La liste "sans fioritures" des acronymes de sécurité

Que signifient tous ces acronymes liés à la sécurité ?

Vous êtes probablement ici parce que vous êtes submergé (et lassé !) par le nombre d'acronymes utilisés dans le domaine des outils, des plateformes et des processus de sécurité. Chaque fournisseur de logiciels souhaite se démarquer dans un secteur saturé en proposant de nouvelles fonctionnalités, ce qui épuise les développeurs et les professionnels de la sécurité.
‍
Voici donc notre liste concise d'acronymes liés à la sécurité pour vous aider à y voir plus clair. 

CVE : vulnérabilités et expositions courantes

• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  ‍CVEest le catalogue public des vulnérabilités connues géré par la société à but non lucratif MITRE Corporation. Depuis son lancement en 1999, il est devenu la norme pour signaler les problèmes de cybersécurité et constitue la base de la plupart AppSec qui analysent vos applications à la recherche de problèmes.
  Le terme CVE peut prêter à confusion, car de nombreux professionnels et entreprises de la sécurité utilisent« CVE »pour désigner les vulnérabilités elles-mêmes, et non le catalogue public. Lorsqu'un site web d'entreprise indique « Notre ASPM vous protège contre les CVE graves », cela signifie que sa plateforme analyse votre code, vos dépendances et cloud à la recherche de correspondances avec une ou plusieurs vulnérabilités spécifiques répertoriées dans le catalogue CVE.‍
• Faut-il s'en soucier ? 👍
  Le CVE en tant que système, et les CVE en tant que vulnérabilités ou expositions individuelles, jouent un rôle essentiel dans la sécurité. L'essentiel est de vous assurer que vous disposez d'une plateforme capable de vous informer à leur sujet et de vous offrir un moyen simple de les corriger.

SAST: Tests de sécurité des applications statiques

• alias analyse statique
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  SAST vérifient efficacement la présence de vulnérabilités dans le code source. Considérez cela comme un moyen d'assurer la sécurité dès le début du processus de développement, ainsi que tout au long du cycle de vie du développement logiciel (SDLC, oui, encore un acronyme), mais uniquement pour le code. Cela ne concerne pas les fonctionnalités de votre application ni la manière dont elle sera déployée. 
• Faut-il s'en soucier ? 👍
  SAST sont comme un correcteur orthographique pour AppSec: un élément ciblé mais essentiel de votre boîte à outils. Idéalement, votre SAST fonctionnera dès que possible au cours du développement (dans votre IDE, en tant que hook Git pré-commit ou dans votre pipeline CI), vous aidant ainsi à détecter les problèmes plus tôt et à réduire leur impact en termes d'atténuation et de ressources.

Obtenez une plateforme qui couvre
tous vos acronymes

Essai gratuit

Sans CB

DAST: Tests de sécurité des applications dynamiques

• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Considérez DAST la version « vivante » du SAST. DAST testent votre application à l'aide d'attaques simulées alors qu'elle fonctionne dans un environnement similaire à celui de production. Vous pouvez ainsi combler les failles de sécurité avant que les pirates ne les trouvent. DAST ne se soucient pas de la fonction de votre application, mais uniquement de sa vulnérabilité aux attaques critiques connues.‍
• Faut-il s'en soucier ? 👍
  Oui, à court terme, et oui, à long terme. Traditionnellement, DAST du domaine des ingénieurs DevOps ou SecOps, mais comme de plus en plus d'entreprises confient AppSec aux développeurs, les cadres supérieurs et les responsables des opérations vous demanderont inévitablement d'intégrer et d'utiliser ces outils le plus tôt possible. 

IAST : tests interactifs d'applications et de sécurité

• alias: RASP (voir ci-dessous !)‍
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  L'IAST est en quelque sorte le fruit de l'union entre SAST DAST, combinant les deux approches dans votre IDE et dans le cadre de votre pipeline CI/CD. Contrairement aux deux autres approches, l'IAST utilise un agent intégré à votre application qui se connecte à vos tests fonctionnels existants pour rechercher des problèmes tels que des identifiants codés en dur et des entrées utilisateur non nettoyées.‍
• Est-ce important pour vous ? 🤷
  Si vous utilisez déjà DAST SAST DAST dans votre cycle de développement, vous n'avez peut-être pas grand-chose à gagner à ajouter une alternative spécifique à l'IAST à votre boîte à outils. Cependant, si vous débutez dans AppSec et que vous devez choisir un seul outil pour couvrir tous vos besoins, vous apprécierez peut-être la combinaison unique d'exhaustivité et de rapidité des résultats.

