Le Dynamic Application Security Testing (DAST) est largement adopt\u00e9 dans les pipelines CI\/CD d’entreprise, mais c’est aussi l’un des contr\u00f4les les plus mal compris lors des audits. De nombreuses \u00e9quipes supposent que les auditeurs \u00e9valueront le DAST sur la base de la couverture des analyses ou du nombre de vuln\u00e9rabilit\u00e9s. En r\u00e9alit\u00e9, les auditeurs \u00e9valuent le DAST tr\u00e8s diff\u00e9remment.<\/p>\n\n\n\n
Cet article explique ce que les auditeurs recherchent r\u00e9ellement<\/strong>, ce qu’ils ignorent largement<\/strong> et ce qui d\u00e9clenche g\u00e9n\u00e9ralement des constats d’audit<\/strong> lors de l’examen des contr\u00f4les DAST dans les environnements r\u00e9glement\u00e9s.<\/p>\n\n\n\n Les auditeurs n’\u00e9valuent pas le DAST comme un exercice de test d’intrusion ou comme un outil de d\u00e9couverte de vuln\u00e9rabilit\u00e9s. Au contraire, ils \u00e9valuent le DAST comme un m\u00e9canisme de gouvernance et de contr\u00f4le des risques<\/strong> int\u00e9gr\u00e9 dans le cycle de livraison logicielle.<\/p>\n\n\n\n Du point de vue de l’audit, le DAST r\u00e9pond \u00e0 trois questions fondamentales :<\/p>\n\n\n\n La profondeur technique du scanner importe bien moins que la mani\u00e8re dont le contr\u00f4le est con\u00e7u, appliqu\u00e9 et document\u00e9.<\/p>\n\n\n\n Les auditeurs v\u00e9rifient que les analyses DAST ne sont ni optionnelles ni ponctuelles. Ils s’attendent \u00e0 voir :<\/p>\n\n\n\n Les preuves g\u00e9n\u00e9ralement examin\u00e9es incluent :<\/p>\n\n\n\n Une ex\u00e9cution incoh\u00e9rente est souvent interpr\u00e9t\u00e9e comme un contr\u00f4le inefficace.<\/p>\n\n\n\n Les auditeurs se concentrent fortement sur ce qui se passe lorsque le DAST d\u00e9tecte des probl\u00e8mes<\/strong>.<\/p>\n\n\n\n Ils s’attendent \u00e0 voir :<\/p>\n\n\n\n Laisser passer des builds malgr\u00e9 des r\u00e9sultats est acceptable uniquement si<\/strong> une justification document\u00e9e, une approbation et une tra\u00e7abilit\u00e9 existent.<\/p>\n\n\n\n Une question courante des auditeurs est :<\/p>\n\n\n\n \u00ab Montrez-moi pourquoi cette version a \u00e9t\u00e9 autoris\u00e9e malgr\u00e9 les r\u00e9sultats DAST. \u00bb<\/p>\n<\/blockquote>\n\n\n\n Les auditeurs ne s’attendent pas \u00e0 z\u00e9ro faux positif. Ce qu’ils \u00e9valuent, c’est comment les faux positifs sont g\u00e9r\u00e9s<\/strong>.<\/p>\n\n\n\n Ils recherchent :<\/p>\n\n\n\n Les suppressions permanentes et non document\u00e9es sont un signal d’alerte fr\u00e9quent lors des audits.<\/p>\n\n\n\n Le DAST n’est auditable que si des preuves existent.<\/p>\n\n\n\n Les auditeurs s’attendent \u00e0 :<\/p>\n\n\n\n Les preuves doivent \u00eatre :<\/p>\n\n\n\n Les auditeurs font souvent correspondre le DAST \u00e0 des cadres de contr\u00f4le plus larges (ISO 27001, SOC 2, DORA, NIS2).<\/p>\n\n\n\n Ils v\u00e9rifient si :<\/p>\n\n\n\n Le DAST sans propri\u00e9t\u00e9 document\u00e9e est consid\u00e9r\u00e9 comme un contr\u00f4le faible.<\/p>\n\n\n\n Les auditeurs ne se soucient g\u00e9n\u00e9ralement pas du fournisseur DAST que vous utilisez.<\/p>\n\n\n\n Ils n’\u00e9valuent pas :<\/p>\n\n\n\n Un outil basique avec une gouvernance solide est souvent per\u00e7u plus favorablement qu’un outil avanc\u00e9 utilis\u00e9 de mani\u00e8re incoh\u00e9rente.<\/p>\n\n\n\n Des nombres \u00e9lev\u00e9s de r\u00e9sultats n’impressionnent pas les auditeurs. Des nombres faibles ne les rassurent pas non plus.<\/p>\n\n\n\n Ce qui compte, c’est :<\/p>\n\n\n\n Les auditeurs analysent rarement les vuln\u00e9rabilit\u00e9s individuelles, sauf dans le cadre de l’investigation d’un incident sp\u00e9cifique.