.owasp.org/index.php/Local_Chapter_Supporter titre de sponsors du chapitre France].

Nos sponsors au titre global OWASP :

'''Corporate sponsor :''' [http://www.gemalto.com GEMALTO]

Nos sponsors au titre du chapitre France :

'''Silver sponsor :''' [http://www.phonesec.com/ PHONESEC] [http://www.lexsi.fr/ LEXSI]

Les fonds collectés servent à organiser les meetings du Chapitre, mais aussi et surtout à construire et organiser avec vous une approche collégiale spécifique répondant à vos souhaits (sessions de sensibilisation, meetings internes, interventions de Speakers, etc.). Tout cela peut être discuté avec le Chapitre Français et acté conjointement avec vous si vous souhaitez adhérer à l'OWASP.

N'hésitez pas à nous solliciter si vous souhaitez discuter d'un sujet particulier, ou si vous souhaitez effectuer une présentation lors d'un meeting du Chapitre France.

Amis journalistes n'hésitez pas à faire appel à nous si vous souhaitez notre concours pour vos articles et reportages, vous êtes les bienvenus et nous en serions honorés. Utilisez notre savoir-faire dans une perspective gagnant-gagnant!

Nous restons modestes dans notre approche, nous souhaitons que le Chapitre OWASP France devienne un de vos contacts de référence. '''Ensembles, Chacun fait plus'''!

'''TEAM stands for... Together Each Achieves More!'''

= News =

=== GSDays 2016 ===
Nous sommes partenaires des [http://www.gsdays.fr/ GSDays 2016]. [http://www.gsdays.fr/373/actualites/appel-a-communication-2016/ L'appel a communication est en ligne]

=== PODCAST ===
[http://www.nolimitsecu.fr/ NolimitSecu] nous a fait l'honneur d'une interview a retrouver ici : [http://www.nolimitsecu.fr/owasp/ PODCAST OWASP de NolimitSecu]

=== GSDays 2015 ===
Nous serons présent aux [http://www.gsdays.fr GSDays], et parlerons de code sécurisé avec le projet OWASP SonarQube . Les slides sont en ligne [http://www.slideshare.net/SebastienGioria/la-quete-du-code-source-fiable-et-scuris-gsdays-2015 ici]

= Meetings 2016 =

== Mars 2016 ==
'''Date''' : 17 Mars 2016
'''Lieu''' : EPITECH Nantes : http://goo.gl/maps/DCQ1a - Nantes Java User Group
'''Horaire''' : 19h - 20h30

'''Présentation 1 ''' 19h00 REX: Audit de sécurité d'applications Java
'''Durée : 20min'''
'''Speakers : Marc Lebrun'''

'''Présentation 2 : '''19h30 Secure Coding Live !
'''Durée : 1h ''''
'''Speakers : [https://www.owasp.org/index.php/User:SebastienGioria Sebastien Gioria]'''

== Juillet 2016 ==
'''Date''' : [https://www.owasp.org/images/a/a1/2016-07-07-Meeting_OWASP_Juillet.pdf 7 Juillet 2016]
'''Lieu''' : DragonFly - 215 avenue Georges Clemenceau NANTERRE - Bus 258 depuis la Défense, arrêt Les Fontenelles.
Le Lounge est en entrant à droite dans le bâtiment, au rez-de-chaussée.
'''Horaire''' : 18h30-22h
'''Présentation 1''' : [https://www.owasp.org/images/e/e2/OWASP-fr_Meeting_Shepherd-demo.pdf Owasp security Shepherd Par Tarik El Aouadi]
'''Présentation 2''' : [https://www.owasp.org/images/1/19/Yogosha-OWASP.pdf Bug Bounty - État de l’Art Par Yassir Kazar (YogoSha)]

Le meeting est disponible sur Youtube : https://www.youtube.com/watch?v=oko2_zz1CWQ

Merci a [https://www.intrinsec.com/ DragonFly] pour la projection et l'enregistrement live

==Septembre 2016 ==
'''Date''' :
'''Lieu''' : A définir - Paris
'''Horaire''' : 18h30-22h
'''Présentation 1''' : A définir
'''Présentation 2''' : Projet OWASP (a définir) par [mailto:sebastien.gioria@owasp.org Sebastien Gioria]

== Decembre 2016 ==
'''Date''' :
'''Lieu''' : A définir - Paris
'''Horaire''' : 18h30-22h
'''Présentation 1''' : A définir
'''Présentation 2''' : Projet OWASP (a définir) par [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''News OWASP de l'année'''

= Meetings 2015 =

== Decembre 2015 ==
'''Date''' : 3 Décembre 2015
'''Lieu''' : A définir- Paris
'''Horaire''' : 18h30-22h
'''Sponsor''' : [http://www.advens.fr Advens]
'''Présentation 1''' : A définir
'''Présentation 2''' : Projet OWASP (a définir) par [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''News OWASP de l'année'''

== Septembre 2015 ==
'''Date''' : 18 Septembre 2015
'''Lieu''' : Java User Group, Summer Camp - La Rochelle
'''Horaire''' : 17h-18h
'''Présentation''' : [http://www.slideshare.net/SebastienGioria/42-minutes-to-secure-your-code 42 minutes to secure your code]

== Mars 2015 ==
'''Date''' : 19 Mars 2015
'''Lieu''' : ChtiJug Lille
'''Horaire''' : 19h-22h
'''Présentation''' : [http://www.slideshare.net/SebastienGioria/secure-coding-for-java-une-introduction Secure Coding for Java, une introduction]

= Meetings 2014 =
== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : [https://fr.slideshare.net/SebastienGioria/2014-0605mozillaafup-35696709 Etat de la Menace, et actualités de la sécurité Web] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/ Podcast] - [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : [https://fr.slideshare.net/hellosct1/la-securiteetphp La sécurité avec PHP] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-security-in-php-by-christophe-villeneuve/ Podcast] - Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-application-security-by-stephanie-ouillon/ Podcast] - Stéphanie Ouillon / Mozilla

==OWASP European Chapter Tour 2013, Sophia-Antipolis, France, 24 Juin 2013==
'''Présentation''' : "[https://www.owasp.org/images/1/10/Synth%C3%A8se.ppt Synthèse]"'''
'''Présentation''' : "[https://www.owasp.org/images/9/96/EuTour_-_Owasp_Eurecom.pdf Introduction]"'''
'''Présentation''' : "[https://www.owasp.org/images/5/50/EuTour-providers.pdf The Role of Web Hosting Providers in Detecting Compromised Websites]"'''
'''Présentation''' : "[https://www.owasp.org/images/f/fc/EuTour-webhoneypots.pdf Behind the Scenes of Web Attacks]"'''
'''Présentation''' : "[https://www.owasp.org/images/8/8d/Pellegrino-OWASP_EUTour2013.pdf Logic Vulnerabilities in eCommerce Web Applications]"'''

'''Résumé''' :
Meeting de grande qualité, présentations très intéressantes.
Nous remercions EURECOM pour avoir eu l'amabilité d'héberger le meeting, ainsi que les speakers pour leur prestation très appréciée!

'''Speaker''' : Aurélien Francillon: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Davide Balzarotti: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Giancarlo Pellegrino: Doctorant, Département "Réseaux et sécurité", EURECOM et chercheur, SAP AG EURECOM
'''Speaker''' : Ely de Travieso: Owasp France, Directeur Phonesec
'''Speaker''' : Maurizio Abbà: Etudiant en Master, EURECOM
'''Speaker''' : Davide Canali: Doctorant, Département "Réseaux et sécurité", EURECOM

==Looking Forward… and Beyond, Distinctiveness Through Security Excellence==
'''Présentation''' : "[https://www.owasp.org/images/5/50/Looking_Forward%E2%80%A6_and_Beyond.pptx Looking Forward… and Beyond]"'''
'''Résumé''' :
Here is a presentation I gave in Sept for a big Software maker in an internal meeting. This presentation aims to be re-used at your convenience depending the needs / your context. Designed into 3 parts, this presentation is / could be useful for local Chapters, any Security Awareness purposes, or people and firms interested about OWASP and willing to join the Foundation as Member. The first 2 parts are more an update for those who are not yet familiar with OWASP, the 3rd part being more specific because about a hot topic that is gaining importance in the context of Application Security.
1st part is about OWASP.
2nd part is an update about the main OWASP Projects and Reboot.
3rd part is about Legal, the evolution of the legal framework, with a focus on the question "Developers, Software makers held liable for code?"
I hope this helps anyway. Enjoy and feel free to email me, all comments welcome!

'''Speaker''' : Ludovic Petit

==28 Mars 2012 Meeting du premier trimestre==
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : "[https://www.owasp.org/images/6/6d/Developer_Top_Ten_Core_Controls_v4.1.pptx Top Ten Web Defenses]"'''
'''Résumé''' :
Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape.
This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.
Access Control is a necessary security control at almost every layer within a web application.
This talk will also detail several of the key access control anti-patterns commonly found during website security audits.
These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms.
In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
Jim Manico is the VP of Security Architecture at WhiteHat Security. Jim has been a web application developer since 1997.
He has also been an active member of OWASP since 2008 supporting projects that help developers write secure code.
'''Enregistrement en ligne sur''' : http://201203owaspfr.eventbrite.com/

== 7 et 8 Février 2012 - [http://www.microsoft.com/france/mstechdays/ Techdays Microsoft 2012] ==

Sébastien présentera un talk sur [http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx?SessionID=62e02774-6045-4be8-80ff-8332a793ad4f HTML5et la Sécurité] le 7 Février 2012 à 17h30.
Plus d'informations sur la page dédiée aux TechDays Microsoft 2012. ==

== 6 Janvier 2012 - Nouveau Groupe de Travail sur la Sécurité des Web Services au [http://www.clusif.fr CLUSIF] ==

Dans la continuité du Groupe de Travail sur la Sécurité des Application Web initialement créé en 2009, le CLUSIF a lancé un nouveau groupe de travail autour de la sécurité des WebServices. N'hésitez pas à participer si vous êtes intéressés. Le CLUSIF recherche des utilisateurs pour ce groupe de travail et des personnes en environnements Microsoft pour disposer d'un panel le plus large possible pour ce document

Contact : [mailto:sebastien.gioria@owasp.org Sébastien Gioria]

== 19 Décembre 2011 - Publication du deuxième document du [http://www.clusif.fr CLUSIF] sur la Sécurité des Applications Web ==

Le CLUSIF a publié son deuxième document sur la [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Defense-en-profondeur-des-applications-Web.pdf Défense en profondeur des applications Web]. Ce document fait suite au [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf premier document publié en 2009]

== 15 Décembre 2011 Conférence du [http://www.clusif.fr CLUSIF] sur la [http://www.clusif.fr/fr/infos/event/#conf111215 sécurité des applications Web] ==

Le CLUSIF a présenté la conférence Sécurité des Applications Web le jeudi 15 décembre 2011 au cercle National des Armées.
Le programme était :

* Mise en place d'une politique de sécurité applicative : retour d'expérience d'un RSSI par Philippe LARUE - Responsable Sécurité - [http://www.cbp-prevoyance.com/ CBP]
* Revue de code source, ou test sécurité applicatif, quel est le plus efficient pour évaluer un niveau de sécurité applicatif ? par Sébastien GIORIA - Consultant Senior [http://www.groupey.fr Groupe Y] et leader du chapitre Français de [https://www.owasp.org l'OWASP] - OWASP France
* Les enjeux réglementaires de la protection des informations en ligne par Garance MATHIAS - Avocat - Cabinet d'Avocats

Les présentations sont disponibles sur le site du [http://www.clusif.fr CLUSIF], les vidéos de l'intervention seront aussi disponible.

== 2 Décembre 2011 - [[OWASP BeNeLux 2011 Conference - University of Luxembourg]] ==

Ludovic had a talk about "[https://www.owasp.org/index.php/BeNeLux_OWASP_Day_2011#tab=Conference.2C_December_2nd WebApp Security and Legal aspects]" on Dec 2.

*'''Overview'''
**This presentation aims to be used by anybody willing to spread the voice of OWASP. See this as an Awareness session.
**Use it and use it again.
**Try to open your mind, just met me know if I can help.

*'''Abstract Title: "[https://www.owasp.org/images/5/55/Do_you..._Legal_-_OWASP_BeNeLux_Day_-_2_Dec_2011.pptx Do you... Legal?]"'''
**The OWASP core mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. However, if you do not pay enough attention to many aspects of Legal compliance, you'll see why Web Application Security is somehow linked to Legal and Regulatory aspects as well as... Corporate Responsability, so yours. Who is accountable for what, what about each other's responsibility? Nowadays, the legal constraints oblige us to comply via technical means, whatever the local framework, and this is specially true for Web Application Security, many sensitive informations having to be handled through these web interfaces. A such, what do you think about your Security Policy compliance with your local Legal framework? Compliant? Sure? Really? Interesting isn't it? Let's have a talk about this.

=== [[EUROPE - ENISA’s Who-is-Who Directory on Network and Information Security]] ===

We are pleased to announce that OWASP France is part of the [http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011 ENISA’s Who-is-Who Directory].

The ENISA is the European Network and Information Security Agency.
[http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011/at_download/fullReport The ENISA Who-is-Who Directory on Network and Information Security 2011] contains information on NIS stakeholders, such as national and European authorities and NIS organisations, contact details, websites, and areas of responsibilities or activities.
This Directory serves as the "yellow pages" of Network and Information Security (NIS) in Europe. As such, it is a useful tool for those working closely with NIS issues in Europe.

=Chapter Meeting 2014 =

== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : [https://fr.slideshare.net/SebastienGioria/2014-0605mozillaafup-35696709 Etat de la Menace, et actualités de la sécurité Web] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/ Podcast] - [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : [https://fr.slideshare.net/hellosct1/la-securiteetphp La sécurité avec PHP] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-security-in-php-by-christophe-villeneuve/ Podcast] - Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-application-security-by-stephanie-ouillon/ Podcast] - Stéphanie Ouillon / Mozilla

= Chapter Meetings 2013 =

== Q1 2013 ==
'''Date''' : 7 février 2013
'''Lieu''' : Gemalto - Salle Plazza, 6 rue de la Verrerie, 92197 Meudon-sur-Seine
'''Horaire''' : 18h30 à 21h
'''Présentation''' : Update sur les '''Projets OWASP''', Ludovic
'''Présentation''' : '''Evolution du Cadre Légal - Developers, Software makers held liable for code?'''[[https://www.owasp.org/images/2/2a/Chapter_Meeting_OWASP_France_-_7_Feb_2013.pdf]] Ludovic
'''Présentation''' : '''Données personnelles: le nouveau projet de règlement européen'''[http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen], Thiébaut Devergranne
'''Breaking News''' : Présentation de l''''OWASP France Day''' que nous souhaitons organiser en mars, Ludovic & Sébastien
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien
'''Update''' : '''Relations Partenaires''' & '''Adhésions''', Ely de Travieso

Pour nous accompagner lors de ce meeting, Thiébaut Devergranne, docteur en droit et consultant. Thiébaut travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre.

''''''Speakers'''''' : Ludovic Petit, Sébastien Gioria, Ely de Travieso, Thiébaut Devergranne
'''Enregistrement en ligne ici''' : https://www.eventbrite.com/event/4615236296

'''Date''' : 12 mars 2013
'''Lieu''' : Solucom, Tour Franklin, 100-101 Terrasse Boieldieu, 92042 Paris La Défense
'''Horaire''' : 09h00 à 12h30
'''Présentation''' : Secure Coding (en Anglais), Jim Manico
'''Présentation''' : Sécurité Applicative: l’Organisation, clé de la réussite!, Gérôme Billois
'''Présentation''' : OWASP News & Update, Ludovic Petit & Sébastien Gioria
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien

'''Présentation globale''' : '''Chapter Meeting OWASP France 12 Mars'''[[https://www.owasp.org/images/2/2d/Chapter_Meeting_OWASP_France_12_Mars.pdf]]

Les sujets abordés par Jim Manico:
'''Authentication Best Practices for Developers:''' This module will discuss the security mechanisms found within an authentication (AuthN) layer of a web application. We will review a series of historical authentication threats. We will also discuss a variety of authentication design patterns necessary to build a low-risk high-security web application. Session management threats and best practices will also be covered. This module will include several technical demonstrations and code review labs.

'''Access Control Design Best Practices:''' Access Control is a necessary security control at almost every layer within a web application. This talk will discuss several of the key access control anti-patterns commonly found during website security audits. These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.

''''''Speakers'''''' : Jim Manico, Gérôme Billois, Ludovic Petit, Sébastien Gioria
'''Enregistrement en ligne obligatoire''' : http://owaspfrance12mars2013.eventbrite.com/

= Appel à contribution OWASP France =

Ici seront relayés les différents appels à contributions du Chapitre (Sponsors, talks, etc.).

= Appel à contributions externes =

Ici seront relayés les appels à contributions que nous estimons interessants pour le Chapitre.

= Meetings 2012 =

== Q1 2012 ==
'''Date''' : 28 Mars 2012
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : Web Application Access Control Design Excellence
'''Résumé''' : Access Control is a necessary security control at almost every layer within a web application.
This talk will discuss several of the key access control anti-patterns commonly found during
website security audits. These access control anti-patterns include hard-coded security policies,
lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these
and other access control problems, we will discuss and design a positive access control mechanism
that is data contextual, activity based, configurable, flexible, and deny-by-default - among other
positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
'''Enregistrement en ligne ici''' : http://201203owaspfr.eventbrite.com/

== Q2 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q3 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q4 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

= 2011 Meetings =

=== [[May 2011 - Paris Meeting]] ===

[Logo to be placed here]

We are honored to welcome '''Jim Manico''' during his European Tour in the Netherlands, Belgium and France.

*'''Overview'''
**Apart from OWASP's Top 10, most OWASP Projects are not widely used and understood. In most cases this is not due to lack of quality and usefulness of those Document & Tool projects, but due to a lack of understanding of where they fit in an Enterprise's security ecosystem or in the Web Application Development Life-cycle.
**This course aims to change that by providing a selection of mature and enterprise ready projects together with practical examples of how to use them.
**The course will be very practical where demonstration and hands-on exercises will be provided for the tools covered.
**If you are interested in participating in the hands on portion of the course, please bring a laptop.

