Stratégies de conformité
Vous pouvez appliquer les stratégies de conformité prédéfinies, ainsi que vos propres stratégies de conformité personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
ASoC inclut une sélection de stratégies de conformité prédéfinies. Vous pouvez également créer vos propres stratégies de conformité personnalisées à l'aide de nos fonctions prédéfinies. La création et la gestion de stratégies de conformité sont disponibles via l'interface utilisateur et l'API REST. Vous pouvez associer jusqu'à cinq stratégies à n'importe quelle application. En outre, vous pouvez appliquer une stratégie de référence, qui ne prendra en compte que les problèmes trouvés après une date et une heure spécifiées.
Remarque : Lorsque vous associez une stratégie de conformité à une application, elle est activée par défaut. Vous pouvez désactiver la stratégie de conformité tout en conservant l'association, pour la réactiver ultérieurement.
Remarque : Lorsque vous supprimez une stratégiede conformité, toutes les associations sont supprimées.
Remarque : Si aucune stratégie de conformité n'est activée, une application est considérée comme conforme que si elle ne présente aucun problème actif de gravité critique, élevée, moyenne ou faible. Vous pouvez associer et activer des stratégies de conformité pour remplacer cette conformité par défaut.
Stratégies de conformité prédéfinies
Toutes les stratégies de conformité prédéfinies sont disponibles via l'interface utilisateur, ainsi que via l'API. Les stratégies disponibles sont les suivantes :
| Norme du secteur | Conformité aux réglementations |
|---|---|
| Rapport CWE Top 25 Most Dangerous Software Weaknesses 2021 | CANADA Freedom of Information and Protection of Privacy Act (FIPPA) |
| Rapport CWE Top 25 Most Dangerous Software Weaknesses 2023 | UE Digital Operational Resilience Act (DORA) |
| Norme internationale - ISO 27001 | Règlement général sur la protection des données (RGPD) de l'UE |
| Norme internationale - ISO 27002 | Directive relative à la sécurité des réseaux et des informations (NIS2) |
| Publication spéciale NIST 800-53 | Payment Application Data Security Standard |
| Rapport OWASP Top 10 API Security 2019 | South Africa Protection of Personal Information Act (PoPIA) |
| Rapport OWASP API Security Top 10 2023 | The Payment Card Industry Data Security Standard (PCI DSS) – V4 |
| Norme de vérification de la sécurité des applications OWASP V4.0.3 | US California Consumer Privacy Act (CCPA) - AB-375 |
| Rapport OWASP Top 10 Cloud-Native Application Security | US DISA's Application Security and Development STIG. V6R1 |
| Rapport OWASP Top 10 2017 | US Electronics Funds and Transfer Act (EFTA) |
| Rapport OWASP Top 10 2021 | US Federal Information Security Modernization Act (FISMA) |
| Rapport OWASP Top 10 Mobile 2016 | US Federal Risk and Authorization Management Program (FedRAMP) |
| Classification des menaces par le consortium WASC v2.0 | US Health Insurance Portability and Accountability Act (HIPAA) |
| US Sarbanes-Oxley Act (SOX) |
Stratégie de conformité de référence
La stratégie de conformité de référence calcule la conformité en fonction des problèmes trouvés dans l'application pour la première fois après une date définie. Contrairement aux stratégies de conformité prédéfinies, une stratégie de conformité de référence est spécifique à une seule application.
La stratégie de conformité de référence n'est pas comptabilisée comme l'une des cinq stratégies qui peuvent être associées à une application. Vous pouvez avoir cinq stratégies associées, ainsi qu'une stratégie de conformité de référence.
Définir une stratégie de référence pour une application :
- Sur la page Applications, cliquez sur un nom d'application pour ouvrir la page de l'application.
- Cliquez sur .
- Cliquez sur Ajouter une stratégie de conformité de référence (ou, s'il en existe déjà une, Mettre à jour la stratégie de conformité de référence).
- Ajustez la date et l'heure si nécessaire, puis cliquez sur Définir la référence.
Remarque : Si vous promouvez un examen personnel dans une application avec une stratégie de conformité de référence datant d'après l'examen personnel, les problèmes trouvés dans l'examen ne changeront pas le statut de l'application. En effet, les problèmes sont comptabilisés à partir du moment où ils ont été découverts, et non pas à partir du moment où l'examen a été promu.
Stratégies de conformité personnalisées
Vous pouvez créer vos propres stratégies de conformité personnalisées. Pour plus d'informations, voir Création de stratégies de conformité personnalisées.