Accueil
Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
Etape 5 : Mesure de la progression et démonstration de la conformité
Apprenez à mesurer la progression et à démontrer la conformité.
Démonstration de la conformité
Apprenez à démontrer la conformité.
Rapport de conformité
Apprenez-en plus sur les rapports de conformité.
Rapport DCID 6/3 - Disponibilité moyenne
Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection moyen décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau moyen" signifie que les informations doivent être disponibles avec une tolérance de retard minimale, ou la perte de disponibilité peut avoir pour conséquences des dommages corporels ou avoir une incidence néfaste sur les intérêts de l'organisation.

Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
- Etape 1 : Création d'un inventaire d'applications
  Apprenez à créer un inventaire d'applications.
- Etape 2 : Test des applications pour identifier les vulnérabilités
  Apprenez à tester les vulnérabilités identifiées dans une application.
- Etape 3 : Détermination des risques et hiérarchisation des vulnérabilités
  Apprenez à déterminer les risques et hiérarchiser les vulnérabilités identifiées dans une application.
- Etape 4 : Résolution des risques
  Apprenez à éliminer les risques identifiés dans une application.
- Etape 5 : Mesure de la progression et démonstration de la conformité
  Apprenez à mesurer la progression et à démontrer la conformité.
  - Mesure de la progression
    Découvrez comment suivre les différentes mesures et tendances qui composent votre portefeuille.
  - Démonstration de la conformité
    Apprenez à démontrer la conformité.
    - Exportation des problèmes dans des rapports
      Vous pouvez générer des rapports de problèmes personnalisés (aux formats PDF, HTML ou XML) et les envoyer aux développeurs, auditeurs internes, testeurs d'effraction, directeurs et responsables de la sécurité. Les modèles de génération de rapport dans AppScan Enterprise mappent les données de sécurité d'application aux principales réglementations officielles et normes de l'industrie. Utilisez les rapports pour documenter la progression vers des objectifs de conformité aux réglementations, comme l'affichage d'une diminution du nombre des vulnérabilités d'application qui sont associées aux problèmes de conformité.
    - Limitation de la taille d'un rapport de sécurité
      Les rapports de sécurité peuvent être très volumineux. Au cours de la génération de rapport, vous pouvez recevoir un message d'avertissement signalant que le fichier contient plusieurs centaines de pages ou que le processus de création de rapport dépasse le délai d'attente. Essayez de suivre les conseils ci-après pour réduire la taille de rapport.
    - Rapport de conformité
      Apprenez-en plus sur les rapports de conformité.
      - APRA PPG 234 - rapport Gestion du risque de sécurité dans les informations et les technologies de l'information
        Ce rapport signale les points de non-conformité de votre site concernant cette réglementation. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Basel II
        Ce rapport de conformité Basel II peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - Rapport California Assembly Bill No. 1950 et Senate Bill 1386
        Ce rapport signale les points de non conformité de votre site concernant ces réglementations. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Children's Online Privacy Protection Act de 1998
        Ce rapport décrit les problèmes relatifs à la loi COPPA (Children's Online Privacy Protection Act) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations. Remarque : de nombreux problèmes de ce rapport sont semblables à ceux du rapport HIPAA. Si les deux rapports sont ajoutés au tableau de bord, le nombre total de problèmes sera accru. Pour éviter cela, vous pouvez créer des onglets pour chaque rapport ou n'ajouter qu'un rapport au tableau de bord.
      - Rapport Data Protection Act (Royaume-Uni)
        Ce rapport indique les problèmes liés à la loi Data Protection Act trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport DCID 6/3 Securing Advanced Technology IS
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de sécurité destinées à protéger les systèmes d'information interconnectés et les systèmes d'information recourant aux technologies avancées. Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Disponibilité de base
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection de base décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau de base" signifie que les informations doivent être disponibles avec une tolérance de retard flexible. La perte de disponibilité aura une incidence néfaste.
      - Rapport DCID 6/3 - Disponibilité moyenne
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection moyen décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau moyen" signifie que les informations doivent être disponibles avec une tolérance de retard minimale, ou la perte de disponibilité peut avoir pour conséquences des dommages corporels ou avoir une incidence néfaste sur les intérêts de l'organisation.
      - Rapport DCID 6/3 - Disponibilité élevée
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection élevé décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau élevé" signifie que les informations doivent être disponibles à la demande, sans tolérance de retard. La perte de disponibilité peut avoir pour conséquence la perte de vies humaines, avoir une incidence néfaste sur les intérêts nationaux ou la confidentialité.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 1
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 1 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 2
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 2 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 3
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 3 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 4
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 4 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 5
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 5 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Intégrité de base
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles d'intégrité pour les systèmes fonctionnant avec le niveau d'intégrité de base décrit au chapitre 5 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau de base" signifie qu'un degré de résistance raisonnable contre les modifications non autorisées est requis. La perte d'intégrité aura une incidence néfaste.
      - Rapport DCID 6/3 - Intégrité moyenne
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles d'intégrité pour les systèmes fonctionnant avec le niveau d'intégrité moyenne décrit au chapitre 5 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau moyen" signifie qu'un degré de résistance élevé mais non absolu contre les modifications non autorisées est requis. Une perte moyenne d'intégrité peut provoquer des dommages corporels ou avoir une incidence néfaste sur les intérêts de l'organisation.
      - Rapport DCID 6/3 - Intégrité élevée
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles d'intégrité pour les systèmes fonctionnant avec le niveau d'intégrité élevé décrit au chapitre 5 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau élevé" signifie qu'un degré de résistance très élevé contre les modifications non autorisées est requis. La perte d'intégrité peut avoir pour conséquence la perte de vies humaines ou avoir une incidence néfaste sur les intérêts nationaux ou la confidentialité.
      - Rapport DISA STIG v3 r9
        Le document Application Security and Development Security Technical Implementation Guide (STIG) propose des conseils de sécurité applicables durant le cycle complet de développement d'application. La Defense Information Systems Agency (DISA) encourage les sites à mettre en oeuvre ces conseils dès le début du processus de développement d'application.
      - Rapport DISA STIG version 3 édition 9 catégorie 1
        Le document Application Security and Development Security Technical Implementation Guide (STIG) propose des conseils de sécurité applicables durant le cycle complet de développement d'application. La Defense Information Systems Agency (DISA) encourage les sites à mettre en oeuvre ces conseils dès le début du processus de développement d'application.
      - Rapport DoD Instruction 8500.1 - Cybersécurité
        Ce rapport présente les problèmes détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Instruction 8550.1 du Ministère de la Défense américain - Rapport sur les services Internet et les capacités reposant sur Internet
        Ce rapport présente les problèmes détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Electronic Funds Transfer Act and Regulation E
        Ce rapport indique les problèmes EFTA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Directive européenne 1995/46/EC
        Ce rapport indique les problèmes liés à la Directive européenne sur la protection des données (EU 1995/46/EC) trouvé sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Directive européenne 2002/58/EC
        Ce rapport indique les problèmes liés à la Directive européenne sur la vie privée et les communications électroniques (EU2002/58/EC) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Family Educational Rights and Privacy Act (FERPA)
        Ce rapport indique les problèmes FERPA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - FFIEC (Federal Financial Institutions Examination Council) - Rapport Information Security IT Examination Handbook
        Ce rapport indique les problèmes FFIEC trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Federal Information Security Management Act (FISMA)
        Ce rapport indique les problèmes FISMA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport FedRAMP (Federal Risk and Authorization Management Program)
        Ce rapport présente les problèmes FedRAMP détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Services financiers (GLBA)
        Ce rapport indique les problèmes GLBA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Freedom of Information and Protection of Privacy Act (FIPPA)
        Ce rapport indique les problèmes FIPPA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Health Insurance Portability Accountability Act (HIPAA) de 1996
        Ce rapport indique les problèmes HIPAA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Personal Information Protection Act du Japon
        Ce rapport signale des points de non conformité de votre site concernant la loi Personal Information Protection du Japon. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Massachusetts 201 CMR 17.00
        Ce rapport de conformité MA 201 peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - Rapport Management of Information Technology Security (MITS)
        Ce rapport de conformité MITS peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - Rapport NERC CIPC Electricity Sector Security Guidelines
        Ce rapport indique les problèmes de violation de la réglementation NERC CIPC de votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport PA-DSS (Payment Application Data Security Standard) v3.0
        Ce rapport de conformité PA-DSS peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - Rapport Payment Card Industry Data Security Standard (PCI) v3.0
        Ce rapport indique les problèmes PCI trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport PIPED Act
        Ce rapport indique les problèmes PIPED trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Privacy Act de 1974
        Ce rapport indique les problèmes liés à la loi Privacy Act de 1974 trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Règlement 2016/679 du Parlement européen et du Conseil - Règlement général sur la protection des données (RGPD)
        Ce rapport décrit les problèmes liés à la Réglementation générale sur la protection des données (GDPR) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Safe Harbor
        Ce rapport indique les problèmes liés à la législation Safe Harbor européenne trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Sarbanes-Oxley Act (SOX) de 2002
        Ce rapport affiche les problèmes liés à la loi Sarbanes-Oxley trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Title 21 Code of Federal Regulations (21 CFR) Part 11
        Ce rapport indique les problèmes 21CFR11 (Code of Federal Regulations, Title 21, Part 11) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
    - Rapports sur les normes de l'industrie
      Apprenez-en plus sur le rapport sur les normes de l'industrie.