*'''Abstract Title: "[https://www.owasp.org/images/f/f4/Future_of_XSS_v4.pptx The Ghost of XSS Past, Present and Future. A Defensive Tale]"'''
**This talk will discuss the past methods used for XSS defense that were only partially effective. Learning from these lessons, will will also discuss present day defensive methodologies that are effective, but place an undue burden on the developer. We will then finish with a discussion of future XSS defense mythologies that shift the burden of XSS defense from the developer to various frameworks. These include auto-escaping template technologies, browser-based defenses such as Content Security Policy, and Javascript sandboxes such as the Google CAJA project and JSReg.

*'''Speaker'''
**'''Jim Manico''' is a managing partner of Infrared Security with over 15 years of professional web development experience. Jim is also the Chair of the OWASP Connections Committee, one of the Project Managers of the OWASP ESAPI Project, a participant and manager of the OWASP Cheatsheet series, the Producer and host of the OWASP Podcast Series, the Manager of the OWASP Java HTML Sanitizer project and the manager of the OWASP Java Encoder project. When not OWASP'ing, Jim lives on of island of Kauai with his lovely wife Tracey.

*'''Date'''
**May 24, 2011

*'''Venue'''
**Paris

*'''Registration'''
**[http://www.regonline.com/Register/Checkin.aspx?EventID=971375 Click here]

== 26 Avril 2011 ==

'''Le 26 Avril 2011 dans les locaux de [http://www.groupey.fr/nos-cabinets-paris.html GROUPE Y] :'''

* 9:00: [https://www.owasp.org/images/2/2f/Agenda_26th_April_2011.pptx Introduction] - '''Ludovic Petit''' & '''Sébastien Gioria'''
* 9:30: [https://www.owasp.org/images/3/36/OPENSAMM2.pptx OpenSAMM] - '''Antonio Fontes''' (Chapter Leader OWASP Geneva)
* 11:00: [https://www.owasp.org/images/c/cf/OWASP_Cloud_Top_10.pptx OWASP Cloud Top 10 Project] - '''Ludovic Petit''' (Chapter Leader OWASP France & OWASP Global Education Committee Member)
* 11:45: [https://www.owasp.org/images/5/5c/ESAPI_Swingset_talk_at_Paris.ppt OWASP ESAPI] - '''Fabio Cerullo''' (Chapter Leader OWASP Ireland & Global Education Committee)
* 14:15: [https://www.owasp.org/images/3/38/OWASP_Testing_Guide.pptx OWASP Testing Guide] - '''Sébastien Gioria''' (French Chapter Leader & OWASP Global Education Committee Member)
* 15:15: [http://o2platform.com OWASP 02 Platform - Live Session] - '''Dinis Cruz''' (OWASP O2 Project Leader)
* 16:30: [https://www.owasp.org/images/9/96/OWASP-Paris2011-VV-CodeReview.pdf OWASP Code Review] - '''Victor Vuillard'''

= 2009 Meetings =

'''Le 6 Mai 2009 à 17h30 à [http://www.epitech.eu L'EPITECH] :'''

* 17h30 : Accueil des participants
* 18h - 18h 15 : [http://www.owasp.org/images/d/dc/OWASP_Paris_Meeting_-_May_2009.pdf Welcome et overview of agenda] '''(Board OWASP France)'''
* 18h30 - 19h : [http://www.owasp.org/images/6/6b/2009-05-06-OWASPFR-WebServices.pdf Attaques sur les Web Services] - '''Renaud Bidou'''
* 19h15 - 19h45 : [http://www.owasp.org/images/8/82/2009-05-06-OWASPFR-OpenSAM.pdf Software Security Initiatives in the Real World] - '''Claudio Merloni'''
* 20h : Close

A propos des Speakers :

'''''Renaud Bidou :''' ''Directeur Technique de DenyAll. Il travaille depuis plus de 10 ans dans la sécurité et a publié de nombreux articles et white-papers touchant à des sujets aussi variés que les dénis de service, les portknockers, les botnets, la mise en place d’un SOC, l’analyse graphique d’attaques ou encore les techniques de contournements.

'''''Claudio Merloni : '''''Claudio Merloni est Software Security Consultant chez Fortify Software. Ses expériences dans le domaine de la sécurité embrassent la sécurité applicative, revue de code, architectures sécurisées, analyse des risques, conformité, test de sécurité à niveau réseau, système et applicatif, monitoring, contrôle d'accès. Il a participé a plusieurs conférences, entre lesquelles BlackHat et CONFidence.

'''Le Lieu : EPITECH'''

Amphi 2

14-16 rue Voltaire

94276 Kremlin Bicêtre Cedex

''Moyens d'accès Métro''
* ligne 7 : Porte d'Italie

''Bus''
* ligne 47, 125, 131, 185 : Roger Salengro
* ligne 186 : Pierre Brossolette 

''Voiture''
* périphérique : sortie Porte d'Italie

= Translation effort =

* The '''OWASP TOP Ten 2010 in French''' is [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20French.pdf available]
* 2010-08-30 : La version française du Top 10 2010 est disponible [http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project]
* 2008-02-15 : Le Top10 2007 est en version Française [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.pdf Format PDF], [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.doc Format Word]
* 2007-11-16 : [https://www.owasp.org/images/5/52/Owasp_tryptique.pdf Folio 2 pages Recto/verso] de présentation pour Infosecurity.
* 2007-02-27 : [[Newsletter_francaise_num%C3%A9ro_1]]
* 2007-06-20 : Présentation de l'OWASP faite à NY en Juin 2007 [https://www.owasp.org/images/7/71/20070620-FR-OWASP_NY_Keynote.ppt]
[[Category:Europe]]

= Old News =

* 2009-06-09 : [http://www.owasp.org/images/d/d2/20090609-CERT-IST-WAF-v0.1.pdf Intervention sur les WAF] lors du Forum [http://www.cert-ist.com CERT-IST]
* 2009-02-03 : L'OWASP France sera présent à [http://www.pci-portal.com/events/event-info/paris PCI Paris]. La présentation est : [https://www.owasp.org/images/f/fb/20090203-OWASP_PCI-Global_2009_Paris_-_v03.ppt l'OWASP et l'exigence 6.5 de PCI-DSS]
* 2008-11-19 : L'OWASP France sera présent sur [http://www.infosecurity.com.fr/FR/badge?ref=OWAW Infosecurity France] à Paris :
[http://www.infosecurity.com.fr/index.php?argRedirect=FR|badge&Lang=FR&ref=OWAW https://www.owasp.org/images/8/88/Infosecurity.gif]

* 2008-07-08 : L'OWASP France a présenté le projet OWASP à l'[http://www.ossir.org OSSIR]. La présentation est disponible sur le site de [https://www.owasp.org/images/9/94/20080708-OWASP_OSSIR.ppt l'OWASP]
* 2008-02-15 : Le Top10 2007 est en version Francaise
* 2008-02-11 : Présentation aux [http://www.owasp.org/images/0/09/20080129-OWASP_TechDays_France_.ppt TechDays 2008 Microsoft ]
* 2007-11-22 : Présentation a Infosecurity France [http://www.owasp.org/images/8/85/20071122-OWASP_Infosecurity_France.ppt de l'OWASP]
* 2007-11-07 : Interview dans le [http://www.journaldunet.com/developpeur/itws/071106-securite-applicative-owasp.shtml Journal du Net]
* 2007-10-05 : L'OWASP France présentera les enjeux de la sécurité des [http://www.infosecurity.com.fr/?Jpto=116&KM_Session=f345bb91df954e6cbc0148328f109e94&CurrentNode=518&Lang=FR&IdNode=708 Services WEB à Infosecurity France le 22/11/2007]
* 2006-12-18 : Mise en place de l'association pour supporter le groupe OWASP
* 2006-12-14 : Le Hub OWASP Viaduc a vu le jour http://www.viadeo.com/hub/affichehub/?hubId=002fj37grgb7o7n
* 2006-12-13 : Naissance du chapitre Francais de l'OWASP. Une liste de diffusion est disponible.[http://lists.owasp.org/mailman/listinfo/owasp-france Abonnez vous]

 __NOTOC__ <headertabs />

File:Yogosha-OWASP.pdf

2016-07-11T13:33:59Z

SebastienGioria:

File:OWASP-fr Meeting Shepherd-demo.pdf

2016-07-11T13:29:43Z

SebastienGioria:

2015-06-12T09:42:13Z

SebastienGioria: /* Road Map and Getting Involved */

=Main=

<div style="width:100%;height:160px;border:0,margin:0;overflow: hidden;">[[File:Cornucopia-header.jpg|link=]]</div>
<div style="width:100%;height:90px;border:0,margin:0;overflow: hidden;">[[File: lab_big.jpg|link=OWASP_Project_Stages#Lab_Projects]]</div>

{| style="padding: 0;margin:0;margin-top:10px;text-align:left;" |-
| valign="top" style="border-right: 1px dotted gray;padding-right:25px;" |

==OWASP Cornucopia==
OWASP Cornucopia is a mechanism in the form of a card game to assist software development teams identify security requirements in Agile, conventional and formal development processes. It is language, platform and technology agnostic.

==Introduction==
The idea behind Cornucopia is to help development teams, especially those using Agile methodologies, to identify application security requirements and develop security-based user stories. Although the idea had been waiting for enough time to progress it, the final motivation came when [http://www.safecode.org/ SAFECode] published its [http://www.safecode.org/publications/SAFECode_Agile_Dev_Security0712.pdf Practical Security Stories and Security Tasks for Agile Development Environments] in July 2012.

The Microsoft SDL team had already published its super [http://www.microsoft.com/security/sdl/adopt/eop.aspx Elevation of Privilege: The Threat Modeling Game] (EoP) but that did not seem to address the most appropriate kind of issues that web application development teams mostly have to address. EoP is a great concept and game strategy, and was [http://blogs.msdn.com/b/sdl/archive/2010/03/02/announcing-elevation-of-privilege-the-threat-modeling-game.aspx published under] a [http://creativecommons.org/licenses/by/3.0/ Creative Commons Attribution License].
Cornucopia {{#switchtablink:Ecommerce Website Edition|Ecommerce Website Edition}} is based the concepts and game ideas in EoP, but those have been modified to be more relevant to the types of issues ecommerce website developers encounter. It attempts to introduce threat-modelling ideas into development teams that use Agile methodologies, or are more focused on web application weaknesses than other types of software vulnerabilities or are not familiar with STRIDE and DREAD.

==The Card Decks==

''Ecommerce Website Edition''

Instead of EoP’s STRIDE suits, Cornucopia suits were selected based on the structure of the [https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide OWASP Secure Coding Practices - Quick Reference Guide] (SCP), but with additional consideration of sections in the [https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project OWASP Application Security Verification Standard], the [https://www.owasp.org/index.php/OWASP_Testing_Project OWASP Testing Guide] and David Rook’s [http://www.securityninja.co.uk/secure-development/the-principles-place/ Principles of Secure Development]. These provided five suits, and a sixth called “Cornucopia” was created for everything else:

* Data validation and encoding
* Authentication
* Session management
* Authorization
* Cryptography
* Cornucopia

Each suit contains 13 cards (Ace, 2-10, Jack, Queen and King) but, unlike EoP, there are also two Joker cards. The content was mainly drawn from the SCP.

''Other Decks''

Future editions such as for mobile app development will use different sources of information and suits.

==Mappings==
The other driver for Cornucopia is to link the attacks with requirements and verification techniques. An initial aim had been to reference [http://cwe.mitre.org/ CWE] weakness IDs, but these proved too numerous, and instead it was decided to map each card to [http://capec.mitre.org/ CAPEC] software attack pattern IDs which themselves are mapped to CWEs, so the desired result is achieved.

Each card is also mapped to the 36 primary security stories in the [http://www.safecode.org/publications/SAFECode_Agile_Dev_Security0712.pdf SAFECode document], as well as to the OWASP [https://www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide SCP v2], [https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project ASVS v2 2014] and [https://www.owasp.org/index.php/OWASP_AppSensor_Project AppSensor] (application attack detection and response) to help teams create their own security-related stories for use in Agile processes.

==Licensing==
OWASP Cornucopia is free to use. It is licensed under the [http://creativecommons.org/licenses/by-sa/3.0/ Creative Commons Attribution-ShareAlike 3.0 license], so you can copy, distribute and transmit the work, and you can adapt it, and use it commercially, but all provided that you attribute the work and if you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one.

© OWASP Foundation

==Other Security Gamification==
If you are interested in using gaming for security, also see [http://www.microsoft.com/security/sdl/adopt/eop.aspx Elevation of Privilege: The Threat Modeling Game] mentioned above, [http://securitycards.cs.washington.edu/ Security Cards] from the University of Washington, the commercial card game [http://www.controlalthack.com/ Control-Alt-Hack] ([http://media.blackhat.com/bh-us-12/Briefings/Kohno/BH_US_12_Kohno_Control_Alt_Hack_Slides.pdf presentation] for latter), [https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders OWASP Snakes and Ladders], and web application security training tools incorporating gamification such as [https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project OWASP Hackademic Challenges Project], [https://www.owasp.org/index.php/OWASP_Security_Shepherd OWASP Security Shepherd] and [http://itsecgames.blogspot.co.uk/ ITSEC Games].

Additionally, Adam Shostack maintains a list of tabletop security games and related resources at [http://adam.shostack.org/games.html security games].

| valign="top" style="padding-left:25px;width:200px;border-right: 1px dotted gray;padding-right:25px;" |

== What is Cornucopia? ==

OWASP Cornucopia is a card game used to help derive application security requirements during the software development life cycle. To start using Cornucopia:

* Download the document
* Print the cards onto plain paper or pre-scored card
* Cut/separate the individual cards
* Identify an application, module or component to assess
* Invite business owners, architects, developers, testers along for a card game
* Get those infosec folk to provide chocolate, pizza, beer, flowers or all four as prizes
* Select a portion of the deck to start with
* {{#switchtablink:How to Play|Play the game}} to discuss & document security requirements (and to win rounds)
* Remember, points make prizes!

Listen to the [http://trustedsoftwarealliance.com/2014/03/21/the-owasp-cornucopia-project-with-colin-watson/ OWASP 24/7 Podcast] about Cornucopia.

== Presentation ==

[[File:Cornucopia-presentation-small.jpg|link=media:Owaspnl-colinwatson-cornucopia.odp]]

The game rules are in the document download. But the OpenOffice [[media:Owasplondon-colinwatson-cornucopia.odp|project presentation]] includes an animated version of four demonstration rounds. The presentation is recorded [http://youtu.be/Q_LE-8xNXVk on video].

== Project Leader ==

Colin Watson

== Related Projects ==

* [[OWASP Secure Coding Practices - Quick Reference Guide]]
* [[:Category:OWASP Application Security Verification Standard Project|OWASP Application Security Verification Standard]]

| valign="top" style="padding-left:25px;width:200px;" |

== Quick Download ==

* Cornucopia - Ecommerce Website Edition v1.10 EN A4
** [https://www.owasp.org/index.php/File:OWASP-Cornucopia-Ecommerce_Website.docx DOC]
** [https://www.owasp.org/index.php/File:Owasp-cornucopia-ecommerce_website.pdf PDF]
** {{#switchtablink:Get the Cards|More options...}}
* [https://youtu.be/i5Y0akWj31k How to Play] video
* [https://www.owasp.org/index.php/File:Cornucopia-scoresheet.pdf Scoresheet]

== Reference Files ==

* [https://www.owasp.org/index.php/File:OWASP_SCP_Quick_Reference_Guide_v2.pdf OWASP SCP requirements]
* [https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf OWASP ASVS verification IDs]
* [https://www.owasp.org/index.php/AppSensor_DetectionPoints OWASP AppSensor attack detection point IDs]
* [http://capec.mitre.org/data/archive/capec_v1.7.1.zip CAPEC IDs]
* [http://www.safecode.org/publications/SAFECode_Agile_Dev_Security0712.pdf SAFECode security-focused story IDs]

The OWASP SCP does not include identity values for the requirements, so please use [https://www.owasp.org/index.php/File:Owasp-requirements-numbering.zip this list].

== News and Events ==
* [01 Jun 2015] [https://youtu.be/i5Y0akWj31k How to Play video] published
* [20 May 2015] Working session at [http://2015.appsec.eu/project-summit/ OWASP Project Summit] - How to play video
* [31 Mar 2015] v1.10 released
* [02 Mar 2015] Decks available from [https://www.owasp.org/index.php/OWASP_Merchandise#Cornucopia_Cards OWASP merchandise store]
* [18 Feb 2015] Project awarded Labs status
* [26 Jan 2015] Cornucopia Jeopardy in development
* [02 Dec 2014] Presentation at [https://www.owasp.org/index.php/Cambridge OWASP Cambridge]
* [18 Sep 2014] Free card decks for attendees at [http://2014.appsecusa.org/2014/ AppSecUSA 2014]
* [23 Jul 2014] OWASP branded box design being progressed by [https://www.owasp.org/index.php/NYC OWASP New York City] chapter
* [24-26 Jun 2014] Free printed decks given out at AppSec EU 2014
* [16 Jun 2014] Shortlisted for UK [http://nia.nominet.org.uk/news/shortlist-for-the-nominet-internet-awards-published Nominet Internet Awards 2014] in the Making the Internet a Safer Place [http://nia.nominet.org.uk/categories category]
* [09 May 2014] Source artwork files for v1.04 now available via OWASP repository

==PCIDSS==
[[File:Cornucopia-pcidss-ecommerce-guidelines-small.jpg|link=https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf]]

OWASP Cornucopia Ecommerce Website Edition is referenced in the current [https://www.pcisecuritystandards.org Payment Card Industry Security Standards Council] information supplement [https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf PCI DSS E-commerce Guidelines] v2, January 2013

==Classifications==

{| width="200" cellpadding="2"
|-
| align="center" valign="top" width="50%" rowspan="2"| [[Image:Owasp-labs-trans-85.png|link=https://www.owasp.org/index.php/OWASP_Project_Stages#tab=Lab_Projects]]
| align="center" valign="top" width="50%"| [[File:Owasp-builders-small.png|link=Builders]]
|-
| align="center" valign="top" width="50%"| [[File:Owasp-defenders-small.png|link=Defenders]]
|-
| colspan="2" align="center" | [[File:Cc-button-y-sa-small.png|link=http://creativecommons.org/licenses/by-sa/3.0/]]
|-
| colspan="2" align="center" | [[File:Project_Type_Files_DOC.jpg|link=]]
|}

|}

= Get the Cards =

==Printed==

[[File:Cornucopia-square-logo-350.jpg|right|link=]]

The current version of Cornucopia Ecommerce Website Edition cards (v1.10 with updated mapping to ASVS v2 2014, and has some minor text changes on the cards) can be printed using the following methods:
# Download and self-print the free [https://www.owasp.org/index.php/File:OWASP-Cornucopia-Ecommerce_Website.docx word-processing document] or [https://www.owasp.org/index.php/File:Owasp-cornucopia-ecommerce_website.pdf PDF]
## Print the document onto business card blank cards; or
## Print the document onto normal card and cut the cards out individually using the guide; or
# Generate your own cards from the free [https://www.owasp.org/index.php/File:Cornucopia-deck-ecommercewebsite-XML.zip source XML data file]

Professionally printed decks of v1.04 are available by two methods - the v1.04 and v1.05 cards are identical (the separate notes differ):
* Purchase decks from the [https://www.owasp.org/index.php/OWASP_Merchandise#Cornucopia_Cards OWASP Merchandise Store]
* Request a free deck of cards gifted to the project by [http://blackfootuk.com/ Blackfoot UK Limited] or download their donated print-ready artwork:
** Request a free [http://blackfootuk.com/cornucopia/receive-a-set-of-cards/ pack of cards (v1.04)] (gifted by Blackfoot UK)
** Download the free [https://4ed64fe7f7e3f627b8d0-bc104063a9fe564c2d8a75b1e218477a.ssl.cf2.rackcdn.com/cornucopia-ecom-1v04-blackfoot.zip print-readyartwork (v1.04)] (gifted by Blackfoot UK) 47Mb Zip

There are also other ways to obtain particular versions:
* Download the free [https://www.owasp.org/index.php/File:Owasp_cornucopia_printreadyimages.zip PDF (v1.03)] (gifted by Travelex)
** Have the cards commercially printed; or
** Import into your own files (such as [http://lists.owasp.org/pipermail/owasp_cornucopia/2014-January/000018.html this way] suggested by Cam Morris via the mailing list)

OWASP does not endorse or recommend commercial products or services.

