La liste "sans fioritures" des acronymes de sécurité

Que signifient tous les acronymes de sécurité ?

Vous êtes probablement ici parce que vous êtes submergé (et lassé !) par le nombre d'acronymes autour des outils, plateformes et processus de sécurité. Chaque fournisseur de logiciels souhaite se différencier dans un espace encombré avec de nouvelles capacités, laissant les développeurs et les professionnels de la sécurité épuisés.
‍
Voici donc notre liste claire et simple d'acronymes de sécurité pour vous aider à y voir plus clair. 

CVE : Vulnérabilités et Expositions Communes

• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  ‍Le CVE est le catalogue public des vulnérabilités connues géré par la MITRE Corporation, une organisation à but non lucratif. Depuis son lancement en 1999, il est devenu la norme pour le signalement des problèmes de cybersécurité et constitue l'épine dorsale de la plupart des plateformes AppSec qui analysent vos applications à la recherche de problèmes.
  Le terme CVE peut être un peu déroutant, car de nombreux professionnels de la sécurité et entreprises utilisent les “CVEs” pour désigner les vulnérabilités elles-mêmes, et non le catalogue public. Lorsqu'un site web d'entreprise indique : “Notre ASPM vous protège des CVEs graves”, cela signifie que sa plateforme analyse votre code, vos dépendances et vos configurations cloud à la recherche de correspondances avec une ou plusieurs vulnérabilités spécifiques reconnues dans le catalogue CVE.‍
• Devez-vous vous en soucier ? 👍
  Le CVE en tant que système, et les CVEs en tant que vulnérabilités ou expositions individuelles, jouent un rôle essentiel dans la sécurité. La clé est de s'assurer de disposer d'une plateforme capable de vous en informer et de vous offrir un chemin fluide vers la remédiation.

SAST : Tests de sécurité des applications statiques

• également appelé analyse statique
• ‍Qu'est-ce que cela signifie pour les développeurs d'applications ?
  ‍Les outils SAST vérifient efficacement le code source à la recherche de vulnérabilités. Considérez-le comme un moyen d'assurer la sécurité dès le début du processus de développement, ainsi que tout au long du cycle de vie du développement logiciel (SDLC, oui, un autre acronyme), mais uniquement pour le code. Il ne se concentre pas sur la fonctionnalité de votre application ou sur la manière dont elle sera déployée. 
• ‍Devez-vous vous en soucier ? 👍
  Les outils SAST sont comme un correcteur orthographique pour l'AppSec : une partie ciblée mais essentielle de votre boîte à outils. Idéalement, votre outil SAST fonctionnera le plus tôt possible dans le développement – dans votre IDE, comme un hook Git de pré-validation, ou dans votre pipeline CI – vous aider à détecter les problèmes plus tôt réduira leur impact en termes d'atténuation et de ressources.

Obtenez une plateforme qui couvre
tous vos acronymes

Commencer gratuitement

Sans carte bancaire

DAST : Tests de sécurité des applications dynamiques

• Qu'est-ce que cela signifie pour les développeurs d'applications ? 
  Considérez le DAST comme la version « vivante » du SAST. Les outils DAST testent votre application avec des attaques simulées lorsqu'elle s'exécute dans un environnement similaire à la production. De cette façon, vous pouvez combler les failles de sécurité avant que les attaquants ne les découvrent. Les outils DAST ne se soucient pas de la fonction de votre application, mais seulement de sa vulnérabilité aux attaques de niveau critique connues.‍
• Devez-vous vous en soucier ? 👍
  Un oui modéré à court terme, un oui ferme à long terme. Traditionnellement, le DAST relevait du domaine des ingénieurs DevOps ou SecOps, mais à mesure que de plus en plus d'organisations transfèrent les responsabilités AppSec aux développeurs, les supérieurs hiérarchiques et les équipes opérationnelles vous demanderont inévitablement d'intégrer et d'interagir avec ces outils tôt ou tard. 

IAST : tests interactifs d'applications et de sécurité

• alias : RASP (voir ci-dessous !)‍
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  L'IAST est en quelque sorte le fruit de l'union du SAST et du DAST, combinant les deux approches dans votre IDE et au sein de votre pipeline CI/CD. Contrairement aux deux autres approches, l'IAST utilise un agent intégré à votre application qui s'accroche à vos tests fonctionnels existants pour rechercher des problèmes tels que les identifiants codés en dur et les entrées utilisateur non assainies.‍
• Devriez-vous vous en soucier ? 🤷
  Si vous utilisez déjà des outils SAST et DAST dans votre cycle de développement, vous pourriez ne pas beaucoup bénéficier de l'ajout d'une alternative IAST spécifique à votre boîte à outils. Cependant, si vous débutez dans les tests AppSec et deviez choisir un seul outil pour couvrir toutes vos bases, vous pourriez apprécier la combinaison unique d'exhaustivité et de rapidité des résultats.

