Quelle méthode permet de tester la sécurité d’une application en simulant des interactions utilisateur tout en fournissant une analyse en temps réel du comportement de l’application ?
[A] Static Application Security Testing (SAST)
[B] Dynamic Application Security Testing (DAST)
[C] Interactive Application Security Testing (IAST)
[D] Runtime application self-protection (RASP)
Proposition [A] : Le SAST analyse le code source ou binaire de l’application sans l’exécuter, il ne fournit donc pas d’analyse en temps réel du comportement de l’application.
Proposition [B] : Le DAST teste l’application en cours d’exécution et peut identifier des vulnérabilités dans un environnement simulé mais il n’interagit pas directement avec le code à l’intérieur de l’application.
Proposition [C] : Le IAST combine les tests statiques et dynamiques en temps réel tout en surveillant l’application pendant son exécution. Il permet une vision plus détaillée des vulnérabilités car il fonctionne au niveau de l’application et peut voir comment l’application se comporte en temps réel.
Proposition [D] : La technologie RASP permet de détecter et de stopper les attaques sur une application en temps réel. Basée sur un agent qui s’exécute sur les serveurs d’applications (comme avec le IAST), le RASP n’est pas une technologie destinée à tester la sécurité des applications mais à assurer leur protection.
La bonne réponse est la proposition [C]
Pour en savoir plus sur la sécurité applicative nous vous recommandons de suivre les modules n°16, 20 et 21 de notre formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE