Afin de détecter d’éventuelles vulnérabilités dans les systèmes ou applications, il est courant d’utiliser des outils spécialisés appelés scanners de vulnérabilités. Dans quelle catégorie peut-on classer les scanners de vulnérabilités tels que Nessus, Burp suite ou encore OpenVAS ?
[A] SAST
[B] DAST
[C] IAST
[D] RASP
La technologie SAST (Static Application Security Testing) permet d’identifier des problèmes ou anomalies pouvant amener à des failles de sécurité par l’analyse des fichiers sources des applications. Les produits de type SAST sont souvent intégrés à l’environnement de développement (IDE). Exemples de produits : SonarQube (SonarQube), CheckMarx (Checkmarx), Fortify SCA (Microfocus), Veracode (Veracode), Coverity (Synposys), GitLab (Open source)…
La technologie DAST (Dynamic Application Security testing) consiste à tester dynamiquement les applications en cours d’exécution afin d’identifier des vulnérabilités exploitables dans un environnement en production. Exemples de produits DAST : Nessus (Tenable), Fortify WebInspect (Microfocus), Web Application Scanning (Qualys), Burp Suite (PortSwigger), OpenVAS (Open source), …
La bonne réponse est donc la proposition [B] DAST
La technologie IAST (Interactive Application Security Testing) permet de faire des tests interactifs de sécurité sur les applications. Elle nécessite le déploiement d’un agent sur le serveur de l’application. Les scanners Nessus, Burp Suite et OpenVAS ne nécessitent pas l’installation d’un agent sur les cibles à scanner. Ils n’entrent donc pas dans la catégorie IAST.
La technologie RASP (Runtime application self-protection) permet de détecter et de stopper les attaques sur une application en temps réel. Tout comme avec le IAST, le RASP est basé sur un agent qui s’exécute sur les serveurs d’applications. C’est une technologie de protection active des applications qui n’entre pas du tout dans la catégorie des scanners.
Pour en savoir plus sur l’évaluation et les tests de sécurité nous vous recommandons de suivre le module n°16 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