==Twitter==

Collect/share/use the pseudo-random cards tweeted twice daily [https://twitter.com/OWASPCornucopia @OWASPCornucopia]

= How to Play =

[[File:Cornucopia-card-cornucopia-K.png|right|link=]]
[[File:Cornucopia-card-session-9.png|right|link=]]

It is possible to play Cornucopia in many different ways. Here is one way, and explained in a [https://youtu.be/i5Y0akWj31k YouTube video].

== Primary method ==

;A - Preparations
:A1. Obtain a deck, or print your own Cornucopia deck and separate/cut out the cards
:A2. Identify an application or application process to review; this might be a concept, design or an actual implementation
:A3. Create a data flow diagram
:A4. Identify and invite a group of 3-6 architects, developers, testers and other business stakeholders together and sit around a table (try to include someone fairly familiar with application security)
:A5. Have some prizes to hand (gold stars, chocolate, pizza, beer or flowers depending upon your office culture)
;B - Play
:One suit - Cornucopia - acts as trumps. Aces are high (i.e. they beat Kings). It helps if there is someone dedicated to documenting the results who is not playing.
:B1. Remove the Jokers and a few low-score (2, 3, 4) cards from Cornucopia suit to ensure each player will have the same number of cards
:B2. Shuffle the pack and deal all the cards
:B3. To begin, choose a player randomly who will play the first card - they can play any card from their hand except from the trump suit - Cornucopia
:B4. To play a card, each player must read it out aloud, and explain how (or not) the threat could apply (the player gets a point for attacks that work, and the group thinks it is an actionable bug) - don’t try to think of mitigations at this stage, and don’t exclude a threat just because it is believed it is already mitigated - someone record the card on the score sheet
:B5. Play clockwise, each person must play a card in the same way; if you have any card of the matching lead suit you must play one of those, otherwise they can play a card from any other suit. Only a higher card of the same suit, or the highest card in the trump suit Cornucopia, wins the hand.
:B6. The person who wins the round, leads the next round (i.e. they play first), and thus defines the next lead suit
:B7. Repeat until all the cards are played
;C - Scoring
:The objective is to identify applicable threats, and win hands (rounds):
:C1. Score +1 for each card you can identify as a valid threat to the application under consideration
:C2. Score +1 if you win a round
:C3. Once all cards have been played, whoever has the most points wins
;D - Closure
:D1. Review all the applicable threats and the matching security requirements
:D2. Create user stories, specifications and test cases as required for your development methodology

==Alternative game rules==

* If you are new to the game, remove the two Joker cards to begin with. Add the Joker cards back in once people become more familiar with the process. Apart from the “trumps card game” rules described above which are very similar to the EoP, the deck can also be played as the “twenty-one card game” (also known as “pontoon” or “blackjack”) which normally reduces the number of cards played in each round.
* Practice on an imaginary application, or even a future planned application, rather than trying to find fault with existing applications until the participants are happy with the usefulness of the game.
* Consider just playing with one suit to make a shorter session – but try to cover all the suits for every project. Or even better just play one hand with some pre-selected cards, and score only on the ability to identify security requirements. Perhaps have one game of each suit each day for a week or so, if the participants cannot spare long enough for a full deck.
* Some teams have preferred to play a full hand of cards, and then discuss what is on the cards after each round (instead of after each person plays a card).
* Another suggestion is that if a player fails to identify the card is relevant, allow other players to suggest ideas, and potentially let them gain the point for the card. Consider allowing extra points for especially good contributions.
* You can even play by yourself. Just use the cards to act as thought-provokers. Involving more people will be beneficial though.
* In Microsoft's EoP guidance, they recommend cheating as a good game strategy

=FAQs=

[[File:Cornucopia-card-authorization-8.png|right|link=]]
[[File:Cornucopia-card-cryptography-j.png|right|link=]]

; Can I copy or edit the game?
:Yes of course. All OWASP materials are free to do with as you like provided you comply with the Creative Commons Attribution-ShareAlike 3.0 license. Perhaps if you create a new version, you might donate it to the OWASP Cornucopia Project?

; How can I get involved?
: Please send ideas or offers of help to the project’s mailing list.

; How were the attackers’ names chosen?
: EoP begins every description with words like "An attacker can...". These have to be phrased as an attack but I was not keen on the anonymous terminology, wanting something more engaging, and therefore used personal names. These can be thought of as external or internal people or aliases for computer systems. But instead of just random names, I thought how they might reflect the OWASP community aspect. Therefore, apart from "Alice and Bob", I use the given (first) names of current and recent OWASP employees and Board members (assigned in no order), and then randomly selected the remaining 50 or so names from the current list of paying individual OWASP members. No name was used more than once, and where people had provided two personal names, I dropped one part to try to ensure no-one can be easily identified. Names were not deliberately allocated to any particular attack, defence or requirement. The cultural and gender mix simply reflects theses sources of names, and is not meant to be world-representative.

; Why aren’t there any images on the card faces?
: There is quite a lot of text on the cards, and the cross-referencing takes up space too. But it would be great to have additional design elements included. Any volunteers?

; Are the attacks ranked by the number on the card?
: Only approximately. The risk will be application and organisation dependent, due to varying security and compliance requirements, so your own severity rating may place the cards in some other order than the numbers on the cards.

; How long does it take to play a round of cards using the full deck?
: This depends upon the amount of discussion and how familiar the players are with application security concepts. But perhaps allow 1.5 to 2.0 hours for 4-6 people.

; What sort of people should play the game?
:Always try to have a mix of roles who can contribute alternative perspectives. But include someone who has a reasonable knowledge of application vulnerability terminology. Otherwise try to include a mix of architects, developers, testers and a relevant project manager or business owner.

; Who should take notes and record scores?
: It is better if that someone else, not playing the game, takes notes about the requirements identified and issues discussed. This could be used as training for a more junior developer, or performed by the project manager. Some organisations have made a recording to review afterwards when the requirements are written up more formally.

; Should we always use the full deck of cards?
: No. A smaller deck is quicker to play. Start your first game with only enough cards for two or three rounds. Always consider removing cards that are not appropriate at all of the target application or function being reviewed. For the first few times people play the game it is also usually better to remove the Aces and the two Jokers. It is also usual to play the game without any trumps suit until people are more familiar with the idea.

; What should players do when they have an Ace card that says “invented a new X attack”?
: The player can make up any attack they think is valid, but must match the suit of the card e.g. data validation and encoding). With players new to the game, it can be better to remove these to begin with.

= Acknowledgements =

[[File:Cornucopia-card-data-A.png|right|link=]]

==Volunteers==
Cornucopia is developed, maintained, updated and promoted by a worldwide team of volunteers. The contributors to date have been:

* Simon Bennetts
* Tom Brennan
* Fabio Cerullo
* Oana Cornea
* Johanna Curiel
* Luis Enriquez
* Ken Ferris
* Tobias Gondrom
* Timo Goosen
* Anthony Harrison
* John Herrlin
* Jerry Hoff
* Marios Kourtesis
* Antonis Manaras
* Jim Manico
* Mark Miller
* Cam Morris
* Ravishankar Sahadevan
* Tao Sauvage
* Stephen de Vries
* Colin Watson

Also:

* Attendees at OWASP London, OWASP Manchester and OWASP Netherlands chapter meetings, and the London Gamification meetup, who made helpful suggestions and asked challenging questions
* Blackfoot UK Limited for gifting print-ready design files and scores of professionally printed card decks for distribution at OWASP chapter meetings
* OWASP Foundation for the OWASP box design

==Others==
* Microsoft SDL Team for the Elevation of Privilege Threat Modelling Game, published under a Creative Commons Attribution license, as the inspiration for Cornucopia and from which many ideas, especially the game theory, were copied.
* Keith Turpin and contributors to the “OWASP Secure Coding Practices - Quick Reference Guide”, originally donated to OWASP by Boeing, which is used as the primary source of security requirements information to formulate the content of the cards.
* Contributors, supporters, sponsors and volunteers to the OWASP ASVS, AppSensor and Web Framework Security Matrix projects, Mitre’s Common Attack Pattern Enumeration and Classification (CAPEC), and SAFECode’s “Practical Security Stories and Security Tasks for Agile Development Environments” which are all used in the cross-references provided.
* Playgen for providing an illuminating afternoon seminar on task gamification, and tartanmaker.com for the online tool to help create the card back pattern.
* OWASP staff for managing the ordering, stocking and despatch of printed acrd decks

= Road Map and Getting Involved =

[[File:Cornucopia-card-authentication-7.png|right|link=]]
[[File:Cornucopia-card-joker-a.png|right|link=]]

Version history (see [https://www.owasp.org/index.php/File:OWASP-Cornucopia-Ecommerce_Website.docx uploads]):
* Alpha version (0.40) was issued in August 2012
* Beta version (1.00) was released in February 2013
* Stable release (1.02) was released in August 2013, following feedback from mailing list and use with groups of developers
* Release v1.03 included minor changes
* Release v1.04 included a text correction on one card
* Release v1.05 included additional narrative and FAQs
* Current release v1.10 included cross-references updated for 2014 version of ASVS, contributors updated and minor text changes to cards to improve readability.

As of March 2015, the priorities are:
* Develop Cornucopia Jeopardy
* <strike>Update the document/deck to shorten some card text [completed ready for v1.10]</strike> done
* <strike>Map to ASVS 2014 [in progress for v1.10]</strike> done
* Translate into French (Started in June 2015 by [[User:SebastienGioria]] ) , Japanese, Spanish and other languages [help needed please] - German in progress [from June 2014]
* Promote use of Cornucopia [In progress]
* <strike>Make card decks available via OWASP gear shop</strike> done
* Create a video "how to play"
* Check/update CAPEC mappings

Involvement in the development and promotion of Cornucopia is actively encouraged!
You do not have to be a security expert in order to contribute.
Some of the ways you can help:
==Localization==
Are you fluent in another language? Can you help translate Cornucopia into that language?
==Use and Promote the Cornucopia Card Decks==
Please help raise awareness of Cornucopia by printing cards:
* Use Cornucopia with specifiers, architects, designers, developers, testers and others, in part to train them, but also to solicit feedback on their usability, practicality and appropriateness for their work
* Create video about how to play the game
* Develop a mobile app to play the game
==Feedback==
Please use the [https://lists.owasp.org/mailman/listinfo/owasp_cornucopia friendly project mailing list] for feedback:
* What do like?
* What don't you like?
* What cards don't make sense?
* How could the guidance be improved?
* What other decks would you like to see?
==Keep the Cards Updated==
As the source referenced documents change, we have to update the decks. You may also find errors and omissions. In the first instance, please send a message to the [https://lists.owasp.org/mailman/listinfo/owasp_cornucopia friendly project mailing list] if you have identified errors & omissions, have some time to maintain the source documents, or can help in other ways.
==Create a New Deck==
The only version currently available is the Cornucopia Ecommerce Website Edition in English. We would like to create a new mobile app specific deck, probably using the wonderful [https://www.owasp.org/index.php/OWASP_Mobile_Security_Project OWASP Mobile Security Project] as inspiration for the card source materials. Do you have an idea for your own application security requirements card deck? Perhaps for {{#switchtablink:Mobile App Edition|mobile apps}} or something else?

= About Ecommerce Website Edition =
{{:Projects/OWASP Cornucopia Ecommerce Website Edition | Project About}}

__NOTOC__ <headertabs />

[[Category:OWASP Project]] [[Category:OWASP_Builders]] [[Category:OWASP_Defenders]] [[Category:OWASP_Document]] [[Category:OWASP_Download]]

OWASP SonarQube Project

2014-12-12T20:56:34Z

SebastienGioria: /* News */

OWASP SonarQube Project

2014-12-08T13:10:42Z

SebastienGioria:

France

2014-08-04T12:04:45Z

SebastienGioria: /* Contacts, Présentations, Contributions & Partenariats */

{{Chapter Template|chaptername=France|extra=The '''Chapter Leaders''' are [mailto:ludovic.petit@owasp.org Ludovic Petit] and [mailto:sebastien.gioria@owasp.org Sebastien Gioria]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-france|emailarchives=http://lists.owasp.org/pipermail/owasp-france}}'''
<paypal>France Chapter</paypal>

'''The French Chapter is also available on LinkedIn''': [http://www.linkedin.com/groupInvitation?gid=1638517 '''Join us''', it only takes a minute!]

== Contacts, Présentations, Contributions & Partenariats ==

*[mailto:sebastien.gioria@owasp.org Sebastien Gioria] et [mailto:ludovic.petit@owasp.org Ludovic Petit] sont à votre disposition si vous souhaitez des informations et discuter de la plus-value proposée par la Fondation OWASP, ainsi que sur la Sécurité des Applications Web.

Entreprises, Individuels, Monde Académique, Sponsors, Supports, tout le monde est bienvenu à l'OWASP! L'accès à nos Chapter meetings est gratuit et ouvert à tous.

Pour les Entreprises souhaitant adhérer à l'OWASP, différents [https://www.owasp.org/index.php/Membership mécanismes sont disponibles]. Le montant de l'adhésion annuelle est en partie reversée(jusqu'a 40%) au Projet ou au Chapitre de votre choix. Ce montant est déductible à 100% aux USA, et en partie en France aussi. Pour ceux qui souhaitent adhérer mais ne peuvent pas donner le montant corporate, il est possible d'effectuer des dons au [https://www.owasp.org/index.php/Local_Chapter_Supporter titre de sponsors du chapitre France].

Nos sponsors au titre global OWASP :

'''Corporate sponsor :''' [http://www.gemalto.com GEMALTO]

Nos sponsors au titre du chapitre France :

'''Silver sponsor :''' [http://www.phonesec.com/ PHONESEC] [http://www.lexsi.fr/ LEXSI]

Les fonds collectés servent à organiser les meetings du Chapitre, mais aussi et surtout à construire et organiser avec vous une approche collégiale spécifique répondant à vos souhaits (sessions de sensibilisation, meetings internes, interventions de Speakers, etc.). Tout cela peut être discuté avec le Chapitre Français et acté conjointement avec vous si vous souhaitez adhérer à l'OWASP.

N'hésitez pas à nous solliciter si vous souhaitez discuter d'un sujet particulier, ou si vous souhaitez effectuer une présentation lors d'un meeting du Chapitre France.

Amis journalistes n'hésitez pas à faire appel à nous si vous souhaitez notre concours pour vos articles et reportages, vous êtes les bienvenus et nous en serions honorés. Utilisez notre savoir-faire dans une perspective gagnant-gagnant!

Nous restons modestes dans notre approche, nous souhaitons que le Chapitre OWASP France devienne un de vos contacts de référence. '''Ensembles, Chacun fait plus'''!

'''TEAM stands for... Together Each Achieves More!'''

= News =

== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : [https://fr.slideshare.net/SebastienGioria/2014-0605mozillaafup-35696709 Etat de la Menace, et actualités de la sécurité Web] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/ Podcast] - [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : [https://fr.slideshare.net/hellosct1/la-securiteetphp La sécurité avec PHP] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-security-in-php-by-christophe-villeneuve/ Podcast] - Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-application-security-by-stephanie-ouillon/ Podcast] - Stéphanie Ouillon / Mozilla

==OWASP European Chapter Tour 2013, Sophia-Antipolis, France, 24 Juin 2013==
'''Présentation''' : "[https://www.owasp.org/images/1/10/Synth%C3%A8se.ppt Synthèse]"'''
'''Présentation''' : "[https://www.owasp.org/images/9/96/EuTour_-_Owasp_Eurecom.pdf Introduction]"'''
'''Présentation''' : "[https://www.owasp.org/images/5/50/EuTour-providers.pdf The Role of Web Hosting Providers in Detecting Compromised Websites]"'''
'''Présentation''' : "[https://www.owasp.org/images/f/fc/EuTour-webhoneypots.pdf Behind the Scenes of Web Attacks]"'''
'''Présentation''' : "[https://www.owasp.org/images/8/8d/Pellegrino-OWASP_EUTour2013.pdf Logic Vulnerabilities in eCommerce Web Applications]"'''

'''Résumé''' :
Meeting de grande qualité, présentations très intéressantes.
Nous remercions EURECOM pour avoir eu l'amabilité d'héberger le meeting, ainsi que les speakers pour leur prestation très appréciée!