ASPM : gestion de la posture de sécurité des applications

• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Les plateformes ASPM fonctionnent comme une observabilité de la sécurité pour vos applications. Vous pouvez ingérer des données de plusieurs sources, vérifier les corrélations et prioriser les problèmes sur plusieurs applications avec des informations contextuelles et une aide à la remédiation. Elles peuvent également être très utiles pour l'évaluation et la priorisation des risques, en particulier dans les secteurs soumis à des normes de conformité plus strictes.
  
• Devriez-vous vous en soucier ? 👍
  D'un point de vue opérationnel ou de maintenance, probablement pas, mais les ASPM deviennent la norme pour les organisations de toutes tailles – l'idée est de réduire le nombre de solutions de sécurité ponctuelles et d'utiliser une plateforme AppSec complète qui pourrait englober le SAST, le DAST et d'autres fonctionnalités. Par conséquent, il est fort probable que vous rencontriez des ASPM à un moment donné. 

CSPM : gestion de la posture de sécurité du cloud

• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  ‍Le CSPM est l'observabilité de la sécurité pour vos déploiements cloud. Ces outils vous aident à identifier ou à visualiser les risques pour votre infrastructure cloud et à recommander la meilleure façon de corriger les mauvaises configurations, telles que les contrôles d'accès pour les comptes de service, qui pourraient vous causer des problèmes à l'avenir.
• Les plateformes CSPM s'appuient sur les pratiques d'Infrastructure as Code (IaC), analysant vos fichiers de configuration avant le déploiement et émettant des alertes avant que vous ne passiez en production.
  
• Devriez-vous vous en soucier ? 🤷
  Cela dépend de l'équipe avec laquelle vous travaillez. Si vous êtes un développeur d'applications également responsable de la configuration des environnements de production avec un fournisseur cloud, alors le CSPM pourrait être à votre portée. Si vous vous concentrez principalement sur la logique métier, tandis que d'autres gèrent le côté opérationnel, vous pourriez ne jamais interagir avec un CSPM. 

DSPM : gestion de la posture de sécurité des données

• alias : sécurité « data first »
• ‍Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Similaires aux autres catégories de « gestion de la posture », les outils DSPM offrent une visibilité sur le stockage et l'utilisation des données de votre organisation. Ils localisent les informations sensibles, calculent le risque lié à l'endroit et à la manière dont vous les avez stockées, et proposent des pistes pour améliorer votre posture de sécurité.
• Les DSPM peuvent même automatiser la classification des données, influençant la manière dont vous gérez et stockez les informations dans vos applications, en particulier si elles circulent entre plusieurs applications ou API basées sur des microservices au sein de votre infrastructure.‍
• Devriez-vous vous en soucier ? 👎
  Généralement, non. Les DSPM sont plutôt ancrés dans le domaine de la cybersécurité – idéaux pour les équipes de sécurité dédiées au niveau des grandes entreprises, et non pour les petites équipes de développement d'applications des startups ou des PME.

VM : gestion des vulnérabilités

• alias : système de gestion des vulnérabilités (VMS), gestion des menaces et des vulnérabilités (TVM), évaluation des vulnérabilités, analyse des vulnérabilités, gestion technique des vulnérabilités
• ‍Qu'est-ce que cela signifie pour les développeurs d'applications ?
  La VM est une approche holistique pour identifier et corriger les vulnérabilités dans votre code, vos configurations et vos déploiements cloud, souvent en agrégeant les données d'analyse provenant d'outils AppSec supplémentaires représentés par bon nombre de ces mêmes acronymes.
  Ces plateformes vous aident à mettre en œuvre un cycle d'amélioration continue de la sécurité en classant les vulnérabilités découvertes par rapport au Common Vulnerability Scoring System (CVSS). Cela vous aide à prioriser celles que vous devez traiter immédiatement et celles que vous pouvez laisser pour le prochain sprint… ou le prochain trimestre.
  
• Devez-vous vous en soucier ? 🤷
  Cela dépend vraiment de la plateforme VM que votre organisation valide ou utilise déjà.
  Les plateformes VM traditionnelles sont le plus souvent le domaine des équipes de sécurité/opérations informatiques, des responsables de la conformité et de la gestion des risques, des ingénieurs DevOps, et même des testeurs d'intrusion – des personnes ayant beaucoup plus d'expérience en sécurité et dont la responsabilité est engagée si le code passe en production dans un état non sécurisé. Cela dit, certaines plateformes AppSec sont conçues pour aider les développeurs à gérer leurs vulnérabilités techniques avec moins de faux positifs et des remédiations immédiatement pertinentes.

