SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB



Documents pareils
OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Découvrir les vulnérabilités au sein des applications Web

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Tutoriel sur Retina Network Security Scanner

BROCHURE D ENTREPRISE

La Sécurité des Données en Environnement DataCenter

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Trusteer Pour la prévention de la fraude bancaire en ligne

CA Mainframe Chorus for Security and Compliance Management version 2.0

La gestion des vulnérabilités par des simulations d'attaques

La gestion des risques en entreprise de nouvelles dimensions


Sécurité sur le web : protégez vos données dans le cloud

JSSI mars 2012 Laurent Butti Orange France DMGP/PORTAIL

LA PROTECTION DES DONNÉES

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Indicateur et tableau de bord

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

IPS : Corrélation de vulnérabilités et Prévention des menaces

Gestion des incidents

Expression, analyse et déploiement de politiques de sécurité - Application réseau -

Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense

Questionnaire aux entreprises

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Atelier Sécurité / OSSIR

La Gestion des Applications la plus efficace du marché

Ocularis. NOVADIS 14 place Marie Jeanne Bassot Levallois Perret Tel : +(33) Fax : +(33)

Le scan de vulnérabilité

DenyAll Detect. Documentation technique 27/07/2015

Concept Compumatica Secure Mobile

Archived Content. Contenu archivé

Règlement d INTERPOL sur le traitement des données

Convergence Grand public professionnelle

z Fiche d identité produit

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Introduction à la Sécurité Informatique

Microsoft Office system Février 2006

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

Modernisation et gestion de portefeuilles d applications bancaires

Plan d intervention d urgence. en cas d attaque contre les systèmes d information. ou de faille technique des systèmes d information.

Yphise optimise en Coût Valeur Risque l informatique d entreprise

VTX Secure Sonicwall

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Pourquoi la responsabilité sociétale est-elle importante?

Présentation de la solution Open Source «Vulture» Version 2.0

Installation d'un TSE (Terminal Serveur Edition)

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Ne laissez pas le stockage cloud pénaliser votre retour sur investissement

Yphise optimise en Coût Valeur Risque l informatique d entreprise

La reconnaissance de plaques d immatriculation qui vous facilite la tâche. Solutions innovatrices

DOCUMENTATION - FRANCAIS... 2

Meilleures pratiques de l authentification:

Sécurité des réseaux IPSec

ARCHIVAGE DES BASES DE

Surveillance de la sécurité basée sur les résultats dans un contexte de surveillance continue

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Catalogue Audit «Test Intrusion»

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

NIMBUS TRAINING. Administration de Citrix NetScaler 10. Déscription : Objectifs. Publics. Durée. Pré-requis. Programme de cette formation

Serveur Web Apache. Jean-Marc Robert Génie logiciel et des TI

Solutions McAfee pour la sécurité des serveurs

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne Yosr Jarraya. Chamseddine Talhi.

Découverte et investigation des menaces avancées PRÉSENTATION

Améliorer la Performance des Fournisseurs

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Web Application Firewalls (WAF)

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Management de la sécurité des technologies de l information

Open Vulnerability Assessment System

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Comment la ville de Westmount a automatisé la préparation de ses réunions du conseil :

UserLock Quoi de neuf dans UserLock? Version 8.5

Énoncé de position sur les pénuries de médicaments d ordonnance au Canada

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Préjudices, failles, vulnérabilités et menaces

NEXT GENERATION APPLICATION SECURITY

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Guide de travail pour l auto-évaluation:

10 bonnes pratiques de sécurité dans Microsoft SharePoint

«Evolution des menaces de sécurité et lutte contre les cyber attaques» Mathieu Vialetay, CISSP. Security Consultant, North Africa Tlemcen, juin 2013

Eliminer les risques liés aux failles de sécurité dans les applications Web avec Rational AppScan. Kamel Moulaoui

Sécurité Informatique : Metasploit

Opportunités s de mutualisation ITIL et ISO 27001

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Impartition réussie du soutien d entrepôts de données

Transcription:

