Lors de l’audit du programme de s\u00e9curit\u00e9 applicative d’une organisation, la s\u00e9lection et le d\u00e9ploiement des outils Dynamic Application Security Testing (DAST) constituent un point de contr\u00f4le critique. Un processus de s\u00e9lection d’outils mal gouvern\u00e9 \u2014 ou son absence \u2014 signale une faiblesse syst\u00e9mique dans la mani\u00e8re dont l’organisation g\u00e8re l’outillage de s\u00e9curit\u00e9 \u00e0 travers son cycle de livraison logicielle.<\/p>\n\n\n\n
Ce guide fournit aux auditeurs, responsables conformit\u00e9 et r\u00e9gulateurs un cadre de v\u00e9rification structur\u00e9 pour \u00e9valuer si la s\u00e9lection et le d\u00e9ploiement des outils DAST d’une organisation r\u00e9pondent aux exigences de gouvernance, de preuves et op\u00e9rationnelles.<\/p>\n\n\n\n
Avant d’\u00e9valuer les capacit\u00e9s de l’outil, les auditeurs doivent d’abord v\u00e9rifier qu’un processus formel de s\u00e9lection d’outils existe et a \u00e9t\u00e9 suivi.<\/p>\n\n\n\n
Les auditeurs doivent v\u00e9rifier que l’outil DAST s\u00e9lectionn\u00e9 est int\u00e9gr\u00e9 aux pipelines CI\/CD de mani\u00e8re \u00e0 soutenir des contr\u00f4les de s\u00e9curit\u00e9 coh\u00e9rents et applicables.<\/p>\n\n\n\n
Points de v\u00e9rification<\/strong><\/p>\n\n\n\n L’analyse authentifi\u00e9e est essentielle pour une couverture DAST significative. Les auditeurs doivent v\u00e9rifier que l’organisation a trait\u00e9 cette exigence.<\/p>\n\n\n\n Points de v\u00e9rification<\/strong><\/p>\n\n\n\n Les faux positifs non g\u00e9r\u00e9s \u00e9rodent la confiance dans les r\u00e9sultats DAST et peuvent masquer de v\u00e9ritables vuln\u00e9rabilit\u00e9s. Les auditeurs doivent \u00e9valuer la maturit\u00e9 des processus de gestion des r\u00e9sultats.<\/p>\n\n\n\n Points de v\u00e9rification<\/strong><\/p>\n\n\n\n Le DAST doit g\u00e9n\u00e9rer des preuves d\u00e9montrant une application coh\u00e9rente et l’efficacit\u00e9 du contr\u00f4le. C’est un domaine de focus principal pour l’audit.<\/p>\n\n\n\n Points de v\u00e9rification<\/strong><\/p>\n\n\n\n Les auditeurs doivent \u00e9valuer si l’organisation g\u00e8re l’outillage DAST comme une capacit\u00e9 gouvern\u00e9e avec un cycle de vie d\u00e9fini, et non comme une d\u00e9cision d’achat ponctuelle.<\/p>\n\n\n\n Les cinq \u00e9tapes de la gouvernance des outils :<\/strong><\/p>\n\n\n\n Chaque \u00e9tape doit produire des preuves auditables. L’absence de toute \u00e9tape indique une lacune de gouvernance.<\/p>\n\n\n\n Les indicateurs suivants devraient susciter des pr\u00e9occupations lors d’un audit de la gouvernance des outils DAST :<\/p>\n\n\n\n L’audit de la gouvernance des outils DAST va au-del\u00e0 de la v\u00e9rification qu’un outil existe. Les auditeurs doivent \u00e9valuer si l’organisation dispose d’une approche structur\u00e9e pour s\u00e9lectionner, d\u00e9ployer, op\u00e9rer et examiner son outillage DAST \u2014 et si cette approche produit les preuves n\u00e9cessaires pour d\u00e9montrer l’efficacit\u00e9 du contr\u00f4le.<\/p>\n\n\n\n Les organisations qui traitent la s\u00e9lection d’outils DAST comme une d\u00e9cision d’achat ponctuelle, plut\u00f4t qu’une responsabilit\u00e9 de gouvernance continue, sont susceptibles d’avoir des lacunes en mati\u00e8re de couverture, de preuves et d’application qui les exposent \u00e0 des risques r\u00e9glementaires et de s\u00e9curit\u00e9.<\/p>\n\n\n\n Commencez par le processus de s\u00e9lection des outils. V\u00e9rifiez qu’une \u00e9valuation document\u00e9e a eu lieu, que les crit\u00e8res de gouvernance ont \u00e9t\u00e9 inclus et que la d\u00e9cision de s\u00e9lection a \u00e9t\u00e9 approuv\u00e9e par les parties prenantes appropri\u00e9es.<\/p>\n\n<\/div>\n<\/div>\n Au minimum annuellement, ou lors de changements significatifs dans le portefeuille applicatif, l’architecture CI\/CD ou les exigences r\u00e9glementaires. La revue doit \u00e9valuer la couverture, la pr\u00e9cision et la qualit\u00e9 des preuves.<\/p>\n\n<\/div>\n<\/div>\n L’absence de revue p\u00e9riodique de l’efficacit\u00e9. De nombreuses organisations s\u00e9lectionnent un outil une fois et ne r\u00e9\u00e9valuent jamais s’il continue de r\u00e9pondre \u00e0 leurs exigences de s\u00e9curit\u00e9, de conformit\u00e9 et op\u00e9rationnelles.<\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n
\n\n\n\nGouvernance de l’authentification et de la couverture<\/strong><\/h2>\n\n\n\n
\n
\n\n\n\nGestion des faux positifs et gouvernance des r\u00e9sultats<\/strong><\/h2>\n\n\n\n
\n
\n\n\n\nG\u00e9n\u00e9ration de preuves et pr\u00e9paration \u00e0 l’audit<\/strong><\/h2>\n\n\n\n
\n
\n\n\n\nCycle de vie de la gouvernance des outils<\/strong><\/h2>\n\n\n\n
\n
\n\n\n\nSignaux d’alerte pour les auditeurs<\/strong><\/h2>\n\n\n\n
\n
\n\n\n\nConclusion<\/strong><\/h2>\n\n\n\n
\n\n\n\nQuestions fr\u00e9quentes \u2014 Gouvernance des outils DAST<\/h2>\n\n\n
Que doivent rechercher en premier les auditeurs lors de l’\u00e9valuation de la gouvernance des outils DAST ?<\/h3>\n
\u00c0 quelle fr\u00e9quence l’efficacit\u00e9 des outils DAST doit-elle \u00eatre r\u00e9vis\u00e9e ?<\/h3>\n
Quelle est la lacune de gouvernance la plus courante dans la gestion des outils DAST ?<\/h3>\n
\n\n\n