La sécurité applicative concerne les processus, outils et pratiques visant à protéger les applications contre les menaces tout au long de leur cycle de vie. Les cybercriminels sont organisés, spécialisés et motivés pour identifier et exploiter les vulnérabilités des applications d'entreprise afin de voler des données, des éléments de propriété intellectuelle et des informations sensibles. La sécurité des applications peut aider les entreprises à protéger toutes sortes d'applications (qu'elles soient héritées, de bureau, sur navigateur Web, sur appareils mobiles ou sous forme de micro-services) utilisées par les parties prenantes internes et externes, ou les clients, les partenaires commerciaux et les employés.
Comme l'ont démontré de multiples études, la majorité des effractions réussies ciblent des vulnérabilités exploitables résidant dans la couche d'application, ce qui indique qu'il est nécessaire pour les services informatiques des entreprises de se montrer particulièrement vigilants au niveau de la sécurité des applications. Pire encore, le nombre et la complexité des applications ne font qu'augmenter. Il y a dix ans, le défi lié à la sécurité logicielle consistait à protéger les applications de bureau et les sites Web statiques qui étaient relativement simples et faciles à visualiser et à protéger. Aujourd'hui, la chaîne d'approvisionnement logicielle est bien plus compliquée, si l'on tient compte du développement externalisé, du nombre d'applications héritées, associé au développement en interne qui s'appuie sur des composants tiers, open source et commerciaux prêts à l'emploi.
Les entreprises ont besoin de solutions de sécurité qui couvrent l'ensemble de leurs applications, qu'elles soient internes ou qu'il s'agisse d'applis externes populaires que les clients installent sur leur téléphone portable. Ces solutions doivent couvrir l'ensemble des étapes du développement et proposer des tests après la mise en service d'une application afin de détecter les problèmes potentiels. Les solutions de sécurité applicative doivent être en mesure de tester les applications Web à la recherche de vulnérabilités potentielles et exploitables, avoir la possibilité d'analyser le code, contribuer à gérer les processus de gestion de la sécurité et du développement en coordonnant les efforts et en favorisant la collaboration entre les différentes parties prenantes. Les solutions doivent en outre offrir des tests de sécurité des applications qui soient simples à utiliser et à déployer.
Les tests statiques de sécurité des applications (SAST) analysent les fichiers source des applications, identifient avec précision l'origine des problèmes et facilitent la correction des failles sous-jacentes.
Avantages des tests statiques de sécurité des applications pour les développeurs :
Les tests dynamiques de sécurité des applications (DAST) simulent des attaques contrôlées sur une application ou un service Web en cours d'exécution afin d'identifier les vulnérabilités exploitables dans un environnement en production.
Avantages des tests dynamiques de sécurité des applications (DAST) :
Les solutions de sécurité applicative se composent de logiciels de cybersécurité (les outils) et des pratiques qui exécutent le processus afin de sécuriser les applications.
Les solutions Application Security Testing peuvent être exécutées sur site (en interne), gérées et maintenues par vos équipes internes. Cette approche requiert que les entreprises fournissent l'infrastructure, le personnel et achètent les solutions de sécurité applicative qu'elles utilisent. La sécurité sur site garantit aux entreprises que leurs données d'application ne seront pas partagées avec des tiers et ne quittent pas le site.
La sécurité des applications peut aussi être proposée sous forme de SaaS (en tant que service). Dans ce cas, le client consomme les services fournis en tant que solution clé en main par le fournisseur de sécurité applicative. Cette approche ne s'accompagne d'aucune des conditions prérequises de l'approche sur site, mais nécessite que l'on s'appuie en partie ou entièrement sur le fournisseur de SaaS et dans la plupart des cas, elle permet de partager les données applicatives avec le fournisseur. Le SaaS fournit un moyen simple de débuter dans la sécurité des applications et peut offrir évolutivité et rapidité.Les mises en œuvre hybrides (utilisant des solutions sur site et SaaS mixées dans différents projets et pratiques) ont pour but d'offrir le meilleur des deux mondes : flexibilité, évolutivité et optimisation des coûts.
