Accueil
Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
Etape 5 : Mesure de la progression et démonstration de la conformité
Apprenez à mesurer la progression et à démontrer la conformité.
Démonstration de la conformité
Apprenez à démontrer la conformité.
Rapport de conformité
Apprenez-en plus sur les rapports de conformité.
California Consumer Privacy Act (CCPA) - AB 375
Ce rapport répertorie les problèmes détectés sur votre site qui ne sont pas conformes à ces réglementations. De nombreuses vulnérabilités d'applications Web peuvent entraîner des violations de sécurité qui affectent directement ou indirectement des informations personnelles et qui peuvent être considérées comme des infractions à la réglementation.

Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
- Etape 1 : Création d'un inventaire d'applications
  Apprenez à créer un inventaire d'applications.
- Etape 2 : Test des applications pour identifier les vulnérabilités
  Apprenez à tester les vulnérabilités identifiées dans une application.
- Etape 3 : Détermination des risques et hiérarchisation des vulnérabilités
  Apprenez à déterminer les risques et hiérarchiser les vulnérabilités identifiées dans une application.
- Etape 4 : Résolution des risques
  Apprenez à éliminer les risques identifiés dans une application.
- Etape 5 : Mesure de la progression et démonstration de la conformité
  Apprenez à mesurer la progression et à démontrer la conformité.
  - Mesure de la progression
    Découvrez comment suivre les différentes mesures et tendances qui composent votre portefeuille.
  - Démonstration de la conformité
    Apprenez à démontrer la conformité.
    - Exportation des problèmes dans des rapports
      Vous pouvez générer des rapports de problèmes personnalisés (aux formats PDF, HTML ou XML) et les envoyer aux développeurs, auditeurs internes, testeurs d'effraction, directeurs et responsables de la sécurité. Les modèles de génération de rapport dans AppScan Enterprise mappent les données de sécurité d'application aux principales réglementations officielles et normes de l'industrie. Utilisez les rapports pour documenter la progression vers des objectifs de conformité aux réglementations, comme l'affichage d'une diminution du nombre des vulnérabilités d'application qui sont associées aux problèmes de conformité.
    - Limitation de la taille d'un rapport de sécurité
      Les rapports de sécurité peuvent être très volumineux. Au cours de la génération de rapport, vous pouvez recevoir un message d'avertissement signalant que le fichier contient plusieurs centaines de pages ou que le processus de création de rapport dépasse le délai d'attente. Essayez de suivre les conseils ci-après pour réduire la taille de rapport.
    - Rapport de conformité
      Apprenez-en plus sur les rapports de conformité.
      - APRA PPG 234 - rapport Gestion du risque de sécurité dans les informations et les technologies de l'information
        Ce rapport signale les points de non-conformité de votre site concernant cette réglementation. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Basel II
        Ce rapport de conformité Basel II peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - California Consumer Privacy Act (CCPA) - AB 375
        Ce rapport répertorie les problèmes détectés sur votre site qui ne sont pas conformes à ces réglementations. De nombreuses vulnérabilités d'applications Web peuvent entraîner des violations de sécurité qui affectent directement ou indirectement des informations personnelles et qui peuvent être considérées comme des infractions à la réglementation.
      - Rapport Children's Online Privacy Protection Act de 1998
        Ce rapport décrit les problèmes relatifs à la loi COPPA (Children's Online Privacy Protection Act) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations. Remarque : de nombreux problèmes de ce rapport sont semblables à ceux du rapport HIPAA. Si les deux rapports sont ajoutés au tableau de bord, le nombre total de problèmes sera accru. Pour éviter cela, vous pouvez créer des onglets pour chaque rapport ou n'ajouter qu'un rapport au tableau de bord.
      - Rapport Data Protection Act (Royaume-Uni)
        Ce rapport indique les problèmes liés à la loi Data Protection Act trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport DCID 6/3 Securing Advanced Technology IS
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de sécurité destinées à protéger les systèmes d'information interconnectés et les systèmes d'information recourant aux technologies avancées. Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Disponibilité de base
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection de base décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau de base" signifie que les informations doivent être disponibles avec une tolérance de retard flexible. La perte de disponibilité aura une incidence néfaste.
      - Rapport DCID 6/3 - Disponibilité moyenne
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection moyen décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau moyen" signifie que les informations doivent être disponibles avec une tolérance de retard minimale, ou la perte de disponibilité peut avoir pour conséquences des dommages corporels ou avoir une incidence néfaste sur les intérêts de l'organisation.
      - Rapport DCID 6/3 - Disponibilité élevée
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de disponibilité pour les systèmes fonctionnant avec le niveau de protection élevé décrit au chapitre 6 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau élevé" signifie que les informations doivent être disponibles à la demande, sans tolérance de retard. La perte de disponibilité peut avoir pour conséquence la perte de vies humaines, avoir une incidence néfaste sur les intérêts nationaux ou la confidentialité.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 1
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 1 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 2
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 2 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 3
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 3 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 4
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 4 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Exigences de confidentialité - Niveau de protection 5
        Ce rapport analyse les résultats de l'examen d'applications Web pour détecter d'éventuelles violations des règles de confidentialité pour les systèmes fonctionnant avec le niveau de protection 5 décrit au chapitre 4 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation.
      - Rapport DCID 6/3 - Intégrité de base