SCA : analyse de la composition logicielle

• alias : analyse de composants
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Vous souvenez-vous de tous ces packages que vous avez ajoutés à votre application avec npm, go get, pip, etc. ? Chacune de ces dépendances s'étend sur des dizaines d'autres, et toutes apportent de nouveaux risques de vulnérabilités de code et de configuration. La disponibilité des packages open source est un atout pour la productivité, mais elle a un coût significatif en matière de sécurité.
  Les outils SCA analysent votre chaîne d'approvisionnement open source à la recherche de vulnérabilités ou de problèmes potentiels liés aux licences open source, et certains proposent même des mises à jour immédiates.
  
• Devez-vous vous en préoccuper ? 👍👍
  Les outils SCA vous permettent de construire en toute sécurité sur tous les merveilleux frameworks, projets et bibliothèques open source, vous offrant ainsi la vélocité tant nécessaire sans sacrifier la sécurité. Un incontournable pour les développeurs d'applications à la recherche d'un niveau de garanties AppSec de base.

RASP : auto-protection des applications en temps d'exécution

• alias : protection in-app, pare-feu intégré à l’application, sécurité d'application embarquée, sécurité en temps d'exécution, IAST
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Les outils RASP sont intégrés directement dans une application pour détecter et bloquer les attaques sans nécessiter d'infrastructure externe, comme les WAF (voir ci-dessous). Les informations de sécurité en temps réel et l'approche « mains libres » sont attrayantes pour certains, mais comme ils opèrent au sein de votre application, vous devrez analyser toute dégradation des performances et évaluer cet impact par rapport à la tranquillité d'esprit que vous procure la protection contre les attaques courantes, telles que l'injection (No)SQL, le path traversal, l'injection de shell, et plus encore.
  
• Devez-vous vous en préoccuper ? 👍
  Si vous manquez de ressources en développement et en sécurité, les outils RASP peuvent être un excellent raccourci pour protéger votre application et les données de vos utilisateurs contre les attaques automatisées. Ils sont certainement beaucoup plus faciles à déployer et à gérer que leur cousin en réseau, les WAF, ce qui en fait un excellent choix pour les développeurs d'applications qui ne veulent pas du coût et de la complexité d'une infrastructure supplémentaire.
  Vous devriez également vous en préoccuper en raison de notre projet de pare-feu open source pour les applications Node.js. Nous n'aimons pas particulièrement le terme RASP nous-mêmes — vous ne le verrez nulle part sur notre dépôt GitHub — Firewall fonctionne de la même manière pour détecter et bloquer toutes les vulnérabilités critiques sans que vous ayez à modifier une seule ligne de code.

WAF : pare-feu d'application web

• alias : WAAP (protection des applications web et des API)
  
• Qu'est-ce que cela signifie pour les développeurs d'applications ?
  Ce déploiement sur site ou basé sur le cloud se situe à l'extrémité de votre infrastructure, en tant que premier point de contact entre un utilisateur (ou un attaquant) et votre application, « interceptant » le trafic destiné à votre application via DNS. Ils exécutent assez rapidement des centaines de correspondances de motifs regex sur les premiers centaines de kilo-octets de la requête entrante, et bloquent tout ce qui contient du code potentiellement malveillant.
  Le résultat est presque identique à celui des outils RASP, mais les WAF se soucient encore moins du fonctionnement de votre application ou de ce qu'elle est censée faire.
  
• Devez-vous vous en préoccuper ? 👎
  À notre humble avis, non. Vous devriez savoir ce qu'ils sont et leur fonction prévue, mais en tant que développeur d'applications, il existe de nombreuses autres stratégies AppSec que vous pouvez mettre en œuvre, avec beaucoup plus de facilité, que de vous aventurer sur le terrain des WAF. Ils sont connus pour leurs faux positifs et leur dégradation des performances, ce qui affectera inévitablement l'expérience de vos utilisateurs finaux légitimes.
  

Nous n'aimons pas non plus appeler Aikido Firewall un WAF, mais il remplit toutes les mêmes fonctions avec beaucoup plus de précision et d'efficacité.

Quelle est la suite ?

Félicitations pour avoir terminé votre tour d'horizon rapide des acronymes AppSec !

Que vous vous sentiez obligé de continuer avec cette liste d'acronymes interminable pour vous former, ou que vous souhaitiez vous cacher de tout ce qui touche à la sécurité dans le confort douillet de votre IDE en mode sombre, rappelez-vous que l'objectif n'est pas de devenir un dictionnaire AppSec ambulant. Personne ne sera impressionné si vous pouvez élaborer pendant dix minutes sur les différences entre ASPM, CSPM, DSPM et tous les autres — ils seront impressionnés si vous pouvez rapidement recommander le bon outil AppSec pour leur situation exacte.