'''Speaker''' : Aurélien Francillon: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Davide Balzarotti: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Giancarlo Pellegrino: Doctorant, Département "Réseaux et sécurité", EURECOM et chercheur, SAP AG EURECOM
'''Speaker''' : Ely de Travieso: Owasp France, Directeur Phonesec
'''Speaker''' : Maurizio Abbà: Etudiant en Master, EURECOM
'''Speaker''' : Davide Canali: Doctorant, Département "Réseaux et sécurité", EURECOM

==Looking Forward… and Beyond, Distinctiveness Through Security Excellence==
'''Présentation''' : "[https://www.owasp.org/images/5/50/Looking_Forward%E2%80%A6_and_Beyond.pptx Looking Forward… and Beyond]"'''
'''Résumé''' :
Here is a presentation I gave in Sept for a big Software maker in an internal meeting. This presentation aims to be re-used at your convenience depending the needs / your context. Designed into 3 parts, this presentation is / could be useful for local Chapters, any Security Awareness purposes, or people and firms interested about OWASP and willing to join the Foundation as Member. The first 2 parts are more an update for those who are not yet familiar with OWASP, the 3rd part being more specific because about a hot topic that is gaining importance in the context of Application Security.
1st part is about OWASP.
2nd part is an update about the main OWASP Projects and Reboot.
3rd part is about Legal, the evolution of the legal framework, with a focus on the question "Developers, Software makers held liable for code?"
I hope this helps anyway. Enjoy and feel free to email me, all comments welcome!

'''Speaker''' : Ludovic Petit

==28 Mars 2012 Meeting du premier trimestre==
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : "[https://www.owasp.org/images/6/6d/Developer_Top_Ten_Core_Controls_v4.1.pptx Top Ten Web Defenses]"'''
'''Résumé''' :
Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape.
This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.
Access Control is a necessary security control at almost every layer within a web application.
This talk will also detail several of the key access control anti-patterns commonly found during website security audits.
These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms.
In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
Jim Manico is the VP of Security Architecture at WhiteHat Security. Jim has been a web application developer since 1997.
He has also been an active member of OWASP since 2008 supporting projects that help developers write secure code.
'''Enregistrement en ligne sur''' : http://201203owaspfr.eventbrite.com/

== 7 et 8 Février 2012 - [http://www.microsoft.com/france/mstechdays/ Techdays Microsoft 2012] ==

Sébastien présentera un talk sur [http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx?SessionID=62e02774-6045-4be8-80ff-8332a793ad4f HTML5et la Sécurité] le 7 Février 2012 à 17h30.
Plus d'informations sur la page dédiée aux TechDays Microsoft 2012. ==

== 6 Janvier 2012 - Nouveau Groupe de Travail sur la Sécurité des Web Services au [http://www.clusif.fr CLUSIF] ==

Dans la continuité du Groupe de Travail sur la Sécurité des Application Web initialement créé en 2009, le CLUSIF a lancé un nouveau groupe de travail autour de la sécurité des WebServices. N'hésitez pas à participer si vous êtes intéressés. Le CLUSIF recherche des utilisateurs pour ce groupe de travail et des personnes en environnements Microsoft pour disposer d'un panel le plus large possible pour ce document

Contact : [mailto:sebastien.gioria@owasp.org Sébastien Gioria]

== 19 Décembre 2011 - Publication du deuxième document du [http://www.clusif.fr CLUSIF] sur la Sécurité des Applications Web ==

Le CLUSIF a publié son deuxième document sur la [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Defense-en-profondeur-des-applications-Web.pdf Défense en profondeur des applications Web]. Ce document fait suite au [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf premier document publié en 2009]

== 15 Décembre 2011 Conférence du [http://www.clusif.fr CLUSIF] sur la [http://www.clusif.fr/fr/infos/event/#conf111215 sécurité des applications Web] ==

Le CLUSIF a présenté la conférence Sécurité des Applications Web le jeudi 15 décembre 2011 au cercle National des Armées.
Le programme était :

* Mise en place d'une politique de sécurité applicative : retour d'expérience d'un RSSI par Philippe LARUE - Responsable Sécurité - [http://www.cbp-prevoyance.com/ CBP]
* Revue de code source, ou test sécurité applicatif, quel est le plus efficient pour évaluer un niveau de sécurité applicatif ? par Sébastien GIORIA - Consultant Senior [http://www.groupey.fr Groupe Y] et leader du chapitre Français de [https://www.owasp.org l'OWASP] - OWASP France
* Les enjeux réglementaires de la protection des informations en ligne par Garance MATHIAS - Avocat - Cabinet d'Avocats

Les présentations sont disponibles sur le site du [http://www.clusif.fr CLUSIF], les vidéos de l'intervention seront aussi disponible.

== 2 Décembre 2011 - [[OWASP BeNeLux 2011 Conference - University of Luxembourg]] ==

Ludovic had a talk about "[https://www.owasp.org/index.php/BeNeLux_OWASP_Day_2011#tab=Conference.2C_December_2nd WebApp Security and Legal aspects]" on Dec 2.

*'''Overview'''
**This presentation aims to be used by anybody willing to spread the voice of OWASP. See this as an Awareness session.
**Use it and use it again.
**Try to open your mind, just met me know if I can help.

*'''Abstract Title: "[https://www.owasp.org/images/5/55/Do_you..._Legal_-_OWASP_BeNeLux_Day_-_2_Dec_2011.pptx Do you... Legal?]"'''
**The OWASP core mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. However, if you do not pay enough attention to many aspects of Legal compliance, you'll see why Web Application Security is somehow linked to Legal and Regulatory aspects as well as... Corporate Responsability, so yours. Who is accountable for what, what about each other's responsibility? Nowadays, the legal constraints oblige us to comply via technical means, whatever the local framework, and this is specially true for Web Application Security, many sensitive informations having to be handled through these web interfaces. A such, what do you think about your Security Policy compliance with your local Legal framework? Compliant? Sure? Really? Interesting isn't it? Let's have a talk about this.

=== [[EUROPE - ENISA’s Who-is-Who Directory on Network and Information Security]] ===

We are pleased to announce that OWASP France is part of the [http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011 ENISA’s Who-is-Who Directory].

The ENISA is the European Network and Information Security Agency.
[http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011/at_download/fullReport The ENISA Who-is-Who Directory on Network and Information Security 2011] contains information on NIS stakeholders, such as national and European authorities and NIS organisations, contact details, websites, and areas of responsibilities or activities.
This Directory serves as the "yellow pages" of Network and Information Security (NIS) in Europe. As such, it is a useful tool for those working closely with NIS issues in Europe.

=Chapter Meeting 2014 =

== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : [https://fr.slideshare.net/SebastienGioria/2014-0605mozillaafup-35696709 Etat de la Menace, et actualités de la sécurité Web] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/ Podcast] - [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : [https://fr.slideshare.net/hellosct1/la-securiteetphp La sécurité avec PHP] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-security-in-php-by-christophe-villeneuve/ Podcast] - Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-application-security-by-stephanie-ouillon/ Podcast] - Stéphanie Ouillon / Mozilla

= Chapter Meetings 2013 =

== Q1 2013 ==
'''Date''' : 7 février 2013
'''Lieu''' : Gemalto - Salle Plazza, 6 rue de la Verrerie, 92197 Meudon-sur-Seine
'''Horaire''' : 18h30 à 21h
'''Présentation''' : Update sur les '''Projets OWASP''', Ludovic
'''Présentation''' : '''Evolution du Cadre Légal - Developers, Software makers held liable for code?'''[[https://www.owasp.org/images/2/2a/Chapter_Meeting_OWASP_France_-_7_Feb_2013.pdf]] Ludovic
'''Présentation''' : '''Données personnelles: le nouveau projet de règlement européen'''[http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen], Thiébaut Devergranne
'''Breaking News''' : Présentation de l''''OWASP France Day''' que nous souhaitons organiser en mars, Ludovic & Sébastien
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien
'''Update''' : '''Relations Partenaires''' & '''Adhésions''', Ely de Travieso

Pour nous accompagner lors de ce meeting, Thiébaut Devergranne, docteur en droit et consultant. Thiébaut travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre.

''''''Speakers'''''' : Ludovic Petit, Sébastien Gioria, Ely de Travieso, Thiébaut Devergranne
'''Enregistrement en ligne ici''' : https://www.eventbrite.com/event/4615236296

'''Date''' : 12 mars 2013
'''Lieu''' : Solucom, Tour Franklin, 100-101 Terrasse Boieldieu, 92042 Paris La Défense
'''Horaire''' : 09h00 à 12h30
'''Présentation''' : Secure Coding (en Anglais), Jim Manico
'''Présentation''' : Sécurité Applicative: l’Organisation, clé de la réussite!, Gérôme Billois
'''Présentation''' : OWASP News & Update, Ludovic Petit & Sébastien Gioria
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien

'''Présentation globale''' : '''Chapter Meeting OWASP France 12 Mars'''[[https://www.owasp.org/images/2/2d/Chapter_Meeting_OWASP_France_12_Mars.pdf]]

Les sujets abordés par Jim Manico:
'''Authentication Best Practices for Developers:''' This module will discuss the security mechanisms found within an authentication (AuthN) layer of a web application. We will review a series of historical authentication threats. We will also discuss a variety of authentication design patterns necessary to build a low-risk high-security web application. Session management threats and best practices will also be covered. This module will include several technical demonstrations and code review labs.

'''Access Control Design Best Practices:''' Access Control is a necessary security control at almost every layer within a web application. This talk will discuss several of the key access control anti-patterns commonly found during website security audits. These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.

''''''Speakers'''''' : Jim Manico, Gérôme Billois, Ludovic Petit, Sébastien Gioria
'''Enregistrement en ligne obligatoire''' : http://owaspfrance12mars2013.eventbrite.com/

= Appel à contribution OWASP France =

Ici seront relayés les différents appels à contributions du Chapitre (Sponsors, talks, etc.).

= Appel à contributions externes =

Ici seront relayés les appels à contributions que nous estimons interessants pour le Chapitre.

= Meetings 2012 =

== Q1 2012 ==
'''Date''' : 28 Mars 2012
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : Web Application Access Control Design Excellence
'''Résumé''' : Access Control is a necessary security control at almost every layer within a web application.
This talk will discuss several of the key access control anti-patterns commonly found during
website security audits. These access control anti-patterns include hard-coded security policies,
lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these
and other access control problems, we will discuss and design a positive access control mechanism
that is data contextual, activity based, configurable, flexible, and deny-by-default - among other
positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
'''Enregistrement en ligne ici''' : http://201203owaspfr.eventbrite.com/

== Q2 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q3 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q4 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

= 2011 Meetings =

=== [[May 2011 - Paris Meeting]] ===

[Logo to be placed here]

We are honored to welcome '''Jim Manico''' during his European Tour in the Netherlands, Belgium and France.

*'''Overview'''
**Apart from OWASP's Top 10, most OWASP Projects are not widely used and understood. In most cases this is not due to lack of quality and usefulness of those Document & Tool projects, but due to a lack of understanding of where they fit in an Enterprise's security ecosystem or in the Web Application Development Life-cycle.
**This course aims to change that by providing a selection of mature and enterprise ready projects together with practical examples of how to use them.
**The course will be very practical where demonstration and hands-on exercises will be provided for the tools covered.
**If you are interested in participating in the hands on portion of the course, please bring a laptop.

*'''Abstract Title: "[https://www.owasp.org/images/f/f4/Future_of_XSS_v4.pptx The Ghost of XSS Past, Present and Future. A Defensive Tale]"'''
**This talk will discuss the past methods used for XSS defense that were only partially effective. Learning from these lessons, will will also discuss present day defensive methodologies that are effective, but place an undue burden on the developer. We will then finish with a discussion of future XSS defense mythologies that shift the burden of XSS defense from the developer to various frameworks. These include auto-escaping template technologies, browser-based defenses such as Content Security Policy, and Javascript sandboxes such as the Google CAJA project and JSReg.

*'''Speaker'''
**'''Jim Manico''' is a managing partner of Infrared Security with over 15 years of professional web development experience. Jim is also the Chair of the OWASP Connections Committee, one of the Project Managers of the OWASP ESAPI Project, a participant and manager of the OWASP Cheatsheet series, the Producer and host of the OWASP Podcast Series, the Manager of the OWASP Java HTML Sanitizer project and the manager of the OWASP Java Encoder project. When not OWASP'ing, Jim lives on of island of Kauai with his lovely wife Tracey.

*'''Date'''
**May 24, 2011

*'''Venue'''
**Paris

*'''Registration'''
**[http://www.regonline.com/Register/Checkin.aspx?EventID=971375 Click here]

== 26 Avril 2011 ==

'''Le 26 Avril 2011 dans les locaux de [http://www.groupey.fr/nos-cabinets-paris.html GROUPE Y] :'''

* 9:00: [https://www.owasp.org/images/2/2f/Agenda_26th_April_2011.pptx Introduction] - '''Ludovic Petit''' & '''Sébastien Gioria'''
* 9:30: [https://www.owasp.org/images/3/36/OPENSAMM2.pptx OpenSAMM] - '''Antonio Fontes''' (Chapter Leader OWASP Geneva)
* 11:00: [https://www.owasp.org/images/c/cf/OWASP_Cloud_Top_10.pptx OWASP Cloud Top 10 Project] - '''Ludovic Petit''' (Chapter Leader OWASP France & OWASP Global Education Committee Member)
* 11:45: [https://www.owasp.org/images/5/5c/ESAPI_Swingset_talk_at_Paris.ppt OWASP ESAPI] - '''Fabio Cerullo''' (Chapter Leader OWASP Ireland & Global Education Committee)
* 14:15: [https://www.owasp.org/images/3/38/OWASP_Testing_Guide.pptx OWASP Testing Guide] - '''Sébastien Gioria''' (French Chapter Leader & OWASP Global Education Committee Member)
* 15:15: [http://o2platform.com OWASP 02 Platform - Live Session] - '''Dinis Cruz''' (OWASP O2 Project Leader)
* 16:30: [https://www.owasp.org/images/9/96/OWASP-Paris2011-VV-CodeReview.pdf OWASP Code Review] - '''Victor Vuillard'''

= 2009 Meetings =

'''Le 6 Mai 2009 à 17h30 à [http://www.epitech.eu L'EPITECH] :'''

* 17h30 : Accueil des participants
* 18h - 18h 15 : [http://www.owasp.org/images/d/dc/OWASP_Paris_Meeting_-_May_2009.pdf Welcome et overview of agenda] '''(Board OWASP France)'''
* 18h30 - 19h : [http://www.owasp.org/images/6/6b/2009-05-06-OWASPFR-WebServices.pdf Attaques sur les Web Services] - '''Renaud Bidou'''
* 19h15 - 19h45 : [http://www.owasp.org/images/8/82/2009-05-06-OWASPFR-OpenSAM.pdf Software Security Initiatives in the Real World] - '''Claudio Merloni'''
* 20h : Close

A propos des Speakers :

'''''Renaud Bidou :''' ''Directeur Technique de DenyAll. Il travaille depuis plus de 10 ans dans la sécurité et a publié de nombreux articles et white-papers touchant à des sujets aussi variés que les dénis de service, les portknockers, les botnets, la mise en place d’un SOC, l’analyse graphique d’attaques ou encore les techniques de contournements.

'''''Claudio Merloni : '''''Claudio Merloni est Software Security Consultant chez Fortify Software. Ses expériences dans le domaine de la sécurité embrassent la sécurité applicative, revue de code, architectures sécurisées, analyse des risques, conformité, test de sécurité à niveau réseau, système et applicatif, monitoring, contrôle d'accès. Il a participé a plusieurs conférences, entre lesquelles BlackHat et CONFidence.

'''Le Lieu : EPITECH'''

Amphi 2

14-16 rue Voltaire

94276 Kremlin Bicêtre Cedex

''Moyens d'accès Métro''
* ligne 7 : Porte d'Italie

''Bus''
* ligne 47, 125, 131, 185 : Roger Salengro
* ligne 186 : Pierre Brossolette 

''Voiture''
* périphérique : sortie Porte d'Italie

= Translation effort =

* The '''OWASP TOP Ten 2010 in French''' is [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20French.pdf available]
* 2010-08-30 : La version française du Top 10 2010 est disponible [http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project]
* 2008-02-15 : Le Top10 2007 est en version Française [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.pdf Format PDF], [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.doc Format Word]
* 2007-11-16 : [https://www.owasp.org/images/5/52/Owasp_tryptique.pdf Folio 2 pages Recto/verso] de présentation pour Infosecurity.
* 2007-02-27 : [[Newsletter_francaise_num%C3%A9ro_1]]
* 2007-06-20 : Présentation de l'OWASP faite à NY en Juin 2007 [https://www.owasp.org/images/7/71/20070620-FR-OWASP_NY_Keynote.ppt]
[[Category:Europe]]

= Old News =

* 2009-06-09 : [http://www.owasp.org/images/d/d2/20090609-CERT-IST-WAF-v0.1.pdf Intervention sur les WAF] lors du Forum [http://www.cert-ist.com CERT-IST]
* 2009-02-03 : L'OWASP France sera présent à [http://www.pci-portal.com/events/event-info/paris PCI Paris]. La présentation est : [https://www.owasp.org/images/f/fb/20090203-OWASP_PCI-Global_2009_Paris_-_v03.ppt l'OWASP et l'exigence 6.5 de PCI-DSS]
* 2008-11-19 : L'OWASP France sera présent sur [http://www.infosecurity.com.fr/FR/badge?ref=OWAW Infosecurity France] à Paris :
[http://www.infosecurity.com.fr/index.php?argRedirect=FR|badge&Lang=FR&ref=OWAW https://www.owasp.org/images/8/88/Infosecurity.gif]

* 2008-07-08 : L'OWASP France a présenté le projet OWASP à l'[http://www.ossir.org OSSIR]. La présentation est disponible sur le site de [https://www.owasp.org/images/9/94/20080708-OWASP_OSSIR.ppt l'OWASP]
* 2008-02-15 : Le Top10 2007 est en version Francaise
* 2008-02-11 : Présentation aux [http://www.owasp.org/images/0/09/20080129-OWASP_TechDays_France_.ppt TechDays 2008 Microsoft ]
* 2007-11-22 : Présentation a Infosecurity France [http://www.owasp.org/images/8/85/20071122-OWASP_Infosecurity_France.ppt de l'OWASP]
* 2007-11-07 : Interview dans le [http://www.journaldunet.com/developpeur/itws/071106-securite-applicative-owasp.shtml Journal du Net]
* 2007-10-05 : L'OWASP France présentera les enjeux de la sécurité des [http://www.infosecurity.com.fr/?Jpto=116&KM_Session=f345bb91df954e6cbc0148328f109e94&CurrentNode=518&Lang=FR&IdNode=708 Services WEB à Infosecurity France le 22/11/2007]
* 2006-12-18 : Mise en place de l'association pour supporter le groupe OWASP
* 2006-12-14 : Le Hub OWASP Viaduc a vu le jour http://www.viadeo.com/hub/affichehub/?hubId=002fj37grgb7o7n
* 2006-12-13 : Naissance du chapitre Francais de l'OWASP. Une liste de diffusion est disponible.[http://lists.owasp.org/mailman/listinfo/owasp-france Abonnez vous]

 __NOTOC__ <headertabs />

France

2014-06-16T19:43:33Z

SebastienGioria: /* Meeting le 5 Juin chez Mozilla Paris */

{{Chapter Template|chaptername=France|extra=The '''Chapter Leaders''' are [mailto:ludovic.petit@owasp.org Ludovic Petit] and [mailto:sebastien.gioria@owasp.org Sebastien Gioria]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-france|emailarchives=http://lists.owasp.org/pipermail/owasp-france}}'''
<paypal>France Chapter</paypal>

'''The French Chapter is also available on LinkedIn''': [http://www.linkedin.com/groupInvitation?gid=1638517 '''Join us''', it only takes a minute!]