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles d'intégrité pour les systèmes fonctionnant avec le niveau d'intégrité de base décrit au chapitre 5 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau de base" signifie qu'un degré de résistance raisonnable contre les modifications non autorisées est requis. La perte d'intégrité aura une incidence néfaste.
      - Rapport DCID 6/3 - Intégrité moyenne
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles d'intégrité pour les systèmes fonctionnant avec le niveau d'intégrité moyenne décrit au chapitre 5 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau moyen" signifie qu'un degré de résistance élevé mais non absolu contre les modifications non autorisées est requis. Une perte moyenne d'intégrité peut provoquer des dommages corporels ou avoir une incidence néfaste sur les intérêts de l'organisation.
      - Rapport DCID 6/3 - Intégrité élevée
        Ce rapport analyse les résultats de l'examen d'applications web pour détecter d'éventuelles violations des règles d'intégrité pour les systèmes fonctionnant avec le niveau d'intégrité élevé décrit au chapitre 5 du manuel "Protection des informations compartimentées sensibles au sein des systèmes d'information". Il facilite la détection d'éventuelles violations des règles de sécurité présentées dans les étapes 3, 4, 5 et 8 du processus d'accréditation. "Niveau élevé" signifie qu'un degré de résistance très élevé contre les modifications non autorisées est requis. La perte d'intégrité peut avoir pour conséquence la perte de vies humaines ou avoir une incidence néfaste sur les intérêts nationaux ou la confidentialité.
      - Rapport DISA STIG v3 r9
        Le document Application Security and Development Security Technical Implementation Guide (STIG) propose des conseils de sécurité applicables durant le cycle complet de développement d'application. La Defense Information Systems Agency (DISA) encourage les sites à mettre en oeuvre ces conseils dès le début du processus de développement d'application.
      - Rapport DISA STIG version 3 édition 9 catégorie 1
        Le document Application Security and Development Security Technical Implementation Guide (STIG) propose des conseils de sécurité applicables durant le cycle complet de développement d'application. La Defense Information Systems Agency (DISA) encourage les sites à mettre en oeuvre ces conseils dès le début du processus de développement d'application.
      - Rapport DoD Instruction 8500.1 - Cybersécurité
        Ce rapport présente les problèmes détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Instruction 8550.1 du Ministère de la Défense américain - Rapport sur les services Internet et les capacités reposant sur Internet
        Ce rapport présente les problèmes détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Electronic Funds Transfer Act and Regulation E
        Ce rapport indique les problèmes EFTA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Directive européenne 1995/46/EC
        Ce rapport indique les problèmes liés à la Directive européenne sur la protection des données (EU 1995/46/EC) trouvé sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Directive européenne 2002/58/EC
        Ce rapport indique les problèmes liés à la Directive européenne sur la vie privée et les communications électroniques (EU2002/58/EC) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Family Educational Rights and Privacy Act (FERPA)
        Ce rapport indique les problèmes FERPA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - FFIEC (Federal Financial Institutions Examination Council) - Rapport Information Security IT Examination Handbook
        Ce rapport indique les problèmes FFIEC trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Federal Information Security Management Act (FISMA)
        Ce rapport indique les problèmes FISMA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport FedRAMP (Federal Risk and Authorization Management Program)
        Ce rapport présente les problèmes FedRAMP détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Services financiers (GLBA)
        Ce rapport indique les problèmes GLBA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Freedom of Information and Protection of Privacy Act (FIPPA)
        Ce rapport indique les problèmes FIPPA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Health Insurance Portability Accountability Act (HIPAA) de 1996
        Ce rapport indique les problèmes HIPAA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Personal Information Protection Act du Japon
        Ce rapport signale des points de non conformité de votre site concernant la loi Personal Information Protection du Japon. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Massachusetts 201 CMR 17.00
        Ce rapport de conformité MA 201 peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - Rapport Management of Information Technology Security (MITS)
        Ce rapport de conformité MITS peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - Rapport NERC CIPC Electricity Sector Security Guidelines
        Ce rapport indique les problèmes de violation de la réglementation NERC CIPC de votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport PA-DSS (Payment Application Data Security Standard) v3.0
        Ce rapport de conformité PA-DSS peut aider les institutions financières à gérer le risque d'exploitation dû à l'activité en ligne en identifiant et surveillant les vulnérabilités des applications Web et en générant des rapports sur ces vulnérabilités.
      - Rapport Payment Card Industry Data Security Standard (PCI) v3.0
        Ce rapport indique les problèmes PCI trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport PIPED Act
        Ce rapport indique les problèmes PIPED trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Privacy Act de 1974
        Ce rapport indique les problèmes liés à la loi Privacy Act de 1974 trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Règlement 2016/679 du Parlement européen et du Conseil - Règlement général sur la protection des données (RGPD)
        Ce rapport décrit les problèmes liés à la Réglementation générale sur la protection des données (GDPR) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Safe Harbor
        Ce rapport indique les problèmes liés à la législation Safe Harbor européenne trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Sarbanes-Oxley Act (SOX) de 2002
        Ce rapport affiche les problèmes liés à la loi Sarbanes-Oxley trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
      - Rapport Title 21 Code of Federal Regulations (21 CFR) Part 11
        Ce rapport indique les problèmes 21CFR11 (Code of Federal Regulations, Title 21, Part 11) trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
    - Rapports sur les normes de l'industrie
      Apprenez-en plus sur le rapport sur les normes de l'industrie.

