Accueil
Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
Etape 3 : Détermination des risques et hiérarchisation des vulnérabilités
Apprenez à déterminer les risques et hiérarchiser les vulnérabilités identifiées dans une application.
Détermination du risque
Maintenant que la direction et les analystes de sécurité ont une vue globale des applications au sein de l'entreprise, il est temps d'obtenir une image complète du risque de sécurité pour les applications. Utilisez des formules pour créer des règles pour la classification automatisée des actifs d'application. Le calcul automatisé de l'évaluation des risques de sécurité d'une application repose sur la description de l'application ainsi que sur les vulnérabilités détectées.
Détermination de la gravité des problèmes
Les analystes de sécurité peuvent utiliser des scores CVSS pour déterminer la gravité des problèmes et hiérarchiser les correctifs de vulnérabilité pour leur organisation.
Scores CVSS
Le score CVSS reflète l'impact d'une vulnérabilité sur la sécurité globale. Il s'agit d'un score composite qui reflète les mesures de trois catégories distinctes : De base, Temporelle et Environnementale.

Bienvenue
Bienvenue dans la documentation HCL AppScan Enterprise 10.6.0, dans laquelle vous trouverez des informations sur l'installation, la maintenance et l'utilisation d'HCL AppScan Enterprise.
Fonctions d'accessibilité d'AppScan® Enterprise
Les fonctions d'accessibilité permettent aux utilisateurs souffrant d'un handicap (mobilité ou vision réduite, par exemple) de se servir efficacement des produits utilisant les technologies de l'information.
Présentation du produit
Installation
Apprenez à installer le produit.
Mise à niveau et migration
Apprenez à mettre à niveau le produit.
Intégration
Apprenez à intégrer le produit à d'autres solutions.
DevOps
Apprenez à étendre les fonctionnalités du produit en utilisant les API REST et les plug-ins.
Meilleures pratiques
Familiarisez-vous avec les meilleures pratiques d'utilisation du produit.
Configuration
Apprenez à configurer le produit.
Administration
Apprenez à administrer le produit.
Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
- Etape 1 : Création d'un inventaire d'applications
  Apprenez à créer un inventaire d'applications.
- Etape 2 : Test des applications pour identifier les vulnérabilités
  Apprenez à tester les vulnérabilités identifiées dans une application.
- Etape 3 : Détermination des risques et hiérarchisation des vulnérabilités
  Apprenez à déterminer les risques et hiérarchiser les vulnérabilités identifiées dans une application.
  - Détermination du risque
    Maintenant que la direction et les analystes de sécurité ont une vue globale des applications au sein de l'entreprise, il est temps d'obtenir une image complète du risque de sécurité pour les applications. Utilisez des formules pour créer des règles pour la classification automatisée des actifs d'application. Le calcul automatisé de l'évaluation des risques de sécurité d'une application repose sur la description de l'application ainsi que sur les vulnérabilités détectées.
    - Composants d'une formule
      Les administrateurs de produit peuvent utiliser n'importe lequel des composants ci-dessous dans les formules d'attributs.
    - Exemples de fonctions
      Les fonctions ci-après sont utilisées dans les formules comportant des attributs.
    - Formules intégrées
      Utilisez les formules intégrées comme point de départ pour créer ou personnaliser vos propres formules.
    - Personnalisation de la formule d'évaluation des risques
      La formule d'évaluation des risques est l'attribut le plus important utilisé pour décrire vos applications. Cet exemple permet de personnaliser l'évaluation des risques intégrée. Dans cet exemple, l'impact sur l'activité est calculé automatiquement en fonction de différents attributs de l'application.
    - Création d'attributs avec des formules
      Créez et éditez des attributs contenant des formules afin de calculer les évaluations de risques pour les applications ou afin d'afficher des informations sur les problèmes dans les récapitulatifs des applications. Supprimez les attributs de formule qui ne sont plus pertinents.
    - Modification des formules
      Vous pouvez modifier les formules intégrées d'AppScan Enterprise pour les personnaliser en fonction de vos besoins. Par exemple, la formule Open Issues inclut les problèmes new, open et reopened dans ses calculs. Si cela ne correspond pas à vos exigences, vous pouvez la modifier pour inclure seulement les problèmesopen et reopened.
    - Détermination de la gravité des problèmes
      Les analystes de sécurité peuvent utiliser des scores CVSS pour déterminer la gravité des problèmes et hiérarchiser les correctifs de vulnérabilité pour leur organisation.
      - Scores CVSS
        Le score CVSS reflète l'impact d'une vulnérabilité sur la sécurité globale. Il s'agit d'un score composite qui reflète les mesures de trois catégories distinctes : De base, Temporelle et Environnementale.
      - Détermination de la gravité du problème
        AppScan® Enterprise détermine la gravité d'un problème à l'aide de la formule de calcul de la gravité ou d'un attribut de problème "Valeur de gravité".
      - Changement de la gravité d'un problème via la modification de son score CVSS
        Le changement de gravité d'un problème est effectué sur la base de chaque problème de sorte que vous puissiez analyser chaque vulnérabilité par rapport à votre risque métier. Lors du triage des problèmes, vous pouvez changer la gravité d'un problème en remplaçant manuellement le score CVSS préalablement calculé par la valeur de gravité de sorte que vous puissiez prioriser sa gravité par rapport aux autres problèmes. La modification de la gravité permet de transmettre la criticité d'un problème à l'équipe de développement et à l'équipe de gestion de sorte que les vulnérabilités les plus graves soient corrigées en premier.
  - Hiérarchisation des vulnérabilités
    Découvrez comment hiérarchiser les vulnérabilités identifiées dans une application.
- Etape 4 : Résolution des risques
  Apprenez à éliminer les risques identifiés dans une application.
- Etape 5 : Mesure de la progression et démonstration de la conformité
  Apprenez à mesurer la progression et à démontrer la conformité.
Traitement des incidents et support
Pour vous aider à comprendre, à isoler et à résoudre les incidents liés à vos logiciels HCL®, les informations de traitement des incidents et de support technique contiennent les instructions à suivre pour utiliser les ressources d'identification des incidents fournies avec les produits HCL.
Référence
Consultez les informations de référence relatives au produit.
Glossaire