== Contacts, Présentations, Contributions & Partenariats ==

*[mailto:sebastien.gioria@owasp.org Sebastien Gioria] et [mailto:ludovic.petit@owasp.org Ludovic Petit] sont à votre disposition si vous souhaitez des informations et discuter de la plus-value proposée par la Fondation OWASP, ainsi que sur la Sécurité des Applications Web.

Entreprises, Individuels, Monde Académique, Sponsors, Supports, tout le monde est bienvenu à l'OWASP! L'accès à nos Chapter meetings est gratuit et ouvert à tous.

Pour les Entreprises souhaitant adhérer à l'OWASP, différents [https://www.owasp.org/index.php/Membership mécanismes sont disponibles]. Le montant de l'adhésion annuelle est en partie reversée(jusqu'a 40%) au Projet ou au Chapitre de votre choix. Ce montant est déductible à 100% aux USA, et en partie en France aussi. Pour ceux qui souhaitent adhérer mais ne peuvent pas donner le montant corporate, il est possible d'effectuer des dons au [https://www.owasp.org/index.php/Local_Chapter_Supporter titre de sponsors du chapitre France].

Nos sponsors au titre global OWASP :

'''Corporate sponsor :''' [http://www.gemalto.com GEMALTO]

Nos sponsors au titre du chapitre France :

'''Silver sponsor :''' [http://www.phonesec.com/ PHONESEC]

Les fonds collectés servent à organiser les meetings du Chapitre, mais aussi et surtout à construire et organiser avec vous une approche collégiale spécifique répondant à vos souhaits (sessions de sensibilisation, meetings internes, interventions de Speakers, etc.). Tout cela peut être discuté avec le Chapitre Français et acté conjointement avec vous si vous souhaitez adhérer à l'OWASP.

N'hésitez pas à nous solliciter si vous souhaitez discuter d'un sujet particulier, ou si vous souhaitez effectuer une présentation lors d'un meeting du Chapitre France.

Amis journalistes n'hésitez pas à faire appel à nous si vous souhaitez notre concours pour vos articles et reportages, vous êtes les bienvenus et nous en serions honorés. Utilisez notre savoir-faire dans une perspective gagnant-gagnant!

Nous restons modestes dans notre approche, nous souhaitons que le Chapitre OWASP France devienne un de vos contacts de référence. '''Ensembles, Chacun fait plus'''!

'''TEAM stands for... Together Each Achieves More!'''

= News =

== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : [https://fr.slideshare.net/SebastienGioria/2014-0605mozillaafup-35696709 Etat de la Menace, et actualités de la sécurité Web] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/ Podcast] - [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : [https://fr.slideshare.net/hellosct1/la-securiteetphp La sécurité avec PHP] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-security-in-php-by-christophe-villeneuve/ Podcast] - Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-application-security-by-stephanie-ouillon/ Podcast] - Stéphanie Ouillon / Mozilla

==OWASP European Chapter Tour 2013, Sophia-Antipolis, France, 24 Juin 2013==
'''Présentation''' : "[https://www.owasp.org/images/1/10/Synth%C3%A8se.ppt Synthèse]"'''
'''Présentation''' : "[https://www.owasp.org/images/9/96/EuTour_-_Owasp_Eurecom.pdf Introduction]"'''
'''Présentation''' : "[https://www.owasp.org/images/5/50/EuTour-providers.pdf The Role of Web Hosting Providers in Detecting Compromised Websites]"'''
'''Présentation''' : "[https://www.owasp.org/images/f/fc/EuTour-webhoneypots.pdf Behind the Scenes of Web Attacks]"'''
'''Présentation''' : "[https://www.owasp.org/images/8/8d/Pellegrino-OWASP_EUTour2013.pdf Logic Vulnerabilities in eCommerce Web Applications]"'''

'''Résumé''' :
Meeting de grande qualité, présentations très intéressantes.
Nous remercions EURECOM pour avoir eu l'amabilité d'héberger le meeting, ainsi que les speakers pour leur prestation très appréciée!

'''Speaker''' : Aurélien Francillon: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Davide Balzarotti: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Giancarlo Pellegrino: Doctorant, Département "Réseaux et sécurité", EURECOM et chercheur, SAP AG EURECOM
'''Speaker''' : Ely de Travieso: Owasp France, Directeur Phonesec
'''Speaker''' : Maurizio Abbà: Etudiant en Master, EURECOM
'''Speaker''' : Davide Canali: Doctorant, Département "Réseaux et sécurité", EURECOM

==Looking Forward… and Beyond, Distinctiveness Through Security Excellence==
'''Présentation''' : "[https://www.owasp.org/images/5/50/Looking_Forward%E2%80%A6_and_Beyond.pptx Looking Forward… and Beyond]"'''
'''Résumé''' :
Here is a presentation I gave in Sept for a big Software maker in an internal meeting. This presentation aims to be re-used at your convenience depending the needs / your context. Designed into 3 parts, this presentation is / could be useful for local Chapters, any Security Awareness purposes, or people and firms interested about OWASP and willing to join the Foundation as Member. The first 2 parts are more an update for those who are not yet familiar with OWASP, the 3rd part being more specific because about a hot topic that is gaining importance in the context of Application Security.
1st part is about OWASP.
2nd part is an update about the main OWASP Projects and Reboot.
3rd part is about Legal, the evolution of the legal framework, with a focus on the question "Developers, Software makers held liable for code?"
I hope this helps anyway. Enjoy and feel free to email me, all comments welcome!

'''Speaker''' : Ludovic Petit

==28 Mars 2012 Meeting du premier trimestre==
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : "[https://www.owasp.org/images/6/6d/Developer_Top_Ten_Core_Controls_v4.1.pptx Top Ten Web Defenses]"'''
'''Résumé''' :
Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape.
This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.
Access Control is a necessary security control at almost every layer within a web application.
This talk will also detail several of the key access control anti-patterns commonly found during website security audits.
These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms.
In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
Jim Manico is the VP of Security Architecture at WhiteHat Security. Jim has been a web application developer since 1997.
He has also been an active member of OWASP since 2008 supporting projects that help developers write secure code.
'''Enregistrement en ligne sur''' : http://201203owaspfr.eventbrite.com/

== 7 et 8 Février 2012 - [http://www.microsoft.com/france/mstechdays/ Techdays Microsoft 2012] ==

Sébastien présentera un talk sur [http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx?SessionID=62e02774-6045-4be8-80ff-8332a793ad4f HTML5et la Sécurité] le 7 Février 2012 à 17h30.
Plus d'informations sur la page dédiée aux TechDays Microsoft 2012. ==

== 6 Janvier 2012 - Nouveau Groupe de Travail sur la Sécurité des Web Services au [http://www.clusif.fr CLUSIF] ==

Dans la continuité du Groupe de Travail sur la Sécurité des Application Web initialement créé en 2009, le CLUSIF a lancé un nouveau groupe de travail autour de la sécurité des WebServices. N'hésitez pas à participer si vous êtes intéressés. Le CLUSIF recherche des utilisateurs pour ce groupe de travail et des personnes en environnements Microsoft pour disposer d'un panel le plus large possible pour ce document

Contact : [mailto:sebastien.gioria@owasp.org Sébastien Gioria]

== 19 Décembre 2011 - Publication du deuxième document du [http://www.clusif.fr CLUSIF] sur la Sécurité des Applications Web ==

Le CLUSIF a publié son deuxième document sur la [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Defense-en-profondeur-des-applications-Web.pdf Défense en profondeur des applications Web]. Ce document fait suite au [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf premier document publié en 2009]

== 15 Décembre 2011 Conférence du [http://www.clusif.fr CLUSIF] sur la [http://www.clusif.fr/fr/infos/event/#conf111215 sécurité des applications Web] ==

Le CLUSIF a présenté la conférence Sécurité des Applications Web le jeudi 15 décembre 2011 au cercle National des Armées.
Le programme était :

* Mise en place d'une politique de sécurité applicative : retour d'expérience d'un RSSI par Philippe LARUE - Responsable Sécurité - [http://www.cbp-prevoyance.com/ CBP]
* Revue de code source, ou test sécurité applicatif, quel est le plus efficient pour évaluer un niveau de sécurité applicatif ? par Sébastien GIORIA - Consultant Senior [http://www.groupey.fr Groupe Y] et leader du chapitre Français de [https://www.owasp.org l'OWASP] - OWASP France
* Les enjeux réglementaires de la protection des informations en ligne par Garance MATHIAS - Avocat - Cabinet d'Avocats

Les présentations sont disponibles sur le site du [http://www.clusif.fr CLUSIF], les vidéos de l'intervention seront aussi disponible.

== 2 Décembre 2011 - [[OWASP BeNeLux 2011 Conference - University of Luxembourg]] ==

Ludovic had a talk about "[https://www.owasp.org/index.php/BeNeLux_OWASP_Day_2011#tab=Conference.2C_December_2nd WebApp Security and Legal aspects]" on Dec 2.

*'''Overview'''
**This presentation aims to be used by anybody willing to spread the voice of OWASP. See this as an Awareness session.
**Use it and use it again.
**Try to open your mind, just met me know if I can help.

*'''Abstract Title: "[https://www.owasp.org/images/5/55/Do_you..._Legal_-_OWASP_BeNeLux_Day_-_2_Dec_2011.pptx Do you... Legal?]"'''
**The OWASP core mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. However, if you do not pay enough attention to many aspects of Legal compliance, you'll see why Web Application Security is somehow linked to Legal and Regulatory aspects as well as... Corporate Responsability, so yours. Who is accountable for what, what about each other's responsibility? Nowadays, the legal constraints oblige us to comply via technical means, whatever the local framework, and this is specially true for Web Application Security, many sensitive informations having to be handled through these web interfaces. A such, what do you think about your Security Policy compliance with your local Legal framework? Compliant? Sure? Really? Interesting isn't it? Let's have a talk about this.

=== [[EUROPE - ENISA’s Who-is-Who Directory on Network and Information Security]] ===

We are pleased to announce that OWASP France is part of the [http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011 ENISA’s Who-is-Who Directory].

The ENISA is the European Network and Information Security Agency.
[http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011/at_download/fullReport The ENISA Who-is-Who Directory on Network and Information Security 2011] contains information on NIS stakeholders, such as national and European authorities and NIS organisations, contact details, websites, and areas of responsibilities or activities.
This Directory serves as the "yellow pages" of Network and Information Security (NIS) in Europe. As such, it is a useful tool for those working closely with NIS issues in Europe.

=Chapter Meeting 2014 =

== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : [https://fr.slideshare.net/SebastienGioria/2014-0605mozillaafup-35696709 Etat de la Menace, et actualités de la sécurité Web] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/ Podcast] - [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : [https://fr.slideshare.net/hellosct1/la-securiteetphp La sécurité avec PHP] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-security-in-php-by-christophe-villeneuve/ Podcast] - Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-application-security-by-stephanie-ouillon/ Podcast] - Stéphanie Ouillon / Mozilla

= Chapter Meetings 2013 =

== Q1 2013 ==
'''Date''' : 7 février 2013
'''Lieu''' : Gemalto - Salle Plazza, 6 rue de la Verrerie, 92197 Meudon-sur-Seine
'''Horaire''' : 18h30 à 21h
'''Présentation''' : Update sur les '''Projets OWASP''', Ludovic
'''Présentation''' : '''Evolution du Cadre Légal - Developers, Software makers held liable for code?'''[[https://www.owasp.org/images/2/2a/Chapter_Meeting_OWASP_France_-_7_Feb_2013.pdf]] Ludovic
'''Présentation''' : '''Données personnelles: le nouveau projet de règlement européen'''[http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen], Thiébaut Devergranne
'''Breaking News''' : Présentation de l''''OWASP France Day''' que nous souhaitons organiser en mars, Ludovic & Sébastien
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien
'''Update''' : '''Relations Partenaires''' & '''Adhésions''', Ely de Travieso

Pour nous accompagner lors de ce meeting, Thiébaut Devergranne, docteur en droit et consultant. Thiébaut travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre.

''''''Speakers'''''' : Ludovic Petit, Sébastien Gioria, Ely de Travieso, Thiébaut Devergranne
'''Enregistrement en ligne ici''' : https://www.eventbrite.com/event/4615236296

'''Date''' : 12 mars 2013
'''Lieu''' : Solucom, Tour Franklin, 100-101 Terrasse Boieldieu, 92042 Paris La Défense
'''Horaire''' : 09h00 à 12h30
'''Présentation''' : Secure Coding (en Anglais), Jim Manico
'''Présentation''' : Sécurité Applicative: l’Organisation, clé de la réussite!, Gérôme Billois
'''Présentation''' : OWASP News & Update, Ludovic Petit & Sébastien Gioria
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien

'''Présentation globale''' : '''Chapter Meeting OWASP France 12 Mars'''[[https://www.owasp.org/images/2/2d/Chapter_Meeting_OWASP_France_12_Mars.pdf]]

Les sujets abordés par Jim Manico:
'''Authentication Best Practices for Developers:''' This module will discuss the security mechanisms found within an authentication (AuthN) layer of a web application. We will review a series of historical authentication threats. We will also discuss a variety of authentication design patterns necessary to build a low-risk high-security web application. Session management threats and best practices will also be covered. This module will include several technical demonstrations and code review labs.

'''Access Control Design Best Practices:''' Access Control is a necessary security control at almost every layer within a web application. This talk will discuss several of the key access control anti-patterns commonly found during website security audits. These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.

''''''Speakers'''''' : Jim Manico, Gérôme Billois, Ludovic Petit, Sébastien Gioria
'''Enregistrement en ligne obligatoire''' : http://owaspfrance12mars2013.eventbrite.com/

= Appel à contribution OWASP France =

Ici seront relayés les différents appels à contributions du Chapitre (Sponsors, talks, etc.).

= Appel à contributions externes =

Ici seront relayés les appels à contributions que nous estimons interessants pour le Chapitre.

= Meetings 2012 =

== Q1 2012 ==
'''Date''' : 28 Mars 2012
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : Web Application Access Control Design Excellence
'''Résumé''' : Access Control is a necessary security control at almost every layer within a web application.
This talk will discuss several of the key access control anti-patterns commonly found during
website security audits. These access control anti-patterns include hard-coded security policies,
lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these
and other access control problems, we will discuss and design a positive access control mechanism
that is data contextual, activity based, configurable, flexible, and deny-by-default - among other
positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
'''Enregistrement en ligne ici''' : http://201203owaspfr.eventbrite.com/

== Q2 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q3 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q4 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

= 2011 Meetings =

=== [[May 2011 - Paris Meeting]] ===

[Logo to be placed here]

We are honored to welcome '''Jim Manico''' during his European Tour in the Netherlands, Belgium and France.

*'''Overview'''
**Apart from OWASP's Top 10, most OWASP Projects are not widely used and understood. In most cases this is not due to lack of quality and usefulness of those Document & Tool projects, but due to a lack of understanding of where they fit in an Enterprise's security ecosystem or in the Web Application Development Life-cycle.
**This course aims to change that by providing a selection of mature and enterprise ready projects together with practical examples of how to use them.
**The course will be very practical where demonstration and hands-on exercises will be provided for the tools covered.
**If you are interested in participating in the hands on portion of the course, please bring a laptop.

*'''Abstract Title: "[https://www.owasp.org/images/f/f4/Future_of_XSS_v4.pptx The Ghost of XSS Past, Present and Future. A Defensive Tale]"'''
**This talk will discuss the past methods used for XSS defense that were only partially effective. Learning from these lessons, will will also discuss present day defensive methodologies that are effective, but place an undue burden on the developer. We will then finish with a discussion of future XSS defense mythologies that shift the burden of XSS defense from the developer to various frameworks. These include auto-escaping template technologies, browser-based defenses such as Content Security Policy, and Javascript sandboxes such as the Google CAJA project and JSReg.

*'''Speaker'''
**'''Jim Manico''' is a managing partner of Infrared Security with over 15 years of professional web development experience. Jim is also the Chair of the OWASP Connections Committee, one of the Project Managers of the OWASP ESAPI Project, a participant and manager of the OWASP Cheatsheet series, the Producer and host of the OWASP Podcast Series, the Manager of the OWASP Java HTML Sanitizer project and the manager of the OWASP Java Encoder project. When not OWASP'ing, Jim lives on of island of Kauai with his lovely wife Tracey.