ASPM : gestion de la posture de sécurité des applications

• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Les plateformes ASPM fonctionnent comme un système de surveillance de la sécurité de vos applications. Vous pouvez ingérer des données provenant de plusieurs sources, vérifier les corrélations et hiérarchiser les problèmes sur plusieurs applications grâce à des informations contextuelles et à une aide à la correction. Elles peuvent également être très utiles pour l'évaluation et la hiérarchisation des risques, en particulier dans les secteurs où les normes de conformité sont plus strictes.
  
• Faut-il s'en soucier ? 👍
  D'un point de vue opérationnel ou de maintenance, probablement pas, mais les ASPM sont en train de devenir la norme pour les organisations de toutes tailles. L'idée est de réduire le nombre de solutions ponctuelles en matière de sécurité et d'utiliser une AppSec complète pouvant englober les fonctionnalités SAST, DAST autres. Par conséquent, vous serez très probablement amené à rencontrer des ASPM à un moment ou à un autre. 

CSPM: gestion de la posture cloud

• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  ‍CSPM est un outil de surveillance de la sécurité pour vos cloud . Ces outils vous aident à identifier ou à visualiser les risques pesant sur votre cloud et vous recommandent les meilleures solutions pour remédier aux erreurs de configuration, telles que les contrôles d'accès pour les comptes de service, qui pourraient vous causer des maux de tête à l'avenir.
• CSPM s'appuient sur les pratiques Infrastructure as Code (IaC), analysant vos fichiers de configuration avant le déploiement et émettant des alertes avant que vous ne passiez en production.
  
• Est-ce que cela vous concerne ? 🤷
  Cela dépend de l'équipe avec laquelle vous travaillez. Si vous êtes développeur d'applications et que vous êtes également responsable de la configuration des environnements de production auprès d'un cloud , alors CSPM vous concerner. Si vous vous concentrez principalement sur la logique métier, tandis que d'autres s'occupent de l'aspect opérationnel, vous n'aurez peut-être jamais affaire au CSPM. 

DSPM : gestion de la posture de sécurité des données

• alias : sécurité « données d'abord »
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  À l'instar des autres catégories de « gestion de la posture », les outils DSPM offrent une visibilité sur le stockage et l'utilisation des données de votre organisation. Ils localisent les informations sensibles, calculent les risques liés à leur emplacement et à leur mode de stockage, et proposent des solutions pour améliorer votre posture de sécurité.
• Les DSPM peuvent même automatiser la classification des données, influençant ainsi la manière dont vous traitez et stockez les informations dans vos applications, en particulier si celles-ci circulent entre plusieurs applications ou API basées sur des microservices au sein de votre infrastructure.‍
• Faut-il s'en soucier ? 👎
  En général, non. Les DSPM relèvent plutôt du domaine de la cybersécurité. Ils conviennent donc mieux aux équipes de sécurité dédiées des grandes entreprises, plutôt qu'aux petites équipes de développement d'applications des start-ups ou des PME.

VM : gestion des vulnérabilités

• alias: gestion des vulnérabilités (VMS), menace et gestion des vulnérabilités TVM), évaluation des vulnérabilités, analyse des vulnérabilités, gestion des vulnérabilités technique gestion des vulnérabilités
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  VM est une approche holistique visant à identifier et à corriger les vulnérabilités dans votre code, vos configurations et cloud , souvent en agrégeant les données d'analyse provenant d'autres AppSec représentés par bon nombre de ces mêmes acronymes.
  Ces plateformes vous aident à mettre en œuvre un cycle d'amélioration continue en matière de sécurité en classant les vulnérabilités découvertes selon le système CVSS (Common Vulnerability Scoring System). Cela vous aide à hiérarchiser celles que vous devez traiter immédiatement et celles que vous pouvez laisser pour le prochain sprint... ou le prochain trimestre.
  
• Est-ce important ? 🤷
  Cela dépend vraiment de la plateforme VM que votre organisation valide ou utilise déjà.
  Les plateformes VM traditionnelles sont le plus souvent le domaine des équipes de sécurité/d'exploitation informatique, des responsables de la conformité et de la gestion des risques, des ingénieurs DevOps et même des testeurs d'intrusion, c'est-à-dire des personnes qui ont beaucoup plus d'expérience en matière de sécurité et qui ont beaucoup à perdre si le code est mis en production dans un état non sécurisé. Cela dit, certaines AppSec sont conçues pour aider les développeurs à gérer leurs vulnérabilités techniques avec moins de faux positifs et des corrections instantanément pertinentes.