Scores CVSS

Le score CVSS reflète l'impact d'une vulnérabilité sur la sécurité globale. Il s'agit d'un score composite qui reflète les mesures de trois catégories distinctes : De base, Temporelle et Environnementale.

Le score est calculé en fonction des informations (par exemple des valeurs) qui sont disponibles pour une ou plusieurs de ces mesures. Plus le nombre d'informations disponible dans chaque mesure est élevé, plus le score CVSS est ciblé. Dans AppScan Enterprise, les valeurs de chaque mesure sont mappées avec les attributs d'un problème (vulnérabilité en matière de sécurité) ou avec l'application dans laquelle le problème a été détecté. Ces attributs ne peuvent pas être supprimés ni modifiés dans AppScan Enterprise ; toutefois, vous pouvez modifier leurs valeurs.

Tableau 1. Mesures CVSS
Groupe d'indicateurs	Nom de la mesure	Attribut de problème ou d'application	Définition requise pour calculer le score CVSS
De base	Vecteur d'attaque	Emettre	Oui
	Complexité d'attaque	Emettre	Oui
	Privilèges requis	Emettre	Oui
	Interaction utilisateur	Emettre	Oui
	Portée	Emettre	Oui
	Impact sur la confidentialité	Emettre	Oui
	Impact sur l'intégrité	Emettre	Oui
	Impact sur la disponibilité	Emettre	Oui
Temporelle	Maturité du code d'exploitation	Emettre	Non*
	Niveau de résolution	Emettre	Non*
	Niveau de fiabilité du rapport	Emettre	Non*
Environnementale Ces mesures contribuent également à l'évaluation de la gravité générale de l'application.	Modification des métriques de base	Application	Non*
	Exigence de disponibilité	Application	Non*
	Exigence de confidentialité	Application	Non*
	Exigence d'intégrité	Application	Non*

Remarque :

* La définition de ces attributs n'est pas obligatoire, mais plus le nombre de mesures définies pour décrire le problème est élevé, plus le score CVSS est ciblé.
Tout attribut facultatif qui n'est pas défini n'est pas inclus dans le calcul du score CVSS.
Le score CVSS ne peut pas être calculé si un attribut requis n'est pas défini. Dans ce cas, la gravité du problème est catégorisée comme Undetermined.
Pour plus d'informations sur les métriques CVSS, consultez les liens suivants :
- Spécification CVSS 3.1
- Spécification CVSS 2.0