Stratégies
Vous pouvez appliquer les stratégies prédéfinies, ainsi que vos propres stratégies personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
AppScan 360° inclut une sélection de stratégies prédéfinies. Vous pouvez également créer vos propres stratégies personnalisées à l'aide de nos fonctions prédéfinies. La création et la gestion de règles sont disponibles via l'interface utilisateur et l'API REST. Vous pouvez associer jusqu'à cinq stratégies à n'importe quelle application. En outre, vous pouvez appliquer une stratégie de référence, qui ne prendra en compte que les problèmes trouvés après une date et une heure spécifiées.
Remarque : Lorsque vous associez une stratégie à une application, elle est activée par défaut. Vous pouvez désactiver la règle tout en conservant l'association, pour la réactiver ultérieurement.
Remarque : Lorsque vous supprimez une règle, toutes les associations sont supprimées.
Remarque : Si aucune stratégie n'est activée, une application est considérée comme conforme que si elle ne présente aucun problème actif de gravité critique, élevée, moyenne ou faible. Vous pouvez associer et activer des stratégies pour remplacer cette conformité par défaut.
Stratégies prédéfinies
Toutes les stratégies prédéfinies sont disponibles via l'interface utilisateur, ainsi que via l'API. Les stratégies disponibles sont les suivantes :
| Norme du secteur | Conformité aux réglementations |
|---|---|
| Rapport CWE Top 25 Most Dangerous Software Weaknesses 2021 | CANADA Freedom of Information and Protection of Privacy Act (FIPPA) |
| Norme internationale - ISO 27001 | Règlement général sur la protection des données (RGPD) de l'UE |
| Norme internationale - ISO 27002 | Directive relative à la sécurité des réseaux et des informations (NIS2) |
| Publication spéciale NIST 800-53 | Payment Application Data Security Standard |
| Rapport OWASP Top 10 API Security 2019 | Conformité PCI |
| Rapport OWASP API Security Top 10 2023 | US California Consumer Privacy Act (CCPA) - AB-375 |
| Rapport OWASP Top 10 Cloud-Native Application Security | US DISA's Application Security and Development STIG. V5R2 |
| Rapport OWASP Top 10 2017 | US Electronics Funds and Transfer Act (EFTA) |
| Rapport OWASP Top 10 2021 | US Federal Information Security Modernization Act (FISMA) |
| Rapport OWASP Top 10 Mobile 2016 | US Federal Risk and Authorization Management Program (FedRAMP) |
| Les 25 faiblesses logicielles les plus dangereuses répertoriées par CWE en 2023 | US Health Insurance Portability and Accountability Act (HIPAA) |
| Classification des menaces par le consortium WASC 2.0 | US Sarbanes-Oxley Act (SOX) |
Stratégie de référence
La stratégie de référence calcule la conformité en fonction des problèmes trouvés dans l'application pour la première fois après une date définie. Contrairement aux stratégies prédéfinies, une stratégie de référence est spécifique à une seule application.
La stratégie de référence n'est pas comptabilisée comme l'une des cinq stratégies qui peuvent être associées à une application. Vous pouvez avoir cinq stratégies associées, ainsi qu'une stratégie de référence.
Définir une stratégie de référence pour une application :
- Sur la page Applications, cliquez sur un nom d'application pour ouvrir la page de l'application.
- Dans la zone Stratégies, cliquez sur Gérer les stratégies.
- Cliquez sur Ajouter une stratégie de référence (ou, s'il en existe déjà une, Mettre à jour la stratégie de référence).
- Ajustez la date et l'heure si nécessaire, puis cliquez sur Définir la référence.
Remarque : Si vous promouvez un examen personnel dans une application avec une stratégie de référence datant d'après l'examen personnel, les problèmes trouvés dans l'examen ne changeront pas le statut de l'application. En effet, les problèmes sont comptabilisés à partir du moment où ils ont été découverts, et non pas à partir du moment où l'examen a été promu.
Règles personnalisées
Vous pouvez créer vos propres stratégies personnalisées. Pour plus d'informations, voir Création de règles personnalisées.