Dynamic Application Security Testing

Fonds national pour la société numérique
Technologie de Sécurité & Résilience des Réseaux

Description de l'innovation

L’innovation vise le marché du test de vulnérabilité des grands systèmes d’information, en nous concentrant sur le niveau applicatif, qui constitue le marché à plus forte croissance du domaine de l’Assurance Qualité logiciel, tant au niveau du service que de l’outillage.
Par sa nature même (l’extrême hétérogénéité des formes d’attaques), le test de vulnérabilités s’appuie sur différentes technologies pour sa mise en œuvre (cf section précédente). Les vulnérabilités doivent être appréhendés par l’analyse du réseau, du code ou du bytecode applicatif, mais aussi par du test dynamique en situation pour tester les vulnérabilités recherchées. C’est sur ce dernier point que porte le projet DAST. Les innovations portées par le projet DAST se situe à trois niveaux principaux :

  • Dans les capacités de génération automatique de tests de vulnérabilités appuyées conjointement sur des patterns de test et sur une modélisation de l’intelligence comportementale applicative ;
  • La solution DAST se décline par verticale Métier. C’est l’ensemble Infrastructure de génération + Patterns de test & modèles génériques, par Métiers, qui constituent la solution ;
  • Dans la liaison entre la génération des tests de vulnérabilités et l’automatisation (la génération des scripts exécutables), qui permet d’assurer une continuité depuis l’objectif de test jusqu’au script exécutable.

Structuration du projet

La structure du projet est la suivante :

  • SP1 – Analyse de vulnérabilités et définition des patterns de test
    • T1.1 – Méthodes pour l’analyse des vulnérabilités pour le test
    • T1.2 – Modélisation de l’intelligence comportementale
    • T1.3 – Formalisation des patterns de test
  • SP2 – Plate-forme pour la génération de tests de vulnérabilités à partir de patterns
    • T2.1 – Moteur de génération pour le test de vulnérabilités
    • T2.2– Pilotage de la génération de tests à partir de patterns
    • T2.3 – Couplages Générateur de tests / Gestionnaires de tests / Bancs de test
    • T2.4 – Reporting-Traçabilité / Analyse de couverture de vulnérabilités
  • SP3 – Verticalisation sur Domaines Métier et Méthodologie
    • T3.1 – Applications Web / e-Commerce
    • T3.2 – Système C2 de surveillance aérienne
    • T3.3 – Evaluation des résultats et Consolidation de la méthodologie de Test de Vulnérabilité
  • SP4 – Dissémination et exploitation
    • T4.1 – Dissémination
    • T4.2 – Préparation de l’exploitation
  • SP0 – Management de projet