Aujourd'hui, chaque entreprise est une société de logiciels. En conséquence, on a assisté à une croissance considérable du nombre d'applications Web et mobiles et à une fréquence accrue de la publication de nouvelles versions. Pour suivre le rythme des exigences professionnelles, de nombreuses entreprises réalisent des analyses de sécurité allégées, qui sacrifient la précision nécessaire pour détecter des vulnérabilités cruciales. L'agilité dans la sécurité est une question d'équilibre entre la réalisation d'analyses approfondies et précises et les faux positifs associés qui peuvent paralyser la résolution des problèmes.
L'Open Web Application Security Project (OWASP) est une communauté de sécurité applicative en open source dont l'objectif est d'améliorer la sécurité des logiciels. Ses directives OWASP Top 10 standard de l'industrie fournissent la liste des risques de sécurité applicative les plus critiques en vue d'aider les développeurs à mieux sécuriser les applications qu'ils conçoivent et déploient. Vous trouverez des présentations et des conseils pratiques pour chacune des menaces du Top 10 dans le Guide du développeur des 10 premiers OWASP.
Les solutions Micro Focus Application Security offrent des services de test et de gestion de la sécurité applicative, disponibles sur site ou en tant que service. Ces services peuvent aider les entreprises à sécuriser leurs applications logicielles, y compris les applications héritées, mobiles, tierces et en accès libre.
Les offres Micro Focus Fortify comprenaient des tests de sécurité statiques, dynamiques et interactifs, ainsi qu'une auto-protection des applications à l'exécution, et des services de prise en charge d'un programme d'assurance de sécurité logicielle. Ces processus garantissent la protection et la sécurité des applications dont votre entreprise dépend.
Ces solutions comprennent :
Fortify Static Code Analyzer - Static Application security testing (SAST) : identifie et met en évidence les failles de sécurité dans le code source lors d'une phase précoce du cycle de développement du logiciel.
Fortify WebInspect - Dynamic application security testing (DAST) : simule des attaques de sécurité concrètes dans une application en cours d'exécution pour fournir une analyse complète des applications et services Web complexes.
Interactive application security testing (IAST) – Intégration de notre analyse dynamique de test et en cours d'exécution pour identifier davantage de vulnérabilités en développant la couverture de la surface de l'attaque et en exposant les exploitations plus efficacement que les tests dynamiques seuls.
Fortify Application Defender - Runtime application self-protection (RASP) – Surveille et protège activement les applications en production qui présentent des vulnérabilités connues et inconnues.
Fortify on Demand : la Sécurité sous forme de Service (SaaS), un moyen simple, rapide et facile de tester avec précision les applications sans avoir à installer ni à gérer des logiciels, ni à ajouter des ressources supplémentaires
Mobile Security – Méthodologie de test mobile qui teste les trois niveaux : le client, le réseau et le serveur.
Software Security Assurance – Référentiel de gestion centralisé qui fournit une visibilité propice à la résolution des vulnérabilités de sécurité.
Fortify Software Security Center - Référentiel de gestion centralisé fournissant la visibilité de l'ensemble du programme de test de sécurité de l'application. Il hiérarchise, gère et surveille les activités de test et fournit un tableau complet du risque de sécurité logicielle dans l'ensemble de votre entreprise.
Livre blanc : Guide 2019 de l'Acheteur TechBeacon pour la sécurité des applications
Livre blanc : Sécurité transparente des applications : la sécurité au rythme des DevOps
Vidéo : Prise en main de la sécurité applicative en une journée
Webinaire : Shift Left : 3 étapes pour sensibiliser vos développeurs à la sécurité
Livre blanc : Rapport sur les risques de sécurité des applications
Webinaire : Intégrer la sécurité dans le cycle de vie de vos logiciels : automatisation et intégration
Livre blanc : État de la sécurité des applications dans l'entreprise
Les 10 principaux risques de sécurité pour les applications Web critiques - OWASP
Chaîne YouTube Fortify Unplugged
Essai gratuit de Fortify on Demand