Rapport DCID 6/3 - Disponibilité moyenne

Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection moyen décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau moyen" signifie que les informations doivent être disponibles avec une tolérance de retard minimale, ou la perte de disponibilité peut avoir pour conséquences des dommages corporels ou avoir une incidence néfaste sur les intérêts de l'organisation.

Pourquoi est-ce important

Cette directive fédérale américaine définit la stratégie et les procédures de sécurité pour le stockage, le traitement et la communication de renseignements sensibles dans les systèmes d'information. Dans la mesure où les renseignements sensibles sont un atout majeur pour la sécurité nationale des Etats-Unis, il est essentiel que ces informations soient correctement gérées et que leur confidentialité, intégrité, et disponibilité soient assurées.

Cette stratégie s'applique à toutes les organisations gouvernementales des Etats-Unis, leurs sous-traitants commerciaux et aux systèmes d'information des gouvernements alliés qui traitent, stockent ou communiquent des renseignements sensibles.

Processus d'accréditation

Le manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information" publié par le DCI propose 11 étapes d'accréditation d'un système d'information. Ces étapes sont les suivantes :

Déterminer le niveau de risque
Déterminer le niveau de protection
Déterminer les exigences des systèmes interconnectés
Identifier les exigences de sécurité et d'assurance techniques
Déterminer les activités de test et de documentation requises
Rédiger le plan de sécurité du système
Valider la sécurité existante
Tester par rapport aux exigences de sécurité
Préparer le dossier de certification
Transmettre le dossier de certification
Décision d'accréditation par le DAA