DevSecOps                                                                                                                                                                                                                                                                             

          Fortify - Sécuriser vos logiciels de leur production à leur exploitation


          - Analyse statique et dynamique de code, protection de vos applications (dont "legacy") en production. 

          - Développez des pratiques pour créer et exploiter des logiciels plus sûrs - pensez SecDevOps

          Résumé corporate
          Le saviez-vous?

          • Plus de 84% des failles de sécurité se produisent au niveau applicatif (rapport du Gartner Magic Quadrant)
          • Les vulnérabilités critiques sur les applications web concerne t plus de la moitié des applications en production chaque jour (rapport Micro Focus février 2015),
          • 52 % des applications web présentent des failles avec la validation des entrées, des failles de type XSS (Cross Site Scripting), des vulnérabilités de type "injection SQL",
          • 33 % des applications ne sont jamais testées contre les failles de sécurité.

          Et vous ?

          Démarche

          SAST - Test Statique du code de vos applications

          Tout ce que vous considérez écrire peut être raconté comme une histoire.L'analyse statique de code (SAST) permet la recherche de vulnérabilités dans votre code source. L'un des bénéfices consiste à identifier très précisément les lignes de code qui peuvent être vulnérables à des attaques.

          Toutefois, les analyses statiques (SAST) ne permettent pas de savoir ce qui se passera au runtime, lorsque l'application fonctionne en conditions réelles. Si vous développez dans un langage particulier (par exemple C++), il vous faudra un outil capable de scanner votre code source.

          DAST -  Test Dynamique de vos applications

          L'analyse dynamique de sécurité (DAST) permet de trouver les vulnérabilités dans un code en fonctionnement. L' un des bénéfices de cette approches est de tester l'application en condition réelle, et de tester des vulnérabilités potentiellement utilisées par des attaquants.


           

          IAST - Test de sécurité interactif de vos applications


          Un test interactif d'application fonctionnera typiquement en instrumentant votre application (avec un agent) qui analysera votre application en fonctionnement. Cette solution apporte des éléments complémentaires à l'analyse dynamique de type DAST, en permettant de savoir de manière sûre l'origine d'une vulnérabilité.

          RASP - Protection des applications en fonctionnement


          La protection automatique des applications (RASP) permet de prévenir et logger des attaques qui se passeraient au niveau de l'application. Elle permet aussi d'empêcher des attaques et -à la manière d'un WAF (Web Application Firewall) - cela permet de protéger chaque application, même si cette dernière est vulnérable

          Ce n'est pas une technologie de test mais bien une technologie de protection lors du fonctionnement des applications.

            SCA - Développez sécurisé

            Solution transparente et intégrée à votre environnement actuel pour sécuriser vos développements - Demandez une présentation de SCA

            Odoo • une photo avec une légende
            Intégration fortify

            Prise en charge des langages de programmation de pointe

            Analysez le code source écrit par les développeurs dans leurs langages de programmation favoris. Prenez 25 langages en charge, dont Java, C#, C, C++, Swift et PHP.


            Dénichez davantage d'erreurs, corrigez-les plus facilement et créez de meilleures applis !

            Soyez sûr de l'efficacité optimale de votre logiciel : dénichez davantage d'erreurs, réduisez le nombre de faux positifs, soyez mieux informé et profitez des recommandations correctives.


            Obtenez des résultats en quelques minutes !

            Accélérez vos opérations DevOps en obtenant les résultats d'analyse en quelques minutes. Éliminez tout besoin d'analyse partielle ou incrémentielle, susceptible de ne pas voir certains problèmes critiques .


            « Nous l'intégrons à cet outil ! »

            Servez-vous des outils qu'utilisent déjà les développeurs ! Les intégrations, par exemple environnements IDE, outils de versions, référentiels de code, suivi des bogues, systèmes de tickets et une API extensible, simplifient plus que jamais la sécurité des applications.


            Recherche et support de pointe

            Soutenu par la plus vaste équipe de recherche jamais dédiée à la sécurité des applications. Détecte 763 catégories différentes de vulnérabilités, dans 25 langages de programmation et plus de 911 000 API uniques.


