Stratégies

Vous pouvez appliquer les stratégies prédéfinies, ainsi que vos propres stratégies personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.

ASoC inclut une sélection de stratégies prédéfinies. Vous pouvez également créer vos propres stratégies personnalisées à l'aide de nos fonctions prédéfinies. La création et la gestion de règles sont disponibles via l'interface utilisateur et l'API REST. Vous pouvez associer jusqu'à cinq stratégies à n'importe quelle application. En outre, vous pouvez appliquer une stratégie de référence, qui ne prendra en compte que les problèmes trouvés après une date et une heure spécifiées.
Remarque : Lorsque vous associez une stratégie à une application, elle est activée par défaut. Vous pouvez désactiver la règle tout en conservant l'association, pour la réactiver ultérieurement.
Remarque : lorsque vous supprimez une règle, toutes les associations sont supprimées.
Remarque : Si aucune stratégie n'est activée, une application est considérée comme conforme que si elle ne présente aucun problème actif de gravité critique, élevée, moyenne ou faible. Vous pouvez associer et activer des stratégies pour remplacer cette conformité par défaut.

Stratégies prédéfinies

Toutes les stratégies prédéfinies sont disponibles via l'interface utilisateur, ainsi que via l'API. Les stratégies disponibles sont les suivantes :
Norme du secteur Conformité aux réglementations
25 faiblesses logicielles les plus dangereuses répertoriées par CWE - 2021 CANADA Freedom of Information and Protection of Privacy Act (FIPPA)
Norme internationale - ISO 27001 Règlement général sur la protection des données (RGPD) de l'UE
Norme internationale - ISO 27002 Norme de sécurité des données d'application de paiement
NIST Special Publication 800-53 Conformité PCI
Rapport OWASP Top 10 API Security 2019 South Africa Protection of Personal Information Act (PoPIA)
OWASP Top 10 2017 US California Consumer Privacy Act (CCPA) - AB-375
OWASP TOP 10 - 2021 US DISA's Application Security and Development STIG. V5R2
OWASP Mobile Top 10 2016 US Electronics Funds and Transfer Act (EFTA)
Classification des menaces par le consortium WASC 2.0 US Federal Information Security Modernization Act (FISMA)
US Federal Risk and Authorization Management Program (FedRAMP)
US Health Insurance Portability and Accountability Act (HIPAA)
US Sarbanes-Oxley Act (SOX)

Stratégie de référence

La stratégie de référence calcule la conformité en fonction des problèmes trouvés dans l'application pour la première fois après une date définie. Contrairement aux stratégies prédéfinies, une stratégie de référence est spécifique à une seule application.

La stratégie de référence n'est pas comptabilisée comme l'une des cinq stratégies qui peuvent être associées à une application. Vous pouvez avoir cinq stratégies associées, ainsi qu'une stratégie de référence.

Définir une stratégie de référence pour une application :
  1. Sur la page Applications, cliquez sur un nom d'application pour ouvrir la page de l'application.
  2. Dans la zone Stratégies, cliquez sur Gérer les stratégies.
  3. Cliquez sur Ajouter une stratégie de référence (ou, s'il en existe déjà une, Mettre à jour la stratégie de référence).
  4. Ajustez la date et l'heure si nécessaire, puis cliquez sur Définir la référence.
Remarque : Si vous promouvez un examen personnel dans une application avec une stratégie de référence datant d'après l'examen personnel, les problèmes trouvés dans l'examen ne changeront pas le statut de l'application. En effet, les problèmes sont comptabilisés à partir du moment où ils ont été découverts, et non pas à partir du moment où l'examen a été promu.

Règles personnalisées

Vous pouvez créer vos propres stratégies personnalisées. Pour plus d'informations, voir Création de règles personnalisées.