Durée: 12 mois
Rubrique: Architecte cybersécurité
Dans ce module, nous allons découvrir les différentes méthodologies utilisées pour l'analyse des vulnérabilités. L'analyse statique et l'analyse dynamique sont deux approches fondamentales pour déceler les vulnérabilités d'un logiciel ou d'un système.
L'analyse statique, ou SAST, implique l'examen du code source d'une application pour déceler les erreurs de codage potentielles qui pourraient entraîner des vulnérabilités. Elle est effectuée sans exécuter le programme et est donc essentiellement une revue de code assistée par ordinateur.
En revanche, l'analyse dynamique, ou DAST, consiste à tester l'application en cours d'exécution dans un environnement de test pour identifier les failles de sécurité. Cette méthode peut repérer des vulnérabilités qui ne sont pas visibles dans le code source mais qui peuvent être exploitées lors de l'exécution du programme.
Ensuite, nous abordons la différence entre l'analyse manuelle et l'analyse automatisée. L'analyse manuelle implique qu'un expert humain examine le code ou teste l'application pour trouver des vulnérabilités. Cependant, cette approche est souvent plus lente et nécessite des compétences particulières. L'analyse automatisée, souvent utilisée conjointement avec l'approche manuelle, utilise des outils d'analyse de vulnérabilités pour examiner le code ou l'application de manière plus rapide et systématique.
Finalement, nous passons en revue les méthodes d'évaluation : SAST, DAST, IAST (Interactive Application Security Testing) et RASP (Runtime Application SelfProtection). L'IAST combine les avantages des approches SAST et DAST, tandis que le RASP offre une protection en temps réel contre les attaques en identifiant et en bloquant les comportements malveillants pendant l'exécution de l'application.