Dans les environnements réglementés et d’entreprise, le Dynamic Application Security Testing (DAST) est évalué non seulement sur ses capacités techniques, mais sur la cohérence et la fiabilité de son application. Les auditeurs s’intéressent principalement à savoir si le DAST fonctionne comme un processus de sécurité contrôlé, produisant des preuves traçables et répétables.
Cette liste de vérification d’audit se concentre sur les domaines de contrôle clés que les auditeurs évaluent généralement lors de l’examen des implémentations DAST dans les pipelines CI/CD d’entreprise.
Cohérence d’exécution
Les auditeurs s’attendent à ce que les analyses DAST soient exécutées de manière cohérente selon des politiques définies. Une exécution incohérente ou ponctuelle affaiblit la crédibilité du contrôle.
Liste de vérification d’audit
- Les analyses DAST sont exécutées automatiquement selon des étapes de pipeline définies
- Les conditions d’exécution (environnements, périmètre, calendrier) sont documentées
- Les analyses ne sont pas contournées sans approbation formelle
- Les analyses échouées ou ignorées sont journalisées et traçables
- La fréquence d’exécution est alignée avec les politiques de sécurité documentées
Contrôles d’approbation et de porte
Les résultats DAST influencent souvent les décisions de mise en production dans les environnements réglementés. Les auditeurs évaluent si les approbations et les portes sont appliquées plutôt que consultatives.
Liste de vérification d’audit
- Les résultats DAST sont intégrés dans les workflows d’approbation de mise en production
- Des seuils de sévérité définis bloquent les mises en production lorsqu’ils sont dépassés
- L’acceptation du risque nécessite une approbation documentée
- Les décisions d’approbation sont traçables vers des rôles nommés
- Les portes ne peuvent pas être outrepassées sans journalisation d’audit
Couverture des analyses
Les auditeurs évaluent si la couverture DAST est adéquate et alignée avec le risque applicatif plutôt qu’une analyse exhaustive.
Liste de vérification d’audit
- Toutes les applications dans le périmètre sont couvertes par les politiques DAST
- Les chemins authentifiés et non authentifiés sont définis
- Les interfaces API et web sont incluses le cas échéant
- Le périmètre de couverture est révisé périodiquement
- Les exclusions de couverture sont documentées et justifiées
Rétention des preuves
La rétention des preuves est essentielle pour démontrer la conformité dans le temps. Les auditeurs s’attendent à ce que les preuves DAST soient préservées au-delà des mises en production individuelles.
Liste de vérification d’audit
- Les journaux d’exécution DAST sont conservés de manière centralisée
- Les résultats d’analyse historiques sont préservés selon la politique de rétention
- Les preuves sont protégées contre les modifications non autorisées
- Les rapports peuvent être récupérés pour les mises en production passées
- Les politiques de rétention sont alignées avec les exigences réglementaires
Gestion des exceptions et acceptation du risque
Les auditeurs examinent attentivement comment les exceptions et les suppressions sont gérées. Les exceptions non contrôlées sont un constat d’audit courant.
Liste de vérification d’audit
- Les suppressions nécessitent une justification documentée
- Les décisions d’acceptation du risque sont limitées dans le temps
- Les exceptions sont approuvées par des rôles autorisés
- L’utilisation des exceptions est périodiquement révisée
- Les enregistrements historiques des exceptions sont conservés
Utilisation de cette liste de vérification d’audit
Cette liste de vérification doit être utilisée comme :
- Un outil d’auto-évaluation avant les audits externes
- Une base pour les revues de contrôle internes
- Un guide de validation lors de la sélection d’outils DAST
Chaque contrôle doit être étayé par des preuves plutôt que par des explications verbales.
Conclusion
Du point de vue de l’audit, un outillage DAST efficace se définit par une exécution cohérente, des approbations applicables, une couverture adéquate et une rétention fiable des preuves. Les outils qui échouent dans ces domaines introduisent un risque de conformité, indépendamment de leurs capacités techniques de détection.
En appliquant cette liste de vérification d’audit, les entreprises peuvent évaluer si leur outillage DAST répond aux attentes des environnements réglementés et des auditeurs externes.
Articles connexes
- Meilleurs outils DAST pour les pipelines CI/CD d’entreprise
- Sélection d’un outil DAST adapté aux pipelines CI/CD d’entreprise
- Liste de vérification pour la sélection d’outils DAST en entreprise
- Sélection d’outils DAST — Matrice d’évaluation RFP (notation pondérée)
- Comment les auditeurs évaluent réellement les contrôles DAST en environnements réglementés
Questions fréquentes — Liste de vérification d’audit DAST
Que recherchent principalement les auditeurs lors de l’examen des contrôles DAST ?
Les auditeurs se concentrent sur l’exécution cohérente, le contrôle d’accès applicable aux mises en production, les approbations documentées et la disponibilité de preuves fiables, plutôt que sur les vulnérabilités individuelles détectées par le DAST.
Un outil DAST peut-il réussir les audits sans bloquer les mises en production ?
Oui, à condition que l’exécution du DAST soit obligatoire, que les exceptions soient formellement approuvées et que les décisions d’acceptation du risque soient documentées et traçables.
Combien de temps les preuves DAST doivent-elles être conservées pour les audits ?
Les preuves DAST doivent être conservées conformément aux politiques de rétention réglementaires et internes, généralement assez longtemps pour soutenir les audits historiques et les investigations d’incidents.
