start portlet menu bar end portlet menu bar
HCL AppScan
  1. Home
  2. Cybersecurity
  3. HCL AppScan
  4. AppScan Standard
AppScan-HCL AppScan Standard: Dynamic Application Security Testing

Une plateforme fiable pour l'analyse dynamique de la sécurité des applications

Trusted Platform for Dynamic Application Security Analysis

Une plateforme fiable pour l'analyse dynamique de la sécurité des applications

Réduisez le risque d’attaques sur les applications et services Web grâce à des configurations de sécurité avancées et des conseils de correction.

HCL AppScan Standard est une solution de tests dynamiques de sécurité des applications (DAST) conçue pour les experts en sécurité et les testeurs d'intrusion afin de réaliser des évaluations approfondies des applications web et des API. Grâce à un puissant moteur d'analyse, elle automatise la découverte et le test des vulnérabilités, fournissant des informations détaillées, notamment des descriptions de tests, des informations sur les vulnérabilités et des conseils de correction. Cela permet aux utilisateurs de trier, de prioriser et de résoudre efficacement les problèmes de sécurité, ce qui en fait un outil puissant pour renforcer la sécurité des applications.

Avantages

AppScan-DAST Benefits

Avantages

 

  • Réduisez le risque global de violations de données coûteuses
  • Réduisez le temps nécessaire pour détecter et résoudre les vulnérabilités dans les applications
  • Corrigez les vulnérabilités de sécurité avant qu'elles ne soient découvertes et exploitées par les pirates
  • Améliorez la gestion des programmes de sécurité
  • Accédez à des résultats détaillés et à des recommandations de correctifs exploitables
  • Procédez à des analyses approfondies de la sécurité tout au long du développement logiciel
  • Assurez votre conformité réglementaire
  • Générez des rapports d'évaluation des vulnérabilités de qualité

 

Ressources présentées

Find More Vulnerabilities Than Ever Before with the new HCL AppScan Version 10.3.0
Find More Vulnerabilities Than Ever Before with the new HCL AppScan Version 10.3.0
Détectez plus de vulnérabilités que jamais avec la nouvelle version 10.3.0 de HCL AppScan
Consulter le blog
Wider Application Security Coverage with HCL AppScan DAST
Wider Application Security Coverage with HCL AppScan DAST
Bénéficiez d'une couverture plus étendue de la sécurité des applications avec HCL AppScan DAST et la détection des composants tiers vulnérables
Consulter le blog
Application Issue Triage Has Never Been Easier in HCL AppScan Standard
Application Issue Triage Has Never Been Easier in HCL AppScan Standard
Trier les problèmes d'application n'a jamais été aussi facile dans HCL AppScan Standard
Consulter le blog
HCL AppScan Standard Reinvents the Configuration UI in Version 10.2.0
HCL AppScan Standard Reinvents the Configuration UI in Version 10.2.0
HCL AppScan Standard réinvente l'interface utilisateur de configuration dans la version 10.2.0
Consulter le blog
Télécharger la brochure>

Fonctions

Testez les applications Web, les API Web et les systèmes back-end mobiles

HCL AppScan Standard utilise les techniques et algorithmes les plus récents avec son outil de test dynamique de sécurité des applications pour garantir la couverture et les tests d'exploration les plus précis.

La technologie unique basée sur les actions et les dizaines de milliers de tests intégrés de HCL AppScan gèrent les risques concrets auxquels sont exposées les applications, des applications Web les plus simples aux API REST basées sur JSON, en passant par les applications d'une seule page.

En outre, le moteur DAST de HCL AppScan Standard détecte les vulnérabilités d'attaque par script intersite, offrant ainsi une visibilité en temps voulu sur les comportements et faiblesses potentielles des applications.

Optimisez les tests et effectuez un balayage incrémentiel

HCL AppScan Standard permet aux utilisateurs de trouver un équilibre entre vitesse et précision des tests afin de répondre aux besoins uniques de leur cycle de développement.

Les capacités de balayage incrémentiel offrent un gain de temps en permettant de ne tester que les nouvelles parties de l'application.

Traitez les applications les plus complexes

HCL AppScan peut adapter ses tests à tous les besoins. Grâce à sa configuration avancée, les équipes de sécurité et les testeurs d'intrusion sont en mesure de balayer les scénarios les plus complexes.

HCL AppScan enregistre et teste des séquences complexes en plusieurs étapes, générant de façon dynamique des données uniques et assurant le suivi de toutes sortes d'en-têtes et de jetons. Les fonctionnalités d'apprentissage automatique permettent d'optimiser l'analyse des applications volumineuses en prédisant les liaisons qui mèneront à de nouvelles zones au sein des applications.

Améliorez la visibilité

Des rapports exhaustifs offrent des informations pertinentes sur les problèmes identifiés afin de simplifier le triage et la résolution des problèmes. HCL AppScan fournit des listes complètes de rapports de conformité et de rapports sectoriels standard (PCI, HIPAA, OWASP Top 10, SANS 25, etc.) afin de vous aider à satisfaire à toutes les exigences réglementaires.