*'''Date'''
**May 24, 2011

*'''Venue'''
**Paris

*'''Registration'''
**[http://www.regonline.com/Register/Checkin.aspx?EventID=971375 Click here]

== 26 Avril 2011 ==

'''Le 26 Avril 2011 dans les locaux de [http://www.groupey.fr/nos-cabinets-paris.html GROUPE Y] :'''

* 9:00: [https://www.owasp.org/images/2/2f/Agenda_26th_April_2011.pptx Introduction] - '''Ludovic Petit''' & '''Sébastien Gioria'''
* 9:30: [https://www.owasp.org/images/3/36/OPENSAMM2.pptx OpenSAMM] - '''Antonio Fontes''' (Chapter Leader OWASP Geneva)
* 11:00: [https://www.owasp.org/images/c/cf/OWASP_Cloud_Top_10.pptx OWASP Cloud Top 10 Project] - '''Ludovic Petit''' (Chapter Leader OWASP France & OWASP Global Education Committee Member)
* 11:45: [https://www.owasp.org/images/5/5c/ESAPI_Swingset_talk_at_Paris.ppt OWASP ESAPI] - '''Fabio Cerullo''' (Chapter Leader OWASP Ireland & Global Education Committee)
* 14:15: [https://www.owasp.org/images/3/38/OWASP_Testing_Guide.pptx OWASP Testing Guide] - '''Sébastien Gioria''' (French Chapter Leader & OWASP Global Education Committee Member)
* 15:15: [http://o2platform.com OWASP 02 Platform - Live Session] - '''Dinis Cruz''' (OWASP O2 Project Leader)
* 16:30: [https://www.owasp.org/images/9/96/OWASP-Paris2011-VV-CodeReview.pdf OWASP Code Review] - '''Victor Vuillard'''

= 2009 Meetings =

'''Le 6 Mai 2009 à 17h30 à [http://www.epitech.eu L'EPITECH] :'''

* 17h30 : Accueil des participants
* 18h - 18h 15 : [http://www.owasp.org/images/d/dc/OWASP_Paris_Meeting_-_May_2009.pdf Welcome et overview of agenda] '''(Board OWASP France)'''
* 18h30 - 19h : [http://www.owasp.org/images/6/6b/2009-05-06-OWASPFR-WebServices.pdf Attaques sur les Web Services] - '''Renaud Bidou'''
* 19h15 - 19h45 : [http://www.owasp.org/images/8/82/2009-05-06-OWASPFR-OpenSAM.pdf Software Security Initiatives in the Real World] - '''Claudio Merloni'''
* 20h : Close

A propos des Speakers :

'''''Renaud Bidou :''' ''Directeur Technique de DenyAll. Il travaille depuis plus de 10 ans dans la sécurité et a publié de nombreux articles et white-papers touchant à des sujets aussi variés que les dénis de service, les portknockers, les botnets, la mise en place d’un SOC, l’analyse graphique d’attaques ou encore les techniques de contournements.

'''''Claudio Merloni : '''''Claudio Merloni est Software Security Consultant chez Fortify Software. Ses expériences dans le domaine de la sécurité embrassent la sécurité applicative, revue de code, architectures sécurisées, analyse des risques, conformité, test de sécurité à niveau réseau, système et applicatif, monitoring, contrôle d'accès. Il a participé a plusieurs conférences, entre lesquelles BlackHat et CONFidence.

'''Le Lieu : EPITECH'''

Amphi 2

14-16 rue Voltaire

94276 Kremlin Bicêtre Cedex

''Moyens d'accès Métro''
* ligne 7 : Porte d'Italie

''Bus''
* ligne 47, 125, 131, 185 : Roger Salengro
* ligne 186 : Pierre Brossolette 

''Voiture''
* périphérique : sortie Porte d'Italie

= Translation effort =

* The '''OWASP TOP Ten 2010 in French''' is [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20French.pdf available]
* 2010-08-30 : La version française du Top 10 2010 est disponible [http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project]
* 2008-02-15 : Le Top10 2007 est en version Française [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.pdf Format PDF], [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.doc Format Word]
* 2007-11-16 : [https://www.owasp.org/images/5/52/Owasp_tryptique.pdf Folio 2 pages Recto/verso] de présentation pour Infosecurity.
* 2007-02-27 : [[Newsletter_francaise_num%C3%A9ro_1]]
* 2007-06-20 : Présentation de l'OWASP faite à NY en Juin 2007 [https://www.owasp.org/images/7/71/20070620-FR-OWASP_NY_Keynote.ppt]
[[Category:Europe]]

= Old News =

* 2009-06-09 : [http://www.owasp.org/images/d/d2/20090609-CERT-IST-WAF-v0.1.pdf Intervention sur les WAF] lors du Forum [http://www.cert-ist.com CERT-IST]
* 2009-02-03 : L'OWASP France sera présent à [http://www.pci-portal.com/events/event-info/paris PCI Paris]. La présentation est : [https://www.owasp.org/images/f/fb/20090203-OWASP_PCI-Global_2009_Paris_-_v03.ppt l'OWASP et l'exigence 6.5 de PCI-DSS]
* 2008-11-19 : L'OWASP France sera présent sur [http://www.infosecurity.com.fr/FR/badge?ref=OWAW Infosecurity France] à Paris :
[http://www.infosecurity.com.fr/index.php?argRedirect=FR|badge&Lang=FR&ref=OWAW https://www.owasp.org/images/8/88/Infosecurity.gif]

* 2008-07-08 : L'OWASP France a présenté le projet OWASP à l'[http://www.ossir.org OSSIR]. La présentation est disponible sur le site de [https://www.owasp.org/images/9/94/20080708-OWASP_OSSIR.ppt l'OWASP]
* 2008-02-15 : Le Top10 2007 est en version Francaise
* 2008-02-11 : Présentation aux [http://www.owasp.org/images/0/09/20080129-OWASP_TechDays_France_.ppt TechDays 2008 Microsoft ]
* 2007-11-22 : Présentation a Infosecurity France [http://www.owasp.org/images/8/85/20071122-OWASP_Infosecurity_France.ppt de l'OWASP]
* 2007-11-07 : Interview dans le [http://www.journaldunet.com/developpeur/itws/071106-securite-applicative-owasp.shtml Journal du Net]
* 2007-10-05 : L'OWASP France présentera les enjeux de la sécurité des [http://www.infosecurity.com.fr/?Jpto=116&KM_Session=f345bb91df954e6cbc0148328f109e94&CurrentNode=518&Lang=FR&IdNode=708 Services WEB à Infosecurity France le 22/11/2007]
* 2006-12-18 : Mise en place de l'association pour supporter le groupe OWASP
* 2006-12-14 : Le Hub OWASP Viaduc a vu le jour http://www.viadeo.com/hub/affichehub/?hubId=002fj37grgb7o7n
* 2006-12-13 : Naissance du chapitre Francais de l'OWASP. Une liste de diffusion est disponible.[http://lists.owasp.org/mailman/listinfo/owasp-france Abonnez vous]

 __NOTOC__ <headertabs />

France

2014-06-16T19:42:49Z

SebastienGioria: /* Juin 2014 */

{{Chapter Template|chaptername=France|extra=The '''Chapter Leaders''' are [mailto:ludovic.petit@owasp.org Ludovic Petit] and [mailto:sebastien.gioria@owasp.org Sebastien Gioria]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-france|emailarchives=http://lists.owasp.org/pipermail/owasp-france}}'''
<paypal>France Chapter</paypal>

'''The French Chapter is also available on LinkedIn''': [http://www.linkedin.com/groupInvitation?gid=1638517 '''Join us''', it only takes a minute!]

== Contacts, Présentations, Contributions & Partenariats ==

*[mailto:sebastien.gioria@owasp.org Sebastien Gioria] et [mailto:ludovic.petit@owasp.org Ludovic Petit] sont à votre disposition si vous souhaitez des informations et discuter de la plus-value proposée par la Fondation OWASP, ainsi que sur la Sécurité des Applications Web.

Entreprises, Individuels, Monde Académique, Sponsors, Supports, tout le monde est bienvenu à l'OWASP! L'accès à nos Chapter meetings est gratuit et ouvert à tous.

Pour les Entreprises souhaitant adhérer à l'OWASP, différents [https://www.owasp.org/index.php/Membership mécanismes sont disponibles]. Le montant de l'adhésion annuelle est en partie reversée(jusqu'a 40%) au Projet ou au Chapitre de votre choix. Ce montant est déductible à 100% aux USA, et en partie en France aussi. Pour ceux qui souhaitent adhérer mais ne peuvent pas donner le montant corporate, il est possible d'effectuer des dons au [https://www.owasp.org/index.php/Local_Chapter_Supporter titre de sponsors du chapitre France].

Nos sponsors au titre global OWASP :

'''Corporate sponsor :''' [http://www.gemalto.com GEMALTO]

Nos sponsors au titre du chapitre France :

'''Silver sponsor :''' [http://www.phonesec.com/ PHONESEC]

Les fonds collectés servent à organiser les meetings du Chapitre, mais aussi et surtout à construire et organiser avec vous une approche collégiale spécifique répondant à vos souhaits (sessions de sensibilisation, meetings internes, interventions de Speakers, etc.). Tout cela peut être discuté avec le Chapitre Français et acté conjointement avec vous si vous souhaitez adhérer à l'OWASP.

N'hésitez pas à nous solliciter si vous souhaitez discuter d'un sujet particulier, ou si vous souhaitez effectuer une présentation lors d'un meeting du Chapitre France.

Amis journalistes n'hésitez pas à faire appel à nous si vous souhaitez notre concours pour vos articles et reportages, vous êtes les bienvenus et nous en serions honorés. Utilisez notre savoir-faire dans une perspective gagnant-gagnant!

Nous restons modestes dans notre approche, nous souhaitons que le Chapitre OWASP France devienne un de vos contacts de référence. '''Ensembles, Chacun fait plus'''!

'''TEAM stands for... Together Each Achieves More!'''

= News =

== Meeting le 5 Juin chez Mozilla Paris ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : Etat de la Menace, et actualités de la sécurité Web, [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : La sécurité avec PHP, Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS, Stéphanie Ouillon / Mozilla
Inscription/Informations : http://afup.org/pages/rendezvous/index.php?id=21

==OWASP European Chapter Tour 2013, Sophia-Antipolis, France, 24 Juin 2013==
'''Présentation''' : "[https://www.owasp.org/images/1/10/Synth%C3%A8se.ppt Synthèse]"'''
'''Présentation''' : "[https://www.owasp.org/images/9/96/EuTour_-_Owasp_Eurecom.pdf Introduction]"'''
'''Présentation''' : "[https://www.owasp.org/images/5/50/EuTour-providers.pdf The Role of Web Hosting Providers in Detecting Compromised Websites]"'''
'''Présentation''' : "[https://www.owasp.org/images/f/fc/EuTour-webhoneypots.pdf Behind the Scenes of Web Attacks]"'''
'''Présentation''' : "[https://www.owasp.org/images/8/8d/Pellegrino-OWASP_EUTour2013.pdf Logic Vulnerabilities in eCommerce Web Applications]"'''

'''Résumé''' :
Meeting de grande qualité, présentations très intéressantes.
Nous remercions EURECOM pour avoir eu l'amabilité d'héberger le meeting, ainsi que les speakers pour leur prestation très appréciée!

'''Speaker''' : Aurélien Francillon: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Davide Balzarotti: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Giancarlo Pellegrino: Doctorant, Département "Réseaux et sécurité", EURECOM et chercheur, SAP AG EURECOM
'''Speaker''' : Ely de Travieso: Owasp France, Directeur Phonesec
'''Speaker''' : Maurizio Abbà: Etudiant en Master, EURECOM
'''Speaker''' : Davide Canali: Doctorant, Département "Réseaux et sécurité", EURECOM

==Looking Forward… and Beyond, Distinctiveness Through Security Excellence==
'''Présentation''' : "[https://www.owasp.org/images/5/50/Looking_Forward%E2%80%A6_and_Beyond.pptx Looking Forward… and Beyond]"'''
'''Résumé''' :
Here is a presentation I gave in Sept for a big Software maker in an internal meeting. This presentation aims to be re-used at your convenience depending the needs / your context. Designed into 3 parts, this presentation is / could be useful for local Chapters, any Security Awareness purposes, or people and firms interested about OWASP and willing to join the Foundation as Member. The first 2 parts are more an update for those who are not yet familiar with OWASP, the 3rd part being more specific because about a hot topic that is gaining importance in the context of Application Security.
1st part is about OWASP.
2nd part is an update about the main OWASP Projects and Reboot.
3rd part is about Legal, the evolution of the legal framework, with a focus on the question "Developers, Software makers held liable for code?"
I hope this helps anyway. Enjoy and feel free to email me, all comments welcome!

'''Speaker''' : Ludovic Petit

==28 Mars 2012 Meeting du premier trimestre==
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : "[https://www.owasp.org/images/6/6d/Developer_Top_Ten_Core_Controls_v4.1.pptx Top Ten Web Defenses]"'''
'''Résumé''' :
Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape.
This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.
Access Control is a necessary security control at almost every layer within a web application.
This talk will also detail several of the key access control anti-patterns commonly found during website security audits.
These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms.
In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
Jim Manico is the VP of Security Architecture at WhiteHat Security. Jim has been a web application developer since 1997.
He has also been an active member of OWASP since 2008 supporting projects that help developers write secure code.
'''Enregistrement en ligne sur''' : http://201203owaspfr.eventbrite.com/

== 7 et 8 Février 2012 - [http://www.microsoft.com/france/mstechdays/ Techdays Microsoft 2012] ==

Sébastien présentera un talk sur [http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx?SessionID=62e02774-6045-4be8-80ff-8332a793ad4f HTML5et la Sécurité] le 7 Février 2012 à 17h30.
Plus d'informations sur la page dédiée aux TechDays Microsoft 2012. ==

== 6 Janvier 2012 - Nouveau Groupe de Travail sur la Sécurité des Web Services au [http://www.clusif.fr CLUSIF] ==

Dans la continuité du Groupe de Travail sur la Sécurité des Application Web initialement créé en 2009, le CLUSIF a lancé un nouveau groupe de travail autour de la sécurité des WebServices. N'hésitez pas à participer si vous êtes intéressés. Le CLUSIF recherche des utilisateurs pour ce groupe de travail et des personnes en environnements Microsoft pour disposer d'un panel le plus large possible pour ce document

Contact : [mailto:sebastien.gioria@owasp.org Sébastien Gioria]

== 19 Décembre 2011 - Publication du deuxième document du [http://www.clusif.fr CLUSIF] sur la Sécurité des Applications Web ==

Le CLUSIF a publié son deuxième document sur la [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Defense-en-profondeur-des-applications-Web.pdf Défense en profondeur des applications Web]. Ce document fait suite au [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf premier document publié en 2009]

== 15 Décembre 2011 Conférence du [http://www.clusif.fr CLUSIF] sur la [http://www.clusif.fr/fr/infos/event/#conf111215 sécurité des applications Web] ==

Le CLUSIF a présenté la conférence Sécurité des Applications Web le jeudi 15 décembre 2011 au cercle National des Armées.
Le programme était :

* Mise en place d'une politique de sécurité applicative : retour d'expérience d'un RSSI par Philippe LARUE - Responsable Sécurité - [http://www.cbp-prevoyance.com/ CBP]
* Revue de code source, ou test sécurité applicatif, quel est le plus efficient pour évaluer un niveau de sécurité applicatif ? par Sébastien GIORIA - Consultant Senior [http://www.groupey.fr Groupe Y] et leader du chapitre Français de [https://www.owasp.org l'OWASP] - OWASP France
* Les enjeux réglementaires de la protection des informations en ligne par Garance MATHIAS - Avocat - Cabinet d'Avocats

Les présentations sont disponibles sur le site du [http://www.clusif.fr CLUSIF], les vidéos de l'intervention seront aussi disponible.

== 2 Décembre 2011 - [[OWASP BeNeLux 2011 Conference - University of Luxembourg]] ==

Ludovic had a talk about "[https://www.owasp.org/index.php/BeNeLux_OWASP_Day_2011#tab=Conference.2C_December_2nd WebApp Security and Legal aspects]" on Dec 2.

*'''Overview'''
**This presentation aims to be used by anybody willing to spread the voice of OWASP. See this as an Awareness session.
**Use it and use it again.
**Try to open your mind, just met me know if I can help.

*'''Abstract Title: "[https://www.owasp.org/images/5/55/Do_you..._Legal_-_OWASP_BeNeLux_Day_-_2_Dec_2011.pptx Do you... Legal?]"'''
**The OWASP core mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. However, if you do not pay enough attention to many aspects of Legal compliance, you'll see why Web Application Security is somehow linked to Legal and Regulatory aspects as well as... Corporate Responsability, so yours. Who is accountable for what, what about each other's responsibility? Nowadays, the legal constraints oblige us to comply via technical means, whatever the local framework, and this is specially true for Web Application Security, many sensitive informations having to be handled through these web interfaces. A such, what do you think about your Security Policy compliance with your local Legal framework? Compliant? Sure? Really? Interesting isn't it? Let's have a talk about this.

=== [[EUROPE - ENISA’s Who-is-Who Directory on Network and Information Security]] ===

We are pleased to announce that OWASP France is part of the [http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011 ENISA’s Who-is-Who Directory].

The ENISA is the European Network and Information Security Agency.
[http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011/at_download/fullReport The ENISA Who-is-Who Directory on Network and Information Security 2011] contains information on NIS stakeholders, such as national and European authorities and NIS organisations, contact details, websites, and areas of responsibilities or activities.
This Directory serves as the "yellow pages" of Network and Information Security (NIS) in Europe. As such, it is a useful tool for those working closely with NIS issues in Europe.

=Chapter Meeting 2014 =

== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : [https://fr.slideshare.net/SebastienGioria/2014-0605mozillaafup-35696709 Etat de la Menace, et actualités de la sécurité Web] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-what-is-owasp-by-sebastien-gioria/ Podcast] - [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : [https://fr.slideshare.net/hellosct1/la-securiteetphp La sécurité avec PHP] - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-security-in-php-by-christophe-villeneuve/ Podcast] - Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS - [https://air.mozilla.org/talks-owasp-afup-firefoxos-security-mozilla-firefoxos-application-security-by-stephanie-ouillon/ Podcast] - Stéphanie Ouillon / Mozilla

= Chapter Meetings 2013 =

== Q1 2013 ==
'''Date''' : 7 février 2013
'''Lieu''' : Gemalto - Salle Plazza, 6 rue de la Verrerie, 92197 Meudon-sur-Seine
'''Horaire''' : 18h30 à 21h
'''Présentation''' : Update sur les '''Projets OWASP''', Ludovic
'''Présentation''' : '''Evolution du Cadre Légal - Developers, Software makers held liable for code?'''[[https://www.owasp.org/images/2/2a/Chapter_Meeting_OWASP_France_-_7_Feb_2013.pdf]] Ludovic
'''Présentation''' : '''Données personnelles: le nouveau projet de règlement européen'''[http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen], Thiébaut Devergranne
'''Breaking News''' : Présentation de l''''OWASP France Day''' que nous souhaitons organiser en mars, Ludovic & Sébastien
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien
'''Update''' : '''Relations Partenaires''' & '''Adhésions''', Ely de Travieso

Pour nous accompagner lors de ce meeting, Thiébaut Devergranne, docteur en droit et consultant. Thiébaut travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre.