            Disponible sur site, sous forme de service ou en solution hybride

            Optez pour l'option sur site ou sous forme de service, puis allez plus loin selon les besoins de votre entreprise. Gérez votre programme sur site ou sous forme de service de manière centralisée.                                                                                  

            Demander une démonstration ou un essai

            WebInspect

            Surveillance des vulnérabilités en production

            Odoo • une photo avec une légende
            Demandez une présentation de WebInspect - Détection des vulnérabilités de plateformes en production

            L'outil d'analyse dynamique le plus complet et le plus précis

            Balayez facilement la technologie Web et les infrastructures modernes. Démontrez le potentiel exploitable des vulnérabilités des applications et des serveurs Web.

            Automatisation et intégration du flux de travail en entreprise

            Solution entièrement automatisée pour répondre aux besoins DevOps et d'évolutivité. S'intègre au cycle de développement sans surcoût.

            Disponible sur site, sous forme de service ou en solution hybride

            Optez pour l'option sur site ou sous forme de service, puis allez plus loin selon les besoins de votre entreprise. Gérez votre programme sur site ou sous forme de service de manière centralisée. 

            Gestion de la conformité

            Stratégies et rapports préconfigurés pour les principales réglementations de conformité liés à la sécurité des applications sur le Web, notamment PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP et HIPPAA

            Gérer les risques de sécurité pour les applications de l'entreprise

            Gérez les risques de sécurité pour vos applications et créez des rapports facilitant les mesures de correction et la supervision de la gestion. Surveillez les tendances et corrigez les vulnérabilités présentes dans chaque application.

            Optimiser les résultats d'analyse grâce à la technologie des agents

            Gagnez en visibilité et obtenez de précieux renseignements sur le suivi de la pile à partir des applications Web analysées. Optimisez le processus d'analyse et gagnez en vitesse et en précision grâce à cette technologie.


            Demander une démonstration ou un essai

              AppDefender

            Protégez vos applications en production

            Odoo • une photo avec une légende
            Demandez une présentation de AppDefender - Protection de vos applications en temps réel

            Aucune formation nécessaire pour un pare-feu WAF

            Renforcez ou remplacez votre pare-feu WAF par une protection en continu contre les vulnérabilités que vous connaissez, mais aussi celles que vous ignorez.


            Détection et protection en temps réel

            Faites la différence entre une attaque réelle et une demande légitime. Protégez vos applications en production contre les toutes nouvelles menaces inédites (Zero Day).


            Solide sécurité des applications

            31 catégories de règles de protection contre les attaques de sécurité des applications, les tentatives d'exploit et autres violations de données comme l'injection de code SQL, les scripts de site à site et la violation de la confidentialité.


            Facilité d'installation et de gestion

            Bénéficiez d'une protection instantanée, sans modifier une seule ligne de code, puis gérez et contrôlez cette protection depuis une console centralisée et conviviale.


            Visibilité des journaux pour les applications Web Java ou .NET

            Pour corriger les vulnérabilités plus rapidement, fournissez le détail du code aux développeurs. Transmettez les journaux et les événements d'exploit à un système SIEM ou un gestionnaire de journaux, sans rien changer au code source.


            Disponible sur site, sous forme de service ou en solution hybride

            Démarrez rapidement et évoluez selon vos besoins, dans le Cloud ou sur site.

            SSC - Gestion du cycle de vie des vulnérabilités

            Un point unique pour gérer toutes les vulnérabilités découvertes par les outils: analyse statique de code, analyse dynamique, défense des applications en production... Toutes vos vulnérabilités gérées avec un seul outil qui permet de gérer des workflows de résolution.

            Gestion centralisée de la sécurité des applications

            Pour corriger les vulnérabilités plus rapidement, fournissez le détail du code aux développeurs. Transmettez les journaux et les événements d'exploit à un système SIEM ou un gestionnaire de journaux, sans rien changer au code source.


            Exploiter l'apprentissage machine pour automatiser les audits

            Pour automatiser la validation des problèmes de sécurité, servez-vous de l'apprentissage machine. Tirez parti de la base de connaissances de Fortify qui contient les décisions d'audit précédentes ou de vos propres données d'audit.


            Flexibilité dans la gestion des rapports, précision dans la gestion des risques

            Obtenez une vue globale des activités liées à la sécurité des applications : risques, problèmes de tendance, mesures de correction, améliorations, rapports et gestion de la conformité.


            Une collaboration fluide dans toute l'entreprise

            Réunissez les professionnels de la sécurité et les équipes de développement et de l'assurance qualité afin qu'ils puissent communiquer et collaborer à l'établissement des priorités et la résolution des problèmes de sécurité des applications.