Application Security Resources

Sub Text of Application Security Resources

La techologie IAST : « Interactive Application Security Testing » ou « Tests de sécurité applicative interactifs »

February 17, 2014 - by Irene Abezgauz

Tiny Url for this post: http://tinyurl.com/o9mabvm

En 2011, Quotium a été le pionnier dans le développement de la technologie d’analyse du code applicatif pendant son exécution, pour y détecter et corriger les vulnérabilités techniques et logiques. Classé par Gartner comme une innovation visionnaire, le concept IAST permet de comprendre le contexte des failles de sécurité détectées dans le code source. Chaque vulnérabilité est ainsi vérifiée automatiquement en y simulant une attaque afin de vérifier son impact notamment sur les données critiques gérées par l’application.

Le code source générant des vulnérabilités logiques et complexes non détectables par d’autres technologies, peut être ainsi débusqué, tout en éliminant les faux positifs, sources de perte de temps.

Toutes les vulnérabilités ne sont pas égales !

La prise en considération du contexte des vulnérabilités, gagne en popularité en raison de la complexité croissante des systèmes qui ont besoin de protection. Cela permet d’améliorer les décisions au sujet des menaces identifiées.
Lors d’un test de pénétration un testeur humain se concentrera probablement sur l’identification des vulnérabilités qui constituent une menace pour l’entreprise, telle que le vol d’une base de données contenant des informations confidentielles.
Malheureusement, la plupart des outils d’analyse de code et les scanners de vulnérabilité ne suivent pas cette logique. Une vulnérabilité est le plus souvent simplement présentée par son nom technique. Lorsque des dizaines d’alertes sont remontées par les outils et que le client pousse à la mise en ligne de l’application, quelle décision prendre ?

Sans contexte toutes les vulnérabilités semblent égales, il est difficile de trier les faux positifs et comprendre ce qui a besoin d’une correction immédiate.

La sécurité est une question de gestion du risque lié aux données

Contrairement à ce que les experts en sécurité de l’application pourraient vous faire croire, les attaques applicatives ne visent pas l’application. Ils ciblent les données de l’entreprise. Avez-vous jamais vu un titre de journal disant « Des pirates ont fait irruption dans le site Web du Pentagone et ont obtenu l’accès à des librairies non sécurisées »? Le titre « Des pirates ont volé 5 millions de dossiers d’usagers sur le site de l’entreprise Durant » est bien plus réaliste.

99% de nos clients ne se soucient pas de la sécurité de leur code. Ce qu’ils veulent c’est réduire le risque global de leur organisation. Ils ne veulent pas dépenser 25% de leur énergie à corriger du code sans importance. Ils veulent gérer le risque sur leurs données et opérations les plus sensibles.

Pour cela, les outils de sécurité applicative ou « Code Security » doivent se concentrer sur la gestion des risques, aider nos clients à créer du code que les pirates ne peuvent pas utiliser pour accéder à leurs données les plus sensibles.

 

Voulez vous voir comment une solution IAST fonctione ? Demandez une démo

This post is also available in: Anglais

AboutIrene Abezgauz

Irene Abezgauz (@IreneAbezgauz) has ten years of experience in information and application security, focusing on application security testing and research. She is the Product Manager of Seeker, the new generation of automatic application security testing, as well as the leader of the research center in the company. She has discovered and published numerous vulnerabilities in products of leading vendors, and is a frequent speaker at professional conferences.

Learn more about Seeker

More Livres Blancs