Dynamic Application Security Testing

Fonds national pour la société numérique
Technologie de Sécurité & Résilience des Réseaux

Le projet DAST associe cinq partenaires:

  • Inria, Projet CASSIS, partenaire Recherche,
  • NBS System, société spécialisée dans la sécurité informatique,
  • Smartesting, éditeur dans le domaine de la génération de tests, pilote du projet,
  • Thales Services SAS, société du Groupe Thales, regroupant des activités de conception, d’intégration et d’opération de systèmes d’information et d’applications critiques pour les gouvernements et les entreprises, ainsi que des activités de recherche et d’innovation sur la sécurité du système d’information au sein de son laboratoire ThereSIS (Thales European Research centre for Security & Information Systems)
  • Trusted Labs, société spécialisée dans le conseil et les évaluations de sécurité

Inria – Projet Cassis

http://www.loria.fr/equipes/cassis

Contact: Fabrice Bouquet

L'objectif de l'équipe-projet Cassis de l’Inria est la conception et la réalisation d'outils pour vérifier la sûreté des systèmes à nombre infini d'états. Notre analyse des systèmes se fonde sur une représentation symbolique des ensembles d'états comme langages formels ou formules logiques. La sûreté est obtenue par la preuve automatique, l'exploration symbolique de modèles, ou la génération de tests. Ces méthodes de validation sont complémentaires mais s’appuyant sur les mêmes théories développées par l’équipe-projet. Une originalité de l'équipe-projet réside dans sa focalisation sur les systèmes infinis, paramétrés ou de grande taille, sur lesquels chaque technique prise séparément montre ses limites. Comme exemples de tels systèmes nous pouvons citer les protocoles opérant sur des topologies de taille arbitraire (réseaux en anneaux), les systèmes manipulant des structures de données de taille quelconque (ensembles), ou dont le contrôle est infini (automates communicants par tampon non borné).

Les applications visées ou en cours sont les logiciels embarqués par exemple sur cartes à puce, les protocoles de sécurité et les systèmes répartis.

NBS System

http://www.nbs-system.com/

Contact: Arnaud Becquart

La société NBS System a été fondée en juin 1999. Nos deux principales activités sont l’hébergement et l’infogérance de serveurs d’une part, la sécurité informatique d’autre part.
La société a été fondée autour de valeurs toujours primordiales à ce jour:

  • Innovation
  • Expertise
  • Réactivité
  • Service
Une société est à l’image de ses membres et les nôtres sont indéniablement des passionnés. Notre activité croît régulièrement depuis 4 ans au rythme moyen de plus de 40 % par an et nous comptons à ce jour plus de 2000 sites hébergés (dont plus de 1500 sites d'e-commerce) et plus de 200 tests de sécurité.

Smartesting

http://www.smartesting.com

Contact: Julien Botella

Smartesting® est une société de technologie innovante créée en mai 2003 pour industrialiser et commercialiser des solutions de génération automatique de tests à partir de spécifications. L’offre est structurée autour du produit Smartesting CertifyIt prenant en entrée des modèles en UML et BPMN. Smartesting CertifyIt automatise la génération des tests à partir de modèles et produit des scripts permettant d’exécuter les tests générés dans les environnements d’exécution cibles. Smartesting compte actuellement 35 salariés dont 18 en R&D produit. Le centre R&D et le siège social sont situés à Besançon, et l’entreprise compte des bureaux commerciaux et d’accompagnement clients à Paris, à Boston (USA) et à Bangalore (pour le marché Indien).

Le développement commercial a été réalisé en particulier dans le domaine des transactions électroniques (Carte à puce, Terminaux et Middleware) et est aujourd’hui focalisé sur les grands systèmes d’information (systèmes multi-applicatifs, applications Web, client-serveur, ERP). La technologie Smartesting CertifyIt™ est actuellement déployée chez différents grands comptes: Manhattan Associates (éditeur de progiciel dans le domaine de la grande distribution), SFR (dans le cadre d’une sous-traitance de test menée par Steria), BNP Paribas (pour des applications financières, back-office et front-office), Dassault Systèmes (sur des applications autour de l’ERP Peoplesoft), ….

Thales Services SAS

http://www.thalesgroup.com/

Contact: Daniel Gidoin

Thales Services SAS, société du Groupe Thales, regroupe des activités d’ingénierie de développement et d’innovation, d’intégration et d’opération de systèmes d’information et d’applications critiques pour les gouvernements et les entreprises. Au cœur de la chaîne de décision, Thales Services SAS a pour mission d’aider ses clients à décider rapidement dans des situations critiques. A ce titre, elle est un acteur majeur du domaine de la sécurité. Menant une politique produit réduisant les cycles de développement et les risques, Thales Services SAS a une vision à long terme, dans des domaines techniques clés. Thales Services SAS est fortement engagée dans des activités de recherche et d’innovation sur la sécurité du système d’information au sein de son laboratoire ThereSIS (Thales European Research centre for Security & Information Systems), rattaché aux Etudes Amonts de la Division Systèmes C4I de Défense et Sécurité.

Thales s’est engagée dans ce projet, guidée par sa volonté d’être à tout moment en capacité d’anticiper les nouvelles menaces tout en améliorant sans cesse la résilience des systèmes de ses clients, pour qu’ils soient en mesure d’assurer leurs missions avec une efficacité optimale en toute circonstance.

Trusted Labs

http://www.trusted-labs.com/

Contact: Boutheina Chetali

Trusted Labs est une société reconnue de conseil et d’évaluation en sécurité avec plus de 13 ans d’expérience dans les systèmes et solutions embarqués (circuits intégrés, cartes à puces, dispositifs de sécurité, terminaux mobiles connectés).
Basée en France et impliquée sur des projets en Europe, Asie et Amérique du Nord, Trusted Labs fournit aux industriels, distributeurs, opérateurs mobiles, schémas de paiement et fournisseurs de services une expertise unique en:

  • évaluation sécuritaire, via notre laboratoire certifié ISO17025 et nos outils de validation d’applications ;
  • support à la certification sécuritaire, entre autres Critères Communs :
    • méthodes formelles
    • analyses de risques
    • revues d’architectures
    • formations et audits (par exemple ISO 27001)
  • définition de schémas d’évaluation sécuritaire et de prototypes Java Card™.