''''''Speakers'''''' : Ludovic Petit, Sébastien Gioria, Ely de Travieso, Thiébaut Devergranne
'''Enregistrement en ligne ici''' : https://www.eventbrite.com/event/4615236296

'''Date''' : 12 mars 2013
'''Lieu''' : Solucom, Tour Franklin, 100-101 Terrasse Boieldieu, 92042 Paris La Défense
'''Horaire''' : 09h00 à 12h30
'''Présentation''' : Secure Coding (en Anglais), Jim Manico
'''Présentation''' : Sécurité Applicative: l’Organisation, clé de la réussite!, Gérôme Billois
'''Présentation''' : OWASP News & Update, Ludovic Petit & Sébastien Gioria
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien

'''Présentation globale''' : '''Chapter Meeting OWASP France 12 Mars'''[[https://www.owasp.org/images/2/2d/Chapter_Meeting_OWASP_France_12_Mars.pdf]]

Les sujets abordés par Jim Manico:
'''Authentication Best Practices for Developers:''' This module will discuss the security mechanisms found within an authentication (AuthN) layer of a web application. We will review a series of historical authentication threats. We will also discuss a variety of authentication design patterns necessary to build a low-risk high-security web application. Session management threats and best practices will also be covered. This module will include several technical demonstrations and code review labs.

'''Access Control Design Best Practices:''' Access Control is a necessary security control at almost every layer within a web application. This talk will discuss several of the key access control anti-patterns commonly found during website security audits. These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.

''''''Speakers'''''' : Jim Manico, Gérôme Billois, Ludovic Petit, Sébastien Gioria
'''Enregistrement en ligne obligatoire''' : http://owaspfrance12mars2013.eventbrite.com/

= Appel à contribution OWASP France =

Ici seront relayés les différents appels à contributions du Chapitre (Sponsors, talks, etc.).

= Appel à contributions externes =

Ici seront relayés les appels à contributions que nous estimons interessants pour le Chapitre.

= Meetings 2012 =

== Q1 2012 ==
'''Date''' : 28 Mars 2012
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : Web Application Access Control Design Excellence
'''Résumé''' : Access Control is a necessary security control at almost every layer within a web application.
This talk will discuss several of the key access control anti-patterns commonly found during
website security audits. These access control anti-patterns include hard-coded security policies,
lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these
and other access control problems, we will discuss and design a positive access control mechanism
that is data contextual, activity based, configurable, flexible, and deny-by-default - among other
positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
'''Enregistrement en ligne ici''' : http://201203owaspfr.eventbrite.com/

== Q2 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q3 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q4 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

= 2011 Meetings =

=== [[May 2011 - Paris Meeting]] ===

[Logo to be placed here]

We are honored to welcome '''Jim Manico''' during his European Tour in the Netherlands, Belgium and France.

*'''Overview'''
**Apart from OWASP's Top 10, most OWASP Projects are not widely used and understood. In most cases this is not due to lack of quality and usefulness of those Document & Tool projects, but due to a lack of understanding of where they fit in an Enterprise's security ecosystem or in the Web Application Development Life-cycle.
**This course aims to change that by providing a selection of mature and enterprise ready projects together with practical examples of how to use them.
**The course will be very practical where demonstration and hands-on exercises will be provided for the tools covered.
**If you are interested in participating in the hands on portion of the course, please bring a laptop.

*'''Abstract Title: "[https://www.owasp.org/images/f/f4/Future_of_XSS_v4.pptx The Ghost of XSS Past, Present and Future. A Defensive Tale]"'''
**This talk will discuss the past methods used for XSS defense that were only partially effective. Learning from these lessons, will will also discuss present day defensive methodologies that are effective, but place an undue burden on the developer. We will then finish with a discussion of future XSS defense mythologies that shift the burden of XSS defense from the developer to various frameworks. These include auto-escaping template technologies, browser-based defenses such as Content Security Policy, and Javascript sandboxes such as the Google CAJA project and JSReg.

*'''Speaker'''
**'''Jim Manico''' is a managing partner of Infrared Security with over 15 years of professional web development experience. Jim is also the Chair of the OWASP Connections Committee, one of the Project Managers of the OWASP ESAPI Project, a participant and manager of the OWASP Cheatsheet series, the Producer and host of the OWASP Podcast Series, the Manager of the OWASP Java HTML Sanitizer project and the manager of the OWASP Java Encoder project. When not OWASP'ing, Jim lives on of island of Kauai with his lovely wife Tracey.

*'''Date'''
**May 24, 2011

*'''Venue'''
**Paris

*'''Registration'''
**[http://www.regonline.com/Register/Checkin.aspx?EventID=971375 Click here]

== 26 Avril 2011 ==

'''Le 26 Avril 2011 dans les locaux de [http://www.groupey.fr/nos-cabinets-paris.html GROUPE Y] :'''

* 9:00: [https://www.owasp.org/images/2/2f/Agenda_26th_April_2011.pptx Introduction] - '''Ludovic Petit''' & '''Sébastien Gioria'''
* 9:30: [https://www.owasp.org/images/3/36/OPENSAMM2.pptx OpenSAMM] - '''Antonio Fontes''' (Chapter Leader OWASP Geneva)
* 11:00: [https://www.owasp.org/images/c/cf/OWASP_Cloud_Top_10.pptx OWASP Cloud Top 10 Project] - '''Ludovic Petit''' (Chapter Leader OWASP France & OWASP Global Education Committee Member)
* 11:45: [https://www.owasp.org/images/5/5c/ESAPI_Swingset_talk_at_Paris.ppt OWASP ESAPI] - '''Fabio Cerullo''' (Chapter Leader OWASP Ireland & Global Education Committee)
* 14:15: [https://www.owasp.org/images/3/38/OWASP_Testing_Guide.pptx OWASP Testing Guide] - '''Sébastien Gioria''' (French Chapter Leader & OWASP Global Education Committee Member)
* 15:15: [http://o2platform.com OWASP 02 Platform - Live Session] - '''Dinis Cruz''' (OWASP O2 Project Leader)
* 16:30: [https://www.owasp.org/images/9/96/OWASP-Paris2011-VV-CodeReview.pdf OWASP Code Review] - '''Victor Vuillard'''

= 2009 Meetings =

'''Le 6 Mai 2009 à 17h30 à [http://www.epitech.eu L'EPITECH] :'''

* 17h30 : Accueil des participants
* 18h - 18h 15 : [http://www.owasp.org/images/d/dc/OWASP_Paris_Meeting_-_May_2009.pdf Welcome et overview of agenda] '''(Board OWASP France)'''
* 18h30 - 19h : [http://www.owasp.org/images/6/6b/2009-05-06-OWASPFR-WebServices.pdf Attaques sur les Web Services] - '''Renaud Bidou'''
* 19h15 - 19h45 : [http://www.owasp.org/images/8/82/2009-05-06-OWASPFR-OpenSAM.pdf Software Security Initiatives in the Real World] - '''Claudio Merloni'''
* 20h : Close

A propos des Speakers :

'''''Renaud Bidou :''' ''Directeur Technique de DenyAll. Il travaille depuis plus de 10 ans dans la sécurité et a publié de nombreux articles et white-papers touchant à des sujets aussi variés que les dénis de service, les portknockers, les botnets, la mise en place d’un SOC, l’analyse graphique d’attaques ou encore les techniques de contournements.

'''''Claudio Merloni : '''''Claudio Merloni est Software Security Consultant chez Fortify Software. Ses expériences dans le domaine de la sécurité embrassent la sécurité applicative, revue de code, architectures sécurisées, analyse des risques, conformité, test de sécurité à niveau réseau, système et applicatif, monitoring, contrôle d'accès. Il a participé a plusieurs conférences, entre lesquelles BlackHat et CONFidence.

'''Le Lieu : EPITECH'''

Amphi 2

14-16 rue Voltaire

94276 Kremlin Bicêtre Cedex

''Moyens d'accès Métro''
* ligne 7 : Porte d'Italie

''Bus''
* ligne 47, 125, 131, 185 : Roger Salengro
* ligne 186 : Pierre Brossolette 

''Voiture''
* périphérique : sortie Porte d'Italie

= Translation effort =

* The '''OWASP TOP Ten 2010 in French''' is [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20French.pdf available]
* 2010-08-30 : La version française du Top 10 2010 est disponible [http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project]
* 2008-02-15 : Le Top10 2007 est en version Française [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.pdf Format PDF], [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.doc Format Word]
* 2007-11-16 : [https://www.owasp.org/images/5/52/Owasp_tryptique.pdf Folio 2 pages Recto/verso] de présentation pour Infosecurity.
* 2007-02-27 : [[Newsletter_francaise_num%C3%A9ro_1]]
* 2007-06-20 : Présentation de l'OWASP faite à NY en Juin 2007 [https://www.owasp.org/images/7/71/20070620-FR-OWASP_NY_Keynote.ppt]
[[Category:Europe]]

= Old News =

* 2009-06-09 : [http://www.owasp.org/images/d/d2/20090609-CERT-IST-WAF-v0.1.pdf Intervention sur les WAF] lors du Forum [http://www.cert-ist.com CERT-IST]
* 2009-02-03 : L'OWASP France sera présent à [http://www.pci-portal.com/events/event-info/paris PCI Paris]. La présentation est : [https://www.owasp.org/images/f/fb/20090203-OWASP_PCI-Global_2009_Paris_-_v03.ppt l'OWASP et l'exigence 6.5 de PCI-DSS]
* 2008-11-19 : L'OWASP France sera présent sur [http://www.infosecurity.com.fr/FR/badge?ref=OWAW Infosecurity France] à Paris :
[http://www.infosecurity.com.fr/index.php?argRedirect=FR|badge&Lang=FR&ref=OWAW https://www.owasp.org/images/8/88/Infosecurity.gif]

* 2008-07-08 : L'OWASP France a présenté le projet OWASP à l'[http://www.ossir.org OSSIR]. La présentation est disponible sur le site de [https://www.owasp.org/images/9/94/20080708-OWASP_OSSIR.ppt l'OWASP]
* 2008-02-15 : Le Top10 2007 est en version Francaise
* 2008-02-11 : Présentation aux [http://www.owasp.org/images/0/09/20080129-OWASP_TechDays_France_.ppt TechDays 2008 Microsoft ]
* 2007-11-22 : Présentation a Infosecurity France [http://www.owasp.org/images/8/85/20071122-OWASP_Infosecurity_France.ppt de l'OWASP]
* 2007-11-07 : Interview dans le [http://www.journaldunet.com/developpeur/itws/071106-securite-applicative-owasp.shtml Journal du Net]
* 2007-10-05 : L'OWASP France présentera les enjeux de la sécurité des [http://www.infosecurity.com.fr/?Jpto=116&KM_Session=f345bb91df954e6cbc0148328f109e94&CurrentNode=518&Lang=FR&IdNode=708 Services WEB à Infosecurity France le 22/11/2007]
* 2006-12-18 : Mise en place de l'association pour supporter le groupe OWASP
* 2006-12-14 : Le Hub OWASP Viaduc a vu le jour http://www.viadeo.com/hub/affichehub/?hubId=002fj37grgb7o7n
* 2006-12-13 : Naissance du chapitre Francais de l'OWASP. Une liste de diffusion est disponible.[http://lists.owasp.org/mailman/listinfo/owasp-france Abonnez vous]

 __NOTOC__ <headertabs />

France

2014-06-16T19:35:50Z

SebastienGioria: /* Contacts, Présentations, Contributions & Partenariats */

{{Chapter Template|chaptername=France|extra=The '''Chapter Leaders''' are [mailto:ludovic.petit@owasp.org Ludovic Petit] and [mailto:sebastien.gioria@owasp.org Sebastien Gioria]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-france|emailarchives=http://lists.owasp.org/pipermail/owasp-france}}'''
<paypal>France Chapter</paypal>

'''The French Chapter is also available on LinkedIn''': [http://www.linkedin.com/groupInvitation?gid=1638517 '''Join us''', it only takes a minute!]

== Contacts, Présentations, Contributions & Partenariats ==

*[mailto:sebastien.gioria@owasp.org Sebastien Gioria] et [mailto:ludovic.petit@owasp.org Ludovic Petit] sont à votre disposition si vous souhaitez des informations et discuter de la plus-value proposée par la Fondation OWASP, ainsi que sur la Sécurité des Applications Web.

Entreprises, Individuels, Monde Académique, Sponsors, Supports, tout le monde est bienvenu à l'OWASP! L'accès à nos Chapter meetings est gratuit et ouvert à tous.

Pour les Entreprises souhaitant adhérer à l'OWASP, différents [https://www.owasp.org/index.php/Membership mécanismes sont disponibles]. Le montant de l'adhésion annuelle est en partie reversée(jusqu'a 40%) au Projet ou au Chapitre de votre choix. Ce montant est déductible à 100% aux USA, et en partie en France aussi. Pour ceux qui souhaitent adhérer mais ne peuvent pas donner le montant corporate, il est possible d'effectuer des dons au [https://www.owasp.org/index.php/Local_Chapter_Supporter titre de sponsors du chapitre France].

Nos sponsors au titre global OWASP :

'''Corporate sponsor :''' [http://www.gemalto.com GEMALTO]

Nos sponsors au titre du chapitre France :

'''Silver sponsor :''' [http://www.phonesec.com/ PHONESEC]

Les fonds collectés servent à organiser les meetings du Chapitre, mais aussi et surtout à construire et organiser avec vous une approche collégiale spécifique répondant à vos souhaits (sessions de sensibilisation, meetings internes, interventions de Speakers, etc.). Tout cela peut être discuté avec le Chapitre Français et acté conjointement avec vous si vous souhaitez adhérer à l'OWASP.

N'hésitez pas à nous solliciter si vous souhaitez discuter d'un sujet particulier, ou si vous souhaitez effectuer une présentation lors d'un meeting du Chapitre France.

Amis journalistes n'hésitez pas à faire appel à nous si vous souhaitez notre concours pour vos articles et reportages, vous êtes les bienvenus et nous en serions honorés. Utilisez notre savoir-faire dans une perspective gagnant-gagnant!

Nous restons modestes dans notre approche, nous souhaitons que le Chapitre OWASP France devienne un de vos contacts de référence. '''Ensembles, Chacun fait plus'''!

'''TEAM stands for... Together Each Achieves More!'''

= News =

== Meeting le 5 Juin chez Mozilla Paris ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : Etat de la Menace, et actualités de la sécurité Web, [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : La sécurité avec PHP, Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS, Stéphanie Ouillon / Mozilla
Inscription/Informations : http://afup.org/pages/rendezvous/index.php?id=21

==OWASP European Chapter Tour 2013, Sophia-Antipolis, France, 24 Juin 2013==
'''Présentation''' : "[https://www.owasp.org/images/1/10/Synth%C3%A8se.ppt Synthèse]"'''
'''Présentation''' : "[https://www.owasp.org/images/9/96/EuTour_-_Owasp_Eurecom.pdf Introduction]"'''
'''Présentation''' : "[https://www.owasp.org/images/5/50/EuTour-providers.pdf The Role of Web Hosting Providers in Detecting Compromised Websites]"'''
'''Présentation''' : "[https://www.owasp.org/images/f/fc/EuTour-webhoneypots.pdf Behind the Scenes of Web Attacks]"'''
'''Présentation''' : "[https://www.owasp.org/images/8/8d/Pellegrino-OWASP_EUTour2013.pdf Logic Vulnerabilities in eCommerce Web Applications]"'''

'''Résumé''' :
Meeting de grande qualité, présentations très intéressantes.
Nous remercions EURECOM pour avoir eu l'amabilité d'héberger le meeting, ainsi que les speakers pour leur prestation très appréciée!

'''Speaker''' : Aurélien Francillon: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Davide Balzarotti: Maître de Conférences, Département "Réseaux et sécurité", EURECOM
'''Speaker''' : Giancarlo Pellegrino: Doctorant, Département "Réseaux et sécurité", EURECOM et chercheur, SAP AG EURECOM
'''Speaker''' : Ely de Travieso: Owasp France, Directeur Phonesec
'''Speaker''' : Maurizio Abbà: Etudiant en Master, EURECOM
'''Speaker''' : Davide Canali: Doctorant, Département "Réseaux et sécurité", EURECOM

==Looking Forward… and Beyond, Distinctiveness Through Security Excellence==
'''Présentation''' : "[https://www.owasp.org/images/5/50/Looking_Forward%E2%80%A6_and_Beyond.pptx Looking Forward… and Beyond]"'''
'''Résumé''' :
Here is a presentation I gave in Sept for a big Software maker in an internal meeting. This presentation aims to be re-used at your convenience depending the needs / your context. Designed into 3 parts, this presentation is / could be useful for local Chapters, any Security Awareness purposes, or people and firms interested about OWASP and willing to join the Foundation as Member. The first 2 parts are more an update for those who are not yet familiar with OWASP, the 3rd part being more specific because about a hot topic that is gaining importance in the context of Application Security.
1st part is about OWASP.
2nd part is an update about the main OWASP Projects and Reboot.
3rd part is about Legal, the evolution of the legal framework, with a focus on the question "Developers, Software makers held liable for code?"
I hope this helps anyway. Enjoy and feel free to email me, all comments welcome!

