Fortify - Sécuriser vos logiciels de leur production à leur exploitation

Gold partner Security

DevSecOps

Analyse statique et dynamique de code, protection de vos applications (dont "legacy") en production

Développez des pratiques pour créer et exploiter des logiciels plus sûrs - pensez SecDevOps

[![Analyse statique de code](/images/Partenaires/Microfocus/DevSecOps-1-SCA.png){: class="w100 myCard"}](<#SCA>) [![Protection des applications](/images/Partenaires/Microfocus/DevSecOps-3-AppDefender.png){: class="w100 myCard"}](<#AppDefender>) [![Analyse dynamique de code](/images/Partenaires/Microfocus/DevSecOps-2-WebInspect.png){: class="w100 myCard"}](<#WebInspect>) [![Mise sous contrôle des vulnérabilités](/images/Partenaires/Microfocus/DevSecOps-4-SSC.png){: class="w100 myCard"}](<#SSC>)

Résumé corporate

  • Plus de 84% des failles de sécurité se produisent au niveau applicatif (rapport du Gartner Magic Quadrant),
  • Les vulnérabilités critiques sur les applications web concerne t plus de la moitié des applications en production chaque jour (rapport Micro Focus février 2015),
  • 52 % des applications web présentent des failles avec la validation des entrées, des failles de type XSS (Cross Site Scripting), des vulnérabilités de type "injection SQL",
  • 33 % des applications ne sont jamais testées contre les failles de sécurité.

Et vous ?

Démarche

SAST - Test statique du code de vos applications

  • L'analyse statique de code (SAST) permet la recherche de vulnérabilités dans votre code source,
  • Un des bénéfices consiste à identifier très précisément les lignes de code qui peuvent être vulnérables à des attaques,
  • Toutefois, les analyses statiques (SAST) ne permettent pas de savoir ce qui se passera au runtime, lorsque l'application fonctionne en conditions réelles,
  • Si vous développez dans un langage particulier (par exemple C++), il vous faudra un outil capable de scanner votre code source.

DAST - Test dynamique de vos applications

  • L'analyse dynamique de sécurité (DAST) permet de trouver les vulnérabilités dans un code en fonctionnement,
  • Un des bénéfices de cette approches est de tester l'application en condition réelle, et de tester des vulnérabilités potentiellement utilisées apr des attaquants,
  • Un des défauts de l'approche DAST est que vous n'aurez pas nécessairement l'indication claire du n° de ligne où se trouve le code à corriger.

IAST – Test de sécurité interactif de vos applications

  • Un test interactif d'application fonctionnera typiquement en instrumentant votre application (avec un agent) qui analysera votre application en fonctionnement,
  • Cette solution apporte des éléments complémentaires à l'analyse dynamique de type DAST, en permettant de savoir de manière sûre l'origine d'une vulnérabilité.

