Tests de sécurité applicatifs

25 05 2009

La sécurité des SI est un sujet important pour toutes les DSI depuis de nombreuses années déjà. Les tests en font partis. Par conséquent une très grande quantité de société propose des tests de sécurité et d’intrusion ou bien des audits permettant de connaitre les vulnérabilités d’une entreprise afin de les « corriger ».

Mais dans ce petit monde je ne connais personne ne traitant réellement, concrètement et opérationnellement des tests de sécurité applicatifs !

C’est pourquoi j’entame des nouveaux articles sur le sujet afin de vous en faire profiter. Si vous avez de remarques ou des suggestions je suis à votre écoute.

Mon premier article traite d’une de mes visites chez HP où assisté à la présentation des mises à jour majeures de ses logiciels conçus pour aider les DSI à réduire la vulnérabilité de leurs applications Web. Ces nouvelles offres font partis de HP Application Security Center, une suite de logiciels et de services conçue pour aider les entreprises à assurer la sécurité de leurs applications Web en leur permettant de découvrir, corriger et prévenir des vulnérabilités susceptibles d’être exploitées par des pirates.

Qu’est-ce que HP Application Security Center ?

Il aide les développeurs, les équipes d’assurance qualité et professionnels de la sécurité à détecter et corriger rapidement et de façon rentable les vulnérabilités et anomalies tout au long du cycle de vie de l’application. Ces produits logiciels de test de la sécurité fournissent des définitions de stratégie sécuritaire communes, des tests de sécurité automatisée, un contrôle centralisé des autorisations et un accès Web aux informations de sécurité.

Les nouveautés 2009 :

HP Assessment Management Platform 8.0 – aide les entreprises à réduire les coûts et les risques applicatifs via une plateforme de test distribuée et évolutive de sécurisation des applications web.

De plus, HP Assessment Management Platform 8.0 permet aux entreprises de :

  • Prioriser les problèmes de sécurité en fonction des objectifs métiers. De nouvelles fonctions analytiques aident les entreprises à identifier les actifs qui ont besoin d’être sécurisés et à classifier les données suivant leur importance pour l’activité de l’entreprise. L’intégration d’un contexte métier aux données permet de concentrer efficacement l’attention des ressources compétentes en sécurité
  • Sécuriser plus d’applications avec moins de ressources spécialisées à l’aide d’un modèle des services partagés. Ce dernier est apporté par des fonctions de reporting globales ainsi que par une nouvelle fonction de visualisation permettant à des équipes de superviser à distance un scan de sécurité

HP WebInspect 8.0 – aide les entreprises à analyser en profondeur les applications web complexes. Cette nouvelle version apporte plus de rapidité et de fiabilité dans les tests et les capacités de remédiation (terme employé par HP signifiant « trouver un remède » – n’existe pas dans le dictionnaire français) de la sécurité des applications web, y compris celles développées avec des technologies Web 2.0.

HP Software-as-a-Service (SaaS) Project Services for Application Security Center permet aux entreprises de mettre rapidement en œuvre leurs initiatives de sécurisation des applications via une solution complète, maintenue et administrée par HP.

Les nouvelles offres de HP permettent aux DSI de prioriser les menaces en fonction de leurs objectifs métiers. Cette approche permet de concentrer des ressources souvent limitées sur la protection des actifs et des données les plus importants. Par exemple, une organisation peut identifier les applications associées au traitement de transactions par carte bancaire et y concentrer ses efforts de sécurisation afin de se conformer aux recommandations de l’industrie des cartes de paiement (PCI DSS par exemple).

Ainsi, les experts supervisent l’ensemble des processus de sécurisation de l’entreprise et aident à analyser les résultats de tests de sécurité. Ce modèle aide les entreprises à renforcer la sécurité de leurs systèmes d’information en les mettant à l’épreuve au sein même des processus existant de développement, d’assurance qualité et d’exploitation.

Puisque trouver et corriger les vulnérabilités très tôt dans le processus de conception permet de réduire les coûts, ce modèle aide les entreprises à renforcer la sécurité de leurs systèmes d’information à moindre coût, en industrialisant les tests de sécurité au travers de l’intégralité du cycle de vie des applications.

Les logiciels HP WebInspect 8.0 et HP Assessment Management Platform 8.0 sont basés sur la même infrastructure de scanning et de reporting. Tous deux aident les entreprises à :

  • Trouver et corriger les vulnérabilités dans les applications Web 2.0 avec les fonctions d’analyse statique des applications conçues pour la plateforme Adobe® Flash platform et de suivi dynamique pour les applications JavaScript/Ajax.
  • Mettre en œuvre des scans automatiques qui ne pouvaient, jusqu’ici, être réalisés que manuellement. Ceci concerne notamment, le suivi en profondeur pour les applications Java™ Model View Control
  • Gagner du temps grâce à de nombreuses fonctions d’automatisation, permettant une configuration plus rapide des tests, et à des fonctions prêtes à l’emploi de reporting
  • La nouvelle offre HP SaaS Project Services for Application Security Center aide les entreprises à commencer rapidement l’exploitation de HP Application Security Center, à la demande.

Actions

Information

One response

25 05 2009
Mr More One

Pas mal.
:)

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s




%d blogueurs aiment cette page :