'''Speaker''' : Ludovic Petit

==28 Mars 2012 Meeting du premier trimestre==
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : "[https://www.owasp.org/images/6/6d/Developer_Top_Ten_Core_Controls_v4.1.pptx Top Ten Web Defenses]"'''
'''Résumé''' :
Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape.
This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.
Access Control is a necessary security control at almost every layer within a web application.
This talk will also detail several of the key access control anti-patterns commonly found during website security audits.
These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms.
In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
Jim Manico is the VP of Security Architecture at WhiteHat Security. Jim has been a web application developer since 1997.
He has also been an active member of OWASP since 2008 supporting projects that help developers write secure code.
'''Enregistrement en ligne sur''' : http://201203owaspfr.eventbrite.com/

== 7 et 8 Février 2012 - [http://www.microsoft.com/france/mstechdays/ Techdays Microsoft 2012] ==

Sébastien présentera un talk sur [http://www.microsoft.com/france/mstechdays/programmes/parcours.aspx?SessionID=62e02774-6045-4be8-80ff-8332a793ad4f HTML5et la Sécurité] le 7 Février 2012 à 17h30.
Plus d'informations sur la page dédiée aux TechDays Microsoft 2012. ==

== 6 Janvier 2012 - Nouveau Groupe de Travail sur la Sécurité des Web Services au [http://www.clusif.fr CLUSIF] ==

Dans la continuité du Groupe de Travail sur la Sécurité des Application Web initialement créé en 2009, le CLUSIF a lancé un nouveau groupe de travail autour de la sécurité des WebServices. N'hésitez pas à participer si vous êtes intéressés. Le CLUSIF recherche des utilisateurs pour ce groupe de travail et des personnes en environnements Microsoft pour disposer d'un panel le plus large possible pour ce document

Contact : [mailto:sebastien.gioria@owasp.org Sébastien Gioria]

== 19 Décembre 2011 - Publication du deuxième document du [http://www.clusif.fr CLUSIF] sur la Sécurité des Applications Web ==

Le CLUSIF a publié son deuxième document sur la [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Defense-en-profondeur-des-applications-Web.pdf Défense en profondeur des applications Web]. Ce document fait suite au [http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf premier document publié en 2009]

== 15 Décembre 2011 Conférence du [http://www.clusif.fr CLUSIF] sur la [http://www.clusif.fr/fr/infos/event/#conf111215 sécurité des applications Web] ==

Le CLUSIF a présenté la conférence Sécurité des Applications Web le jeudi 15 décembre 2011 au cercle National des Armées.
Le programme était :

* Mise en place d'une politique de sécurité applicative : retour d'expérience d'un RSSI par Philippe LARUE - Responsable Sécurité - [http://www.cbp-prevoyance.com/ CBP]
* Revue de code source, ou test sécurité applicatif, quel est le plus efficient pour évaluer un niveau de sécurité applicatif ? par Sébastien GIORIA - Consultant Senior [http://www.groupey.fr Groupe Y] et leader du chapitre Français de [https://www.owasp.org l'OWASP] - OWASP France
* Les enjeux réglementaires de la protection des informations en ligne par Garance MATHIAS - Avocat - Cabinet d'Avocats

Les présentations sont disponibles sur le site du [http://www.clusif.fr CLUSIF], les vidéos de l'intervention seront aussi disponible.

== 2 Décembre 2011 - [[OWASP BeNeLux 2011 Conference - University of Luxembourg]] ==

Ludovic had a talk about "[https://www.owasp.org/index.php/BeNeLux_OWASP_Day_2011#tab=Conference.2C_December_2nd WebApp Security and Legal aspects]" on Dec 2.

*'''Overview'''
**This presentation aims to be used by anybody willing to spread the voice of OWASP. See this as an Awareness session.
**Use it and use it again.
**Try to open your mind, just met me know if I can help.

*'''Abstract Title: "[https://www.owasp.org/images/5/55/Do_you..._Legal_-_OWASP_BeNeLux_Day_-_2_Dec_2011.pptx Do you... Legal?]"'''
**The OWASP core mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. However, if you do not pay enough attention to many aspects of Legal compliance, you'll see why Web Application Security is somehow linked to Legal and Regulatory aspects as well as... Corporate Responsability, so yours. Who is accountable for what, what about each other's responsibility? Nowadays, the legal constraints oblige us to comply via technical means, whatever the local framework, and this is specially true for Web Application Security, many sensitive informations having to be handled through these web interfaces. A such, what do you think about your Security Policy compliance with your local Legal framework? Compliant? Sure? Really? Interesting isn't it? Let's have a talk about this.

=== [[EUROPE - ENISA’s Who-is-Who Directory on Network and Information Security]] ===

We are pleased to announce that OWASP France is part of the [http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011 ENISA’s Who-is-Who Directory].

The ENISA is the European Network and Information Security Agency.
[http://www.enisa.europa.eu/publications/studies/who-is-who-directory-2011/at_download/fullReport The ENISA Who-is-Who Directory on Network and Information Security 2011] contains information on NIS stakeholders, such as national and European authorities and NIS organisations, contact details, websites, and areas of responsibilities or activities.
This Directory serves as the "yellow pages" of Network and Information Security (NIS) in Europe. As such, it is a useful tool for those working closely with NIS issues in Europe.

=Chapter Meeting 2014 =

== Juin 2014 ==
'''Date''' : 5 Juin 2014
'''Lieu''' : Mozilla Paris, 16 Bis Boulevard Montmartre, Paris 75009, France
'''Horaire''' : 19h à 22h
'''Présentation 1''' : Etat de la Menace, et actualités de la sécurité Web, [mailto:sebastien.gioria@owasp.org Sebastien Gioria]
'''Présentation 2''' : La sécurité avec PHP, Christophe Villeneuve AFUP
'''Présentation 3''' : Firefox OS, Stéphanie Ouillon / Mozilla
Inscription/Informations : http://afup.org/pages/rendezvous/index.php?id=21

= Chapter Meetings 2013 =

== Q1 2013 ==
'''Date''' : 7 février 2013
'''Lieu''' : Gemalto - Salle Plazza, 6 rue de la Verrerie, 92197 Meudon-sur-Seine
'''Horaire''' : 18h30 à 21h
'''Présentation''' : Update sur les '''Projets OWASP''', Ludovic
'''Présentation''' : '''Evolution du Cadre Légal - Developers, Software makers held liable for code?'''[[https://www.owasp.org/images/2/2a/Chapter_Meeting_OWASP_France_-_7_Feb_2013.pdf]] Ludovic
'''Présentation''' : '''Données personnelles: le nouveau projet de règlement européen'''[http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen], Thiébaut Devergranne
'''Breaking News''' : Présentation de l''''OWASP France Day''' que nous souhaitons organiser en mars, Ludovic & Sébastien
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien
'''Update''' : '''Relations Partenaires''' & '''Adhésions''', Ely de Travieso

Pour nous accompagner lors de ce meeting, Thiébaut Devergranne, docteur en droit et consultant. Thiébaut travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre.

''''''Speakers'''''' : Ludovic Petit, Sébastien Gioria, Ely de Travieso, Thiébaut Devergranne
'''Enregistrement en ligne ici''' : https://www.eventbrite.com/event/4615236296

'''Date''' : 12 mars 2013
'''Lieu''' : Solucom, Tour Franklin, 100-101 Terrasse Boieldieu, 92042 Paris La Défense
'''Horaire''' : 09h00 à 12h30
'''Présentation''' : Secure Coding (en Anglais), Jim Manico
'''Présentation''' : Sécurité Applicative: l’Organisation, clé de la réussite!, Gérôme Billois
'''Présentation''' : OWASP News & Update, Ludovic Petit & Sébastien Gioria
'''Appel à contribution''' : '''Traduction OWASP Top Ten 2013''', Ludovic & Sébastien

'''Présentation globale''' : '''Chapter Meeting OWASP France 12 Mars'''[[https://www.owasp.org/images/2/2d/Chapter_Meeting_OWASP_France_12_Mars.pdf]]

Les sujets abordés par Jim Manico:
'''Authentication Best Practices for Developers:''' This module will discuss the security mechanisms found within an authentication (AuthN) layer of a web application. We will review a series of historical authentication threats. We will also discuss a variety of authentication design patterns necessary to build a low-risk high-security web application. Session management threats and best practices will also be covered. This module will include several technical demonstrations and code review labs.

'''Access Control Design Best Practices:''' Access Control is a necessary security control at almost every layer within a web application. This talk will discuss several of the key access control anti-patterns commonly found during website security audits. These access control anti-patterns include hard-coded security policies, lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these and other access control problems, we will discuss and design a positive access control mechanism that is data contextual, activity based, configurable, flexible, and deny-by-default - among other positive design attributes that make up a robust web-based access-control mechanism.

''''''Speakers'''''' : Jim Manico, Gérôme Billois, Ludovic Petit, Sébastien Gioria
'''Enregistrement en ligne obligatoire''' : http://owaspfrance12mars2013.eventbrite.com/

= Appel à contribution OWASP France =

Ici seront relayés les différents appels à contributions du Chapitre (Sponsors, talks, etc.).

= Appel à contributions externes =

Ici seront relayés les appels à contributions que nous estimons interessants pour le Chapitre.

= Meetings 2012 =

== Q1 2012 ==
'''Date''' : 28 Mars 2012
'''Lieu''' : Groupe Y Audit - 69 Rue de la Boëtie - 75 Paris - Métro Saint Philippe du Roule
'''Horaire''' : Ouverture des portes 17h30 - Début de la présentation 18h
'''Présentation''' : Web Application Access Control Design Excellence
'''Résumé''' : Access Control is a necessary security control at almost every layer within a web application.
This talk will discuss several of the key access control anti-patterns commonly found during
website security audits. These access control anti-patterns include hard-coded security policies,
lack of horizontal access control, and "fail open" access control mechanisms. In reviewing these
and other access control problems, we will discuss and design a positive access control mechanism
that is data contextual, activity based, configurable, flexible, and deny-by-default - among other
positive design attributes that make up a robust web-based access-control mechanism.
'''Speaker''' : Jim Manico
'''Enregistrement en ligne ici''' : http://201203owaspfr.eventbrite.com/

== Q2 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q3 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

== Q4 2012 ==
* Date : To be defined
* Time : To be defined
* Venue : Groupe Y Audit - 69 Rue de la Boëtie - 75008 Paris
* Program :
** Talk 1 :
*** Lang :
***Speaker bio

** Talk 2 :
***Speaker bio
*** Lang :

= 2011 Meetings =

=== [[May 2011 - Paris Meeting]] ===

[Logo to be placed here]

We are honored to welcome '''Jim Manico''' during his European Tour in the Netherlands, Belgium and France.

*'''Overview'''
**Apart from OWASP's Top 10, most OWASP Projects are not widely used and understood. In most cases this is not due to lack of quality and usefulness of those Document & Tool projects, but due to a lack of understanding of where they fit in an Enterprise's security ecosystem or in the Web Application Development Life-cycle.
**This course aims to change that by providing a selection of mature and enterprise ready projects together with practical examples of how to use them.
**The course will be very practical where demonstration and hands-on exercises will be provided for the tools covered.
**If you are interested in participating in the hands on portion of the course, please bring a laptop.

*'''Abstract Title: "[https://www.owasp.org/images/f/f4/Future_of_XSS_v4.pptx The Ghost of XSS Past, Present and Future. A Defensive Tale]"'''
**This talk will discuss the past methods used for XSS defense that were only partially effective. Learning from these lessons, will will also discuss present day defensive methodologies that are effective, but place an undue burden on the developer. We will then finish with a discussion of future XSS defense mythologies that shift the burden of XSS defense from the developer to various frameworks. These include auto-escaping template technologies, browser-based defenses such as Content Security Policy, and Javascript sandboxes such as the Google CAJA project and JSReg.

*'''Speaker'''
**'''Jim Manico''' is a managing partner of Infrared Security with over 15 years of professional web development experience. Jim is also the Chair of the OWASP Connections Committee, one of the Project Managers of the OWASP ESAPI Project, a participant and manager of the OWASP Cheatsheet series, the Producer and host of the OWASP Podcast Series, the Manager of the OWASP Java HTML Sanitizer project and the manager of the OWASP Java Encoder project. When not OWASP'ing, Jim lives on of island of Kauai with his lovely wife Tracey.

*'''Date'''
**May 24, 2011

*'''Venue'''
**Paris

*'''Registration'''
**[http://www.regonline.com/Register/Checkin.aspx?EventID=971375 Click here]

== 26 Avril 2011 ==

'''Le 26 Avril 2011 dans les locaux de [http://www.groupey.fr/nos-cabinets-paris.html GROUPE Y] :'''

* 9:00: [https://www.owasp.org/images/2/2f/Agenda_26th_April_2011.pptx Introduction] - '''Ludovic Petit''' & '''Sébastien Gioria'''
* 9:30: [https://www.owasp.org/images/3/36/OPENSAMM2.pptx OpenSAMM] - '''Antonio Fontes''' (Chapter Leader OWASP Geneva)
* 11:00: [https://www.owasp.org/images/c/cf/OWASP_Cloud_Top_10.pptx OWASP Cloud Top 10 Project] - '''Ludovic Petit''' (Chapter Leader OWASP France & OWASP Global Education Committee Member)
* 11:45: [https://www.owasp.org/images/5/5c/ESAPI_Swingset_talk_at_Paris.ppt OWASP ESAPI] - '''Fabio Cerullo''' (Chapter Leader OWASP Ireland & Global Education Committee)
* 14:15: [https://www.owasp.org/images/3/38/OWASP_Testing_Guide.pptx OWASP Testing Guide] - '''Sébastien Gioria''' (French Chapter Leader & OWASP Global Education Committee Member)
* 15:15: [http://o2platform.com OWASP 02 Platform - Live Session] - '''Dinis Cruz''' (OWASP O2 Project Leader)
* 16:30: [https://www.owasp.org/images/9/96/OWASP-Paris2011-VV-CodeReview.pdf OWASP Code Review] - '''Victor Vuillard'''

= 2009 Meetings =

'''Le 6 Mai 2009 à 17h30 à [http://www.epitech.eu L'EPITECH] :'''

* 17h30 : Accueil des participants
* 18h - 18h 15 : [http://www.owasp.org/images/d/dc/OWASP_Paris_Meeting_-_May_2009.pdf Welcome et overview of agenda] '''(Board OWASP France)'''
* 18h30 - 19h : [http://www.owasp.org/images/6/6b/2009-05-06-OWASPFR-WebServices.pdf Attaques sur les Web Services] - '''Renaud Bidou'''
* 19h15 - 19h45 : [http://www.owasp.org/images/8/82/2009-05-06-OWASPFR-OpenSAM.pdf Software Security Initiatives in the Real World] - '''Claudio Merloni'''
* 20h : Close

A propos des Speakers :

'''''Renaud Bidou :''' ''Directeur Technique de DenyAll. Il travaille depuis plus de 10 ans dans la sécurité et a publié de nombreux articles et white-papers touchant à des sujets aussi variés que les dénis de service, les portknockers, les botnets, la mise en place d’un SOC, l’analyse graphique d’attaques ou encore les techniques de contournements.

'''''Claudio Merloni : '''''Claudio Merloni est Software Security Consultant chez Fortify Software. Ses expériences dans le domaine de la sécurité embrassent la sécurité applicative, revue de code, architectures sécurisées, analyse des risques, conformité, test de sécurité à niveau réseau, système et applicatif, monitoring, contrôle d'accès. Il a participé a plusieurs conférences, entre lesquelles BlackHat et CONFidence.

'''Le Lieu : EPITECH'''

Amphi 2

14-16 rue Voltaire

94276 Kremlin Bicêtre Cedex

''Moyens d'accès Métro''
* ligne 7 : Porte d'Italie

''Bus''
* ligne 47, 125, 131, 185 : Roger Salengro
* ligne 186 : Pierre Brossolette 

''Voiture''
* périphérique : sortie Porte d'Italie

= Translation effort =

* The '''OWASP TOP Ten 2010 in French''' is [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20French.pdf available]
* 2010-08-30 : La version française du Top 10 2010 est disponible [http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project]
* 2008-02-15 : Le Top10 2007 est en version Française [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.pdf Format PDF], [https://www.owasp.org/index.php/Image:OWASP_Top_10_2007_-_French.doc Format Word]
* 2007-11-16 : [https://www.owasp.org/images/5/52/Owasp_tryptique.pdf Folio 2 pages Recto/verso] de présentation pour Infosecurity.
* 2007-02-27 : [[Newsletter_francaise_num%C3%A9ro_1]]
* 2007-06-20 : Présentation de l'OWASP faite à NY en Juin 2007 [https://www.owasp.org/images/7/71/20070620-FR-OWASP_NY_Keynote.ppt]
[[Category:Europe]]

= Old News =

* 2009-06-09 : [http://www.owasp.org/images/d/d2/20090609-CERT-IST-WAF-v0.1.pdf Intervention sur les WAF] lors du Forum [http://www.cert-ist.com CERT-IST]
* 2009-02-03 : L'OWASP France sera présent à [http://www.pci-portal.com/events/event-info/paris PCI Paris]. La présentation est : [https://www.owasp.org/images/f/fb/20090203-OWASP_PCI-Global_2009_Paris_-_v03.ppt l'OWASP et l'exigence 6.5 de PCI-DSS]
* 2008-11-19 : L'OWASP France sera présent sur [http://www.infosecurity.com.fr/FR/badge?ref=OWAW Infosecurity France] à Paris :
[http://www.infosecurity.com.fr/index.php?argRedirect=FR|badge&Lang=FR&ref=OWAW https://www.owasp.org/images/8/88/Infosecurity.gif]

* 2008-07-08 : L'OWASP France a présenté le projet OWASP à l'[http://www.ossir.org OSSIR]. La présentation est disponible sur le site de [https://www.owasp.org/images/9/94/20080708-OWASP_OSSIR.ppt l'OWASP]
* 2008-02-15 : Le Top10 2007 est en version Francaise
* 2008-02-11 : Présentation aux [http://www.owasp.org/images/0/09/20080129-OWASP_TechDays_France_.ppt TechDays 2008 Microsoft ]
* 2007-11-22 : Présentation a Infosecurity France [http://www.owasp.org/images/8/85/20071122-OWASP_Infosecurity_France.ppt de l'OWASP]
* 2007-11-07 : Interview dans le [http://www.journaldunet.com/developpeur/itws/071106-securite-applicative-owasp.shtml Journal du Net]
* 2007-10-05 : L'OWASP France présentera les enjeux de la sécurité des [http://www.infosecurity.com.fr/?Jpto=116&KM_Session=f345bb91df954e6cbc0148328f109e94&CurrentNode=518&Lang=FR&IdNode=708 Services WEB à Infosecurity France le 22/11/2007]
* 2006-12-18 : Mise en place de l'association pour supporter le groupe OWASP
* 2006-12-14 : Le Hub OWASP Viaduc a vu le jour http://www.viadeo.com/hub/affichehub/?hubId=002fj37grgb7o7n
* 2006-12-13 : Naissance du chapitre Francais de l'OWASP. Une liste de diffusion est disponible.[http://lists.owasp.org/mailman/listinfo/owasp-france Abonnez vous]

 __NOTOC__ <headertabs />

OWASP SonarQube Project

2014-06-14T20:43:22Z

SebastienGioria: /* FAQs */