Accueil
Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
Etape 5 : Mesure de la progression et démonstration de la conformité
Apprenez à mesurer la progression et à démontrer la conformité.
Démonstration de la conformité
Apprenez à démontrer la conformité.
Rapports sur les normes de l'industrie
Apprenez-en plus sur le rapport sur les normes de l'industrie.
Rapport OWASP API Security Top 10 2019
Les API, ou interfaces de programme d'application, sont des outils essentiels pour les entreprises de tous les secteurs. Etant donné l'augmentation de l'utilisation des API dans de nombreux domaines et que les API sont un élément essentiel des applications mobiles, SaaS et Web modernes, il est inévitable de libérer l'importance de la sécurité de l'API et de ses vulnérabilités uniques par rapport aux applications Web. Le rapport OWASP API Security Top 10 aide les développeurs, les testeurs et les utilisateurs (ainsi que les chefs de projet, les chercheurs en sécurité et les éducateurs) à se faire une idée des faiblesses de sécurité les plus graves et les plus actuelles liées aux API.

Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
- Etape 1 : Création d'un inventaire d'applications
  Apprenez à créer un inventaire d'applications.
- Etape 2 : Test des applications pour identifier les vulnérabilités
  Apprenez à tester les vulnérabilités identifiées dans une application.
- Etape 3 : Détermination des risques et hiérarchisation des vulnérabilités
  Apprenez à déterminer les risques et hiérarchiser les vulnérabilités identifiées dans une application.
- Etape 4 : Résolution des risques
  Apprenez à éliminer les risques identifiés dans une application.
- Etape 5 : Mesure de la progression et démonstration de la conformité
  Apprenez à mesurer la progression et à démontrer la conformité.
  - Mesure de la progression
    Découvrez comment suivre les différentes mesures et tendances qui composent votre portefeuille.
  - Démonstration de la conformité
    Apprenez à démontrer la conformité.
    - Exportation des problèmes dans des rapports
      Vous pouvez générer des rapports de problèmes personnalisés (aux formats PDF, HTML ou XML) et les envoyer aux développeurs, auditeurs internes, testeurs d'effraction, directeurs et responsables de la sécurité. Les modèles de génération de rapport dans AppScan Enterprise mappent les données de sécurité d'application aux principales réglementations officielles et normes de l'industrie. Utilisez les rapports pour documenter la progression vers des objectifs de conformité aux réglementations, comme l'affichage d'une diminution du nombre des vulnérabilités d'application qui sont associées aux problèmes de conformité.
    - Limitation de la taille d'un rapport de sécurité
      Les rapports de sécurité peuvent être très volumineux. Au cours de la génération de rapport, vous pouvez recevoir un message d'avertissement signalant que le fichier contient plusieurs centaines de pages ou que le processus de création de rapport dépasse le délai d'attente. Essayez de suivre les conseils ci-après pour réduire la taille de rapport.
    - Rapport de conformité
      Apprenez-en plus sur les rapports de conformité.
    - Rapports sur les normes de l'industrie
      Apprenez-en plus sur le rapport sur les normes de l'industrie.
      - Rapport Norme internationale - ISO 27001
        Ce rapport indique les vulnérabilités des applications web existantes qui sont contraires aux objectifs de contrôle de cette norme. Les objectifs de contrôle répertoriés dans cette norme sont directement dérivés des objectifs de contrôle ISO 17799 et alignés sur ces derniers.
      - Rapport Norme internationale - ISO 27002
        Ce rapport indique les vulnérabilités des applications web existantes qui sont contraires aux objectifs de contrôle de cette norme. Les objectifs de contrôle répertoriés dans cette norme sont directement dérivés des objectifs de contrôle ISO 17799 et alignés sur ces derniers.
      - Rapport Normes de cybersécurité NERC
        Ce rapport indique les problèmes de normes de cybersécurité NERC détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport NIST Special Publication 800-53 Revision 4
        Ce rapport indique les problèmes NIST trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport OWASP Top 10 2021
        Top 10 OWASP est un document de sensibilisation standard pour les développeurs et application Web sécurité. Il représente un large consensus sur les risques de sécurité les plus critiques pour vos applications Web.
      - Rapport OWASP API Security Top 10 2019
        Les API, ou interfaces de programme d'application, sont des outils essentiels pour les entreprises de tous les secteurs. Etant donné l'augmentation de l'utilisation des API dans de nombreux domaines et que les API sont un élément essentiel des applications mobiles, SaaS et Web modernes, il est inévitable de libérer l'importance de la sécurité de l'API et de ses vulnérabilités uniques par rapport aux applications Web. Le rapport OWASP API Security Top 10 aide les développeurs, les testeurs et les utilisateurs (ainsi que les chefs de projet, les chercheurs en sécurité et les éducateurs) à se faire une idée des faiblesses de sécurité les plus graves et les plus actuelles liées aux API.
      - Rapport sur les 25 faiblesses logicielles les plus dangereuses répertoriées par CWE
        Ce rapport affiche les 25 faiblesses logicielles les plus dangereuses de Common Weakness Enumeration (CWE™) trouvées sur votre site. Le Top 25 CWE est une ressource de communauté précieuse qui peut aider les développeurs, les testeurs et les utilisateurs (ainsi que les chefs de projet, les chercheurs en sécurité et les éducateurs) à se faire une idée des faiblesses de sécurité les plus graves et les plus actuelles.
      - Rapport WASC v 2.0 - Classification des menaces
        Ce rapport indique les problèmes liés à la classification des menaces par le consortium WASC trouvés sur votre site.

Rapport OWASP API Security Top 10 2019

Les API, ou interfaces de programme d'application, sont des outils essentiels pour les entreprises de tous les secteurs. Etant donné l'augmentation de l'utilisation des API dans de nombreux domaines et que les API sont un élément essentiel des applications mobiles, SaaS et Web modernes, il est inévitable de libérer l'importance de la sécurité de l'API et de ses vulnérabilités uniques par rapport aux applications Web. Le rapport OWASP API Security Top 10 aide les développeurs, les testeurs et les utilisateurs (ainsi que les chefs de projet, les chercheurs en sécurité et les éducateurs) à se faire une idée des faiblesses de sécurité les plus graves et les plus actuelles liées aux API.

Pourquoi est-ce important

Le paysage des menaces pour les API est en perpétuelle mutation. Les API exposent la logique de l'application et les données sensibles telles que les informations personnelles (PII) et deviennent donc une cible pour les cyber-attaquants. Ces facteurs rendent les API plus difficiles à analyser et sont susceptibles de modifier de manière significative le paysage des menaces. Pour suivre le rythme, l'organisation OWASP a élaboré le rapport OWASP API Security Top 10, publié le 31 décembre 2019, qui se concentre sur les stratégies et les solutions pour comprendre et atténuer les vulnérabilités uniques et les risques de sécurité des API.

OWASP API Security Top 10 Vulnerabilities

ID	Nom
API1	Violation de l'autorisation au niveau de l'objet
API2	Violation de l'authentification d'utilisateur
API3	Exposition excessive des données
API4	Manque de ressources et limitation de débit
API5	Violation de l'autorisation au niveau de la fonction
API6	Affectation de masse
API7	Configuration erronée de la sécurité
API8	Injection
API9	Gestion inadéquate des actifs
API10	Journalisation et surveillance insuffisantes