Options de licence flexibles

HCL AppScan Standard disponible avec DAST dans les plans d'achat suivants

Par utilisateur autorisé

Idéal pour les entreprises qui souhaitent associer des activités de test de sécurité des applications à des membres d'équipe spécifiques.

Contactez-nous pour commencer

Par utilisateur flottant

Idéal pour les entreprises qui veulent bénéficier de la flexibilité nécessaire pour partager les fonctionnalités de test de sécurité des applications entre les différents membres d'une équipe.

Contactez-nous pour commencer

Foire aux questions

Quelle est la différence entre DAST et SAST ?

Le DAST (Dynamic Application Security Testing) teste une application en cours d'exécution depuis l'extérieur, en simulant des attaques réelles (comme le ferait un pirate) afin de détecter les vulnérabilités d'exécution telles que les injections SQL, les XSS, les erreurs de configuration du serveur, les failles d'authentification/autorisation, etc., sans avoir besoin du code source. Contrairement au SAST, le DAST est indépendant du langage et du framework. Tant que l'application est en cours d'exécution et accessible via HTTP(S), le DAST peut l'analyser. Traduit avec DeepL.com (version gratuite)
Le SAST (Static Application Security Testing) analyse le code source ou les binaires de l'application dès le début du développement afin de détecter les problèmes de logique et de structure avant que l'application ne soit exécutée. En résumé : SAST = précoce, au niveau du code, spécifique au langage et DAST = tardif, au niveau de l'exécution, indépendant du langage, de l'extérieur vers l'intérieur.
L'utilisation des deux offre une couverture de sécurité complète tout au long du cycle de vie du développement.

Quel est l'objectif des tests dynamiques de sécurité des applications (DAST) ?

Le test dynamique de sécurité des applications (DAST) est conçu pour identifier et corriger les failles de sécurité dans les applications Web en cours d'exécution, sans nécessiter l'accès au code source. L'objectif principal du DAST est de simuler des attaques réelles du point de vue d'un utilisateur externe, afin de mettre au jour des risques tels que l'injection SQL, le cross-site scripting (XSS), les problèmes d'authentification et d'autres menaces figurant dans le Top 10 de l'OWASP.
En analysant l'application en cours d'exécution, le DAST aide les organisations à détecter les failles de sécurité en temps réel pendant les phases d'assurance qualité ou de préproduction, à garantir la sécurité des applications dans le cadre d'interactions dynamiques avec les utilisateurs, à compléter les approches SAST et IAST pour une couverture de sécurité complète et à se conformer aux normes de sécurité et aux exigences réglementaires.
Lorsqu'il est intégré aux pipelines CI/CD, le DAST permet aux équipes DevSecOps de tester, surveiller et réduire en permanence les risques de sécurité, sans ralentir la livraison.

Quels types de vulnérabilités le DAST peut-il détecter ?

Les tests dynamiques de sécurité des applications (DAST) permettent d'identifier un large éventail de vulnérabilités de sécurité d'exécution dans les applications web, les API et les microservices, sans avoir besoin d'accéder au code source.

Les outils DAST tels que HCL AppScan Standard simulent des modèles d'attaque réels afin de détecter les failles que des utilisateurs malveillants pourraient exploiter. Parmi les vulnérabilités couramment détectées, on peut citer : l'injection SQL (SQLi) – accès non autorisé à la base de données, le cross-site scripting (XSS) – exécution de scripts malveillants dans les navigateurs des utilisateurs, l'injection de commandes – exécution de commandes au niveau du système, les failles d'authentification et de gestion des sessions – connexion non sécurisée, réutilisation de jetons, fixation de session, Cross-Site Request Forgery (CSRF) – actions non autorisées déclenchées à partir du navigateur d'un utilisateur, redirections et transferts non validés – attaquants redirigeant les utilisateurs vers des sites malveillants, vulnérabilités API – points de terminaison mal sécurisés, exposition excessive des données, composants tiers obsolètes, vulnérabilités de la logique métier, etc.

À quel moment du cycle de vie du développement logiciel (SDLC) faut-il effectuer le test DAST ?

Traditionnellement, les tests dynamiques de sécurité des applications (DAST) étaient effectués pendant les phases d'intégration, de test ou de préproduction du cycle de vie du développement logiciel (SDLC), une fois qu'une version fonctionnelle de l'application était disponible. Cependant, grâce aux pratiques DevSecOps modernes et à des outils tels que AUDIT (AppScan Unit-level DAST Intelligence Tester), nous sommes désormais en mesure d'avancer les tests DAST, ce qui permet d'effectuer des tests dynamiques dès la phase d'implémentation du code.
En exécutant régulièrement et dès le début des tests DAST, les équipes de sécurité peuvent identifier les vulnérabilités avant qu'elles n'atteignent la phase de production, réduisant ainsi les risques et les coûts de correction. À l'aide d'outils tels que HCL AppScan Standard, les entreprises peuvent intégrer des tests dynamiques dans leurs workflows de développement sans nuire à la rapidité ni à l'agilité.