SWAT BROCHURE

SÉCURITÉ DES APPLICATIONS WEB La sécurité des applications Web s est avérée être un énorme défi pour les entreprises ces dernières années, très peu de solutions appropriées étant disponibles sur le marché. La première solution consiste à faire l acquisition d un scanner d applications Web de base avec une capacité très limitée ; cette option devrait être évitée indéniablement, particulièrement pour les entreprises ayant une marque prestigieuse associée à une présence en ligne. La seconde solution est d acheter un scanner Web nécessitant des spécialistes de la sécurité expérimentés pour l exécuter d une manière efficace quotidiennement. Cette option peut augmenter considérablement les coûts d exploitation annuels, garder des techniciens qualifiés comme employés à temps plein étant onéreux, et ceci nécessitant également une formation poussée. La troisième solution est d engager une entreprise de sécurité pour effectuer des tests d intrusion élaborés sur les différents sites Web de l entreprise, identifiant toutes les menaces immédiates. Bien que cette option soit extrêmement précise, elle est malheureusement considérée comme un remède à court terme, de nouvelles formes d attaque étant introduites tous les jours et les applications Web changeant fréquemment. LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB SWAT (Secure Web Application Tactics) est une solution conjuguant des outils d analyse d avant-garde et des experts de la sécurité, qui fournit la solution d analyse d applications Web la plus précise et la plus fiable disponible sur le marché. La technologie intelligente utilisée dans SWAT lui permet d identifier et d appréhender les nouvelles menaces, et de modifier son comportement en conséquence sans interférer avec les opérations quotidiennes. SWAT produit des résultats avec zéro faux positifs, ne nécessite pas de formation spécifique, et inclut une assistance technique spécialisée disponible 24/7. SWAT fournit en outre une surveillance permanente, garantit que les sites Web des clients restent protégés même lorsque les applications Web changent ou lorsque de nouveaux modes d attaque sont introduits.

AVANTAGES DE LA SOLUTION Défi : les applications Web changent fréquemment, introduisant de nouvelles fonctions et de nouveaux contenus Solution : contrôle permanent SWAT est une solution intelligente capable d identifier et de réagir face aux nouvelles menaces en modifiant ses modes de comportement en conséquence. SWAT contrôle en permanence les applications Web, détectant les nouvelles modifications telles que les nouvelles pages ou les nouveaux contenus. Lors de l analyse, la solution utilise une intensité et une charge très faibles sur une longue durée, assurant une couverture maximale tout en produisant un impact moindre. Défi : les scanners d applications Web ne sont pas en mesure de tester la logique d une application Solution : une combinaison d outils d analyse d avant-garde et d experts de la sécurité de pointe Les tests de détection des problèmes relatifs à la confidentialité, les restrictions d accès ou les attaques par élévation de privilèges sont très subjectifs et difficiles à réaliser pour un outil traditionnel ; ils dépendent complètement de la perception humaine du comportement prévu des applications. SWAT remédie à ce problème par le biais de ses fonctions d apprentissage avancées, le processus d intégration et des services de vérification précis, associés au support d experts de la sécurité expérimentés, parvenant à une couverture totale également pour ce type de menace. Défi : des détections imprécises entraînant des découvertes erronées et des vulnérabilités manquées Solution : analyse, vérification, tests et élimination des faux positifs SWAT fournit des rapports avec des informations vérifiées auparavant par des experts de la sécurité. Ces rapports éliminent le problème des faux positifs et permettent aux clients d atténuer leurs risques rapidement. Défi : les vulnérabilités techniques sont souvent difficiles à comprendre, et une assistance spécialisée peut être nécessaire pour fournir des précisions Solution : assistance technique spécialisée 24/7 Outpost24 propose une assistance technique spécialisée disponible 24/7. Les clients peuvent poster des questions concernant les vulnérabilités nouvellement identifiées directement dans l interface, et recevoir les réponses des spécialistes de la sécurité qui peuvent être utilisées pour repérer les vulnérabilités. Défi : les scanners de sécurité dégradent souvent les applications Web et interfèrent avec les opérations quotidiennes Solution : analyse sans risques pour la production Les applications Web ont souvent un large éventail de fonctionnalités qui peuvent être affectées lors de l exécution d une analyse, et les interventions techniques peuvent également provoquer des perturbations : par exemple, certaines commandes de base de données peuvent entraîner l exécution d actions indésirables. SWAT respecte les réglementations les plus strictes pour garantir des pratiques d analyse sûres, en évitant de perturber la disponibilité ou l intégrité des informations.