California Consumer Privacy Act (CCPA) - AB 375

Ce rapport répertorie les problèmes détectés sur votre site qui ne sont pas conformes à ces réglementations. De nombreuses vulnérabilités d'applications Web peuvent entraîner des violations de sécurité qui affectent directement ou indirectement des informations personnelles et qui peuvent être considérées comme des infractions à la réglementation.

Pourquoi est-ce important

La California Consumer Privacy Act de 2018 (CCPA) donne aux consommateurs plus de contrôle sur les informations personnelles que les entreprises recueillent à leur sujet et les réglementations CCPA fournissent des conseils sur la manière de mettre en œuvre la loi. Cette loi historique sécurise de nouveaux droits à la vie privée pour les consommateurs californiens, notamment :

le droit de connaître les informations personnelles qu'une entreprise recueille à son sujet et la manière dont elles sont utilisées et partagées ;
le droit de supprimer les informations personnelles recueillies auprès d'eux (à quelques exceptions près) ;
le droit de refuser la vente ou le partage de leurs informations personnelles ;
le droit à la non-discrimination pour l'exercice de leurs droits à la CCPA.

Meilleures pratiques en matière de conformité à la California Consumer Privacy Act (CCPA) - AB 375

Identifiez les types d'informations personnelles que l'entreprise collecte et gère, y compris les données personnelles sur papier et celles stockées sous forme électronique.
Déterminez le niveau du risque encouru par votre entreprise et le public en cas de perte potentielle ou de divulgation non autorisée de ces informations.
Déterminez si vos mesures et procédures de sécurité sont raisonnables. En effectuant cette évaluation, comparez le coût de la protection actuellement en place aux dommages encourus par votre entreprise en cas de perte ou de divulgation non autorisée de ces données.
Adaptez vos procédures et pratiques afin que le type et le niveau de protection des informations personnelles soient proportionnels au risque encouru en cas de perte ou de divulgation non autorisée de ces informations.