Dans le cadre de mon travail pour la mise en œuvre de la norme ISO27001:2022, j'ai eu à traiter des questions relatives au développement d'applications et aux tests de celles-ci, principalement pour la mesure de sécurité de l'annexe 8.28.

Accept

Notez que le développement est couvert par les mesures 8.25 à 8.34 de la norme ISO 27001:2022.

Avec cet article, j'aimerais mettre en lumière un aspect des tests applicatifs trop souvent négligé par les organisations. Soit les tests avant et après le développement!

1. L'origine et les définitions de DAST et SAST

Le SAST (Static Application Security Testing) est une méthode de sécurité qui analyse le code source d'une application sans l'exécuter.

Le but est d'identifier des vulnérabilités potentielles dans le code source avant même que l'application soit lancée en production.

À l'inverse, le DAST (Dynamic Application Security Testing) se concentre sur les applications en fonctionnement, c'est-à-dire pendant qu'elles sont en cours d'exécution.

2. Concepts à savoir

SAST

Le SAST se focalise sur l'analyse du code source, des bibliothèques utilisées, et de l'architecture de l'application.

DAST

Le DAST, quant à lui, est plus orienté vers le comportement de l'application une fois qu'elle est en fonctionnement.

5. Outils de SAST et DAST

Outils de SAST :

  • Checkmarx : Un outil de SAST populaire qui analyse le code source et aide à la détection précoce des vulnérabilités.
  • SonarQube : Une plateforme open-source permettant de réaliser des analyses de code statiques pour détecter les défauts de sécurité.
  • Veracode : Une solution cloud qui offre à la fois des tests statiques et dynamiques.

Outils de DAST :

  • OWASP ZAP (Zed Attack Proxy) : Un outil open-source qui permet de réaliser des tests de pénétration automatisés sur des applications web.
  • Burp Suite : Un outil très utilisé pour réaliser des tests de pénétration et d'analyse de sécurité dans des applications web.
  • Acunetix : Une solution qui scanne les sites web à la recherche de vulnérabilités courantes.

Je vous invite à cliquer sur "Follow" pour continuer d'en apprendre plus sur le domaine de la sécurité de l'information.