COMPARAISON TECHNIQUE Le projet OWASP TOP 10 (Open Web Application Security Project Top 10) inclut les vulnérabilités trouvées et signalées le plus fréquemment dans les applications Web. Il regroupe les découvertes de vulnérabilité en familles ; alors que les offres de scanner Web traditionnelles ne traitent que des sous-ensembles des différentes familles de menaces, obtenant souvent 75 % de faux négatifs. OWASP top 10 2013 Outils automatisés Tests d intrusion SWAT A1-Injection A2-Broken Authentication and Session Management Poorly supported A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References Poorly supported A5-Security Misconfiguration A6-Sensitive Data Exposure Only default types A7-Missing Functio Level Access Control Poorly supported A8-Cross-Site Request Forgery (CSRF) Low accuracy A9-Using Components with Known Vulnerabilities Low accuracy and coverage A10-Unvalidated Redirects and Forwards

FINDINGS VUE APPLICATION VUE Le tableau Contrôle et suivi ci-dessous présente un examen de la sécurité effectué à l encontre d une application, sa capacité de détection des changements apportés à cette application au fil du temps, et sa capacité de compréhension et de fonctionnement avec une application dynamique. Même si des tests d intrusion rigoureux sont très approfondis et incluent une couverture maximale, ils sont très limités dans leur capacité à maintenir des niveaux de sécurité élevés au fil du temps. Contrôle et couverture Outils automatisés Tests d intrusion SWAT Zero Touch Configuration Maximum links Often 2000-8000 Dictated by time Unlimited Continuous detection If implemented in the process Test new deployed content Detect changed credentials Poorly Rogue website detection Rarely Rarely Time available for a test Often 12-24 hours Often a week Continuous Smart form testing

Le tableau Sécurité de la production fait référence aux risques inhérents lorsqu un scanner ou un test affecte l objet de test. Souvent, les tests d intrusion ne protègent pas la production, sauf si cela est spécifié sur demande spécifique lorsque ceci est considéré comme une priorité essentielle pour le client. La sécurité de la production est essentielle pour les applications critiques où l intégrité des données est très importante, et des cas de test mal exécutés ont une incidence sur l expérience des applications des utilisateurs finals. Sécurité de la production Outils automatisés Tests d intrusion SWAT Production safe testing Medium Low traffic and database intensity Submit forms only when safe Prevents dangerous link use

VULNERABILITY DISCUSSION VUE Le tableau Vérification et orientation fait référence au niveau d expertise nécessaire pour une organisation pour pouvoir utiliser et tirer profit d une solution au fil du temps. La sécurité des applications Web est une compétence spécialisée, dont la maintenance au sein d une organisation est souvent onéreuse. Verificación y orientación Outils automatisés Tests d intrusion SWAT False positives removed Proof of exploitability provided Poorly Vulnerability rating put in context Context-aware CVSS scoring Sometimes Unlimited re-testing and verifications Retests rarely possible Ask experts for advice on remediation On delivery only Smart vulnerability grouping

À PROPOS D OUTPOST24 Fondée en 2001; Outpost24 est une entreprise de gestion des vulnérabilités fournissant les meilleures solutions pour aider les utilisateurs à identifier et atténuer les faiblesses dans leur réseau. Outpost24 fournit des alertes de vulnérabilité en temps réel et des rapports basés sur des solutions qui facilitent la reconnaissance instantanée des menaces imminentes. Avec plus de 40 sites dans le monde, Outpost24 analyse collectivement plus de 400 millions d adresses IP chaque semaine, et détecte plus de 12 000 vulnérabilités quotidiennement. Plus de 2000 entreprises dans le monde entier font confiance à Outpost24 pour protéger leurs réseaux internes et externes ; d organismes gouvernementaux à des établissements financiers ; et d enseignes internationales à des opérateurs de télécommunications. Pour plus

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back