SCA: analyse de la composition logicielle

• alias: analyse des composants
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Vous vous souvenez de tous ces paquets que vous avez ajoutés à votre application avec npm, go get, pip, etc. ? Chacune de ces dépendances se ramifie en des dizaines d'autres, qui apportent toutes avec elles de nouveaux risques en termes de vulnérabilités du code et de la configuration. La disponibilité des paquets open source est une aubaine pour la productivité, mais elle a un coût important en termes de sécurité.
  SCA analysent votre chaîne d'approvisionnement open source à la recherche de vulnérabilités ou de problèmes potentiels liés aux licences open source, et certains proposent même des mises à jour immédiates.
  
• Avez-vous besoin de vous en soucier ? 👍👍
  SCA vous permettent de développer en toute sécurité à partir de tous les merveilleux frameworks, projets et bibliothèques open source, vous offrant ainsi toute la vitesse dont vous avez besoin sans sacrifier la sécurité. Un must pour les développeurs d'applications à la recherche d'une base de AppSec .

RASP : auto-protection des applications en temps réel

• alias : protection intégrée à l'application , pare-feu intégré à l’application, sécurité intégrée à l'application, sécurité d'exécution, IAST
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Les outils RASP sont intégrés directement dans une application afin de détecter et de bloquer les attaques sans nécessiter d'infrastructure externe, telle que les WAF (voir ci-dessous). Les informations de sécurité en temps réel et l'approche « sans intervention » séduisent certains utilisateurs, mais comme ces outils fonctionnent au sein même de votre application, vous devrez analyser toute dégradation des performances et mettre en balance cet impact avec la tranquillité d'esprit que vous procure la protection contre les attaques courantes, telles que les injections (No)SQL, les traversées de chemin, les injections shell, etc.
  
• Est-ce que ça t'intéresse ? 👍
  Si tu manques de talents en développement et en sécurité, les outils RASP peuvent être un super raccourci pour protéger ton application et les données de tes utilisateurs contre les attaques automatisées. Ils sont vraiment plus faciles à déployer et à gérer que leurs cousins en réseau, les WAF, ce qui en fait un super choix pour les développeurs d'applications qui veulent éviter le coût et la complexité d'une infrastructure plus importante.
  Vous devriez également vous y intéresser en raison de notre projet de pare-feu open source pour les applications Node.js. Nous n'aimons pas particulièrement le terme RASP (vous ne le verrez nulle part dans notre référentiel GitHub), mais Firewall fonctionne de la même manière pour détecter et bloquer toutes les vulnérabilités critiques sans que vous ayez à modifier une seule ligne de code.

WAF : pare-feu applicatif web

• alias : WAAP (protection des applications Web et des API)
  
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Ce déploiement sur site ou cloud se situe à la périphérie de votre infrastructure, en tant que premier point de contact entre un utilisateur (ou un attaquant) et votre application, « interceptant » le trafic destiné à votre application via le DNS. Ils exécutent assez rapidement des centaines de correspondances de modèles d'expressions régulières sur les premiers kilooctets de la requête entrante et bloquent tout code potentiellement malveillant.
  Le résultat est presque identique à celui des outils RASP, mais les WAF se soucient encore moins du fonctionnement de votre application ou de ce qu'elle est censée faire.
  
• Faut-il s'en soucier ? 👎
  À notre humble avis, non. Vous devez savoir ce que sont ces dispositifs et connaître leur fonction, mais en tant que développeur d'applications, il existe de nombreuses autres AppSec que vous pouvez mettre en œuvre beaucoup plus facilement que de vous lancer dans le domaine des WAF. Ces derniers sont connus pour leurs faux positifs et leur dégradation des performances, qui affecteront inévitablement l'expérience de vos utilisateurs finaux légitimes.
  

Nous n'aimons pas non plus appeler Aikido un WAF, mais il remplit toutes les mêmes fonctions avec beaucoup plus de précision et d'efficacité.

Quelle est la suite ?

Félicitations, vous avez terminé votre parcours accéléré à travers AppSec !

Que vous vous sentiez obligé de continuer à étudier cette liste interminable d'acronymes pour vous former, ou que vous souhaitiez vous réfugier dans le confort de votre IDE en mode sombre pour échapper à tout ce qui touche à la sécurité, n'oubliez pas que le but n'est pas de devenir un AppSec ambulant AppSec . Personne ne sera impressionné par votre capacité à expliquer pendant dix minutes les différences entre ASPM, CSPM, DSPM et tous les autres. En revanche, vos interlocuteurs seront impressionnés si vous êtes capable de leur recommander rapidement AppSec adapté à leur situation précise.