<\/p>\n\n\n\n Des d\u00e9clarations comme \u00ab nous analysons tout \u00bb ne sont pas convaincantes sans preuve.<\/p>\n\n\n\n Les auditeurs pr\u00e9f\u00e8rent :<\/p>\n\n\n\n Une analyse trop large et mal contr\u00f4l\u00e9e est souvent per\u00e7ue comme immature plut\u00f4t qu’avanc\u00e9e.<\/p>\n\n\n\n Si les analyses s’ex\u00e9cutent mais ne bloquent jamais les versions et n’ont pas de processus formel d’exception, les auditeurs concluent souvent que le DAST est uniquement informatif.<\/p>\n\n\n\n Cela conduit fr\u00e9quemment \u00e0 des constats tels que :<\/p>\n\n\n\n Les signaux d’alerte typiques incluent :<\/p>\n\n\n\n Les auditeurs peuvent interpr\u00e9ter cela comme une acceptation non contr\u00f4l\u00e9e du risque.<\/p>\n\n\n\n Pouvoir montrer uniquement la derni\u00e8re analyse est insuffisant.<\/p>\n\n\n\n Les auditeurs s’attendent \u00e0 :<\/p>\n\n\n\n Les preuves manquantes entra\u00eenent souvent des constats m\u00eame si les analyses ont \u00e9t\u00e9 techniquement ex\u00e9cut\u00e9es.<\/p>\n\n\n\n Les analyses DAST d\u00e9clench\u00e9es manuellement ou \u00ab quand le temps le permet \u00bb sont rarement accept\u00e9es dans les environnements r\u00e9glement\u00e9s.<\/p>\n\n\n\n L’automatisation et la coh\u00e9rence sont des crit\u00e8res d’audit essentiels.<\/p>\n\n\n\n Les organisations qui r\u00e9ussissent syst\u00e9matiquement les audits traitent le DAST comme :<\/p>\n\n\n\n Elles con\u00e7oivent le DAST avec les r\u00e9sultats d’audit \u00e0 l’esprit d\u00e8s le d\u00e9part, plut\u00f4t que d’essayer de r\u00e9trofiter la gouvernance par la suite.<\/p>\n\n\n\n Les auditeurs ne demandent pas :<\/p>\n\n\n\n \u00ab Quelle est la qualit\u00e9 de votre outil DAST ? \u00bb<\/p>\n<\/blockquote>\n\n\n\n Ils demandent :<\/p>\n\n\n\n \u00ab Pouvez-vous prouver que les tests de s\u00e9curit\u00e9 applicative sont appliqu\u00e9s, gouvern\u00e9s et auditables ? \u00bb<\/p>\n<\/blockquote>\n\n\n\n Les \u00e9quipes qui comprennent cette distinction \u00e9vitent la plupart des constats d’audit li\u00e9s au DAST.<\/p>\n\n\n\n
\n\n\n\nLa perspective de l’auditeur sur le DAST<\/strong><\/h2>\n\n\n\n
\n
\n\n\n\nCe que les auditeurs examinent r\u00e9ellement<\/strong><\/h2>\n\n\n\n
1. Ex\u00e9cution coh\u00e9rente dans les pipelines CI\/CD<\/strong><\/h3>\n\n\n\n
\n
\n
2. Logique de porte et de d\u00e9cision<\/strong><\/h3>\n\n\n\n
\n
\n
3. Gouvernance des faux positifs<\/strong><\/h3>\n\n\n\n
\n
4. R\u00e9tention des preuves et tra\u00e7abilit\u00e9<\/strong><\/h3>\n\n\n\n
\n
\n
5. Alignement avec la gestion des risques<\/strong><\/h3>\n\n\n\n
\n
\n\n\n\nCe que les auditeurs ignorent g\u00e9n\u00e9ralement<\/strong><\/h2>\n\n\n\n
1. Marque de l’outil et arguments marketing<\/strong><\/h3>\n\n\n\n
\n
2. Nombre brut de vuln\u00e9rabilit\u00e9s<\/strong><\/h3>\n\n\n\n
\n
3. Revendications de couverture maximale des analyses<\/strong><\/h3>\n\n\n\n
\n
\n\n\n\nCe qui d\u00e9clenche couramment des constats d’audit<\/strong><\/h2>\n\n\n\n
1. Le DAST s’ex\u00e9cute mais n’applique rien<\/strong><\/h3>\n\n\n\n
\n
2. Suppressions sans gouvernance<\/strong><\/h3>\n\n\n\n
\n
3. Preuves historiques manquantes<\/strong><\/h3>\n\n\n\n
\n
4. Ex\u00e9cution manuelle ou incoh\u00e9rente<\/strong><\/h3>\n\n\n\n
\n\n\n\nComment les organisations matures r\u00e9ussissent les audits DAST<\/strong><\/h2>\n\n\n\n
\n
\n\n\n\nPoint cl\u00e9 \u00e0 retenir<\/strong><\/h2>\n\n\n\n
\n
\n
\n\n\n\nArticles DAST connexes<\/h2>\n\n\n\n
\n
\n\n\n