RASP - Protection des applications en fonctionnement

  • La protection automatique des applications (RASP) permet de prévenir et logger des attaques qui se passeraient au niveau de l'application;
  • La protection automatique des applications (RASP) permet d'empêcher des attaques et -à la manière d'un WAF (Web Application Firewall)- permet de protéger chaque application, même si cette dernière est vulnérable,
  • La technologie RASP n'est pas une technologie de test mais bien une technologie de protection lors du fonctionnement des applications.
# SCA - Développez sécurisé [![Sans changer vos habitudes sécurisez vos développements](/images/Partenaires/Microfocus/Fortify-Integration.png){: class="w100 myCard"}
Solution transparente et intégrée à votre environnement actuel pour sécuriser vos développements - Demandez une présentation de SCA](<Contact>) **Prise en charge des langages de programmation de pointe** Analysez le code source écrit par les développeurs dans leurs langages de programmation favoris. Prenez 25 langages en charge, dont Java, C#, C, C++, Swift et PHP. **Dénichez davantage d'erreurs, corrigez-les plus facilement et créez de meilleures applis !** Soyez sûr de l'efficacité optimale de votre logiciel : dénichez davantage d'erreurs, réduisez le nombre de faux positifs, soyez mieux informé et profitez des recommandations correctives. **Obtenez des résultats en quelques minutes !** Accélérez vos opérations DevOps en obtenant les résultats d'analyse en quelques minutes. Éliminez tout besoin d'analyse partielle ou incrémentielle, susceptible de ne pas voir certains problèmes critiques. [![Recherche de failles par analyse statique avec Static Code Analyser](/images/Partenaires/Microfocus/SCA.png){: class="w100 myCard"}
Demandez une présentation de SCA - Analyse statique des failles dans le code](<Contact>) **« Nous l'intégrons à cet outil ! »** Servez-vous des outils qu'utilisent déjà les développeurs ! Les intégrations, par exemple environnements IDE, outils de versions, référentiels de code, suivi des bogues, systèmes de tickets et une API extensible, simplifient plus que jamais la sécurité des applications. **Recherche et support de pointe** Soutenu par la plus vaste équipe de recherche jamais dédiée à la sécurité des applications. Détecte 763 catégories différentes de vulnérabilités, dans 25 langages de programmation et plus de 911 000 API uniques. **Disponible sur site, sous forme de service ou en solution hybride** Optez pour l'option sur site ou sous forme de service, puis allez plus loin selon les besoins de votre entreprise. Gérez votre programme sur site ou sous forme de service de manière centralisée. [Demandez une démonstration et un essai](<Contact>){: class='nl-cta'}
# WebInspect - Surveillance des vulnérabilités en production [![Détecter les failles sur les plateformes de production avec WebInspect](/images/Partenaires/Microfocus/WebInspect.png){: class="w100 myCard"}
Demandez une présentation de WebInspect - Détection des vulnérabilités de plateformes en production](<Contact>) **L'outil d'analyse dynamique le plus complet et le plus précis** Balayez facilement la technologie Web et les infrastructures modernes. Démontrez le potentiel exploitable des vulnérabilités des applications et des serveurs Web. **Automatisation et intégration du flux de travail en entreprise** Solution entièrement automatisée pour répondre aux besoins DevOps et d'évolutivité. S'intègre au cycle de développement sans surcoût. **Disponible sur site, sous forme de service ou en solution hybride** Optez pour l'option sur site ou sous forme de service, puis allez plus loin selon les besoins de votre entreprise. Gérez votre programme sur site ou sous forme de service de manière centralisée. **Gestion de la conformité** Stratégies et rapports préconfigurés pour les principales réglementations de conformité liés à la sécurité des applications sur le Web, notamment PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP et HIPPAA **Gérer les risques de sécurité pour les applications de l'entreprise** Gérez les risques de sécurité pour vos applications et créez des rapports facilitant les mesures de correction et la supervision de la gestion. Surveillez les tendances et corrigez les vulnérabilités présentes dans chaque application. **Optimiser les résultats d'analyse grâce à la technologie des agents** Gagnez en visibilité et obtenez de précieux renseignements sur le suivi de la pile à partir des applications Web analysées. Optimisez le processus d'analyse et gagnez en vitesse et en précision grâce à cette technologie. [Demandez une démonstration et un essai](<Contact>){: class='nl-cta'}
# AppDefender - Protégez vos applications en production [![Protégez vos applications avec AppDefender](/images/Partenaires/Microfocus/AppDefender.png){: class="w100 myCard"}
Demandez une présentation de AppDefender - Protection de vos applications en temps réel](<Contact>) **Aucune formation nécessaire pour un pare-feu WAF** Renforcez ou remplacez votre pare-feu WAF par une protection en continu contre les vulnérabilités que vous connaissez, mais aussi celles que vous ignorez. **Détection et protection en temps réel** Faites la différence entre une attaque réelle et une demande légitime. Protégez vos applications en production contre les toutes nouvelles menaces inédites (Zero Day). **Solide sécurité des applications** 31 catégories de règles de protection contre les attaques de sécurité des applications, les tentatives d'exploit et autres violations de données comme l'injection de code SQL, les scripts de site à site et la violation de la confidentialité **Facilité d'installation et de gestion** Bénéficiez d'une protection instantanée, sans modifier une seule ligne de code, puis gérez et contrôlez cette protection depuis une console centralisée et conviviale. **Visibilité des journaux pour les applications Web Java ou .NET** Pour corriger les vulnérabilités plus rapidement, fournissez le détail du code aux développeurs. Transmettez les journaux et les événements d'exploit à un système SIEM ou un gestionnaire de journaux, sans rien changer au code source. **Disponible sur site, sous forme de service ou en solution hybride** Démarrez rapidement et évoluez selon vos besoins, dans le Cloud ou sur site. [Demandez une démonstration et un essai](<Contact>){: class='nl-cta'}
# SSC - Gestion du cycle de vie des vulnérabilités > Un point unique pour gérer toutes les vulnérabilités découvertes par les outils: analyse statique de code, analyse dynamique, défense des applications en production... Toutes vos vulnérabilités gérées avec un seul outil qui permet de gérer des workflows de résolution. [![Gestion des vulnérabilités avec SSC](/images/Partenaires/Microfocus/SSC.png){: class="w100 myCard"}
Demandez une présentation de SSC - Gestion des vulnérabilités](<Contact>) **Gestion centralisée de la sécurité des applications** Centralisés et exhaustifs, les tableaux de bord et les rapports simplifient la gestion des risques logiciels au sein de l'entreprise. Les équipes de développement et de sécurité sont à même de collaborer, de trier et de corriger les failles à mesure de leur évolution, dans une unique vue unifiée. **Exploiter l'apprentissage machine pour automatiser les audits** Pour automatiser la validation des problèmes de sécurité, servez-vous de l'apprentissage machine. Tirez parti de la base de connaissances de Fortify qui contient les décisions d'audit précédentes ou de vos propres données d'audit. **Flexibilité dans la gestion des rapports, précision dans la gestion des risques** Obtenez une vue globale des activités liées à la sécurité des applications : risques, problèmes de tendance, mesures de correction, améliorations, rapports et gestion de la conformité. **Une collaboration fluide dans toute l'entreprise** Réunissez les professionnels de la sécurité et les équipes de développement et de l'assurance qualité afin qu'ils puissent communiquer et collaborer à l'établissement des priorités et la résolution des problèmes de sécurité des applications. **Augmenter la vitesse et l'efficacité par l'automatisation** Publiez et fusionnez automatiquement les analyses de sécurité dans SSC, puis transmettez ces résultats à toute l'entreprise au travers d'outils comme les environnements IDE, les détecteurs de bogues, les serveurs de versions et les outils d'orchestration. **« Nous l'intégrons à cet outil ! »** Servez-vous des outils qu'utilisent déjà vos développeurs ! Les intégrations, par exemple des environnements IDE, outils de versions, référentiels de code, suivi des bogues, systèmes de tickets et une API extensible, simplifient plus que jamais la sécurité des applications. [Demandez une démonstration et un essai](<Contact>){: class='nl-cta'}

Accompagnement, formations

G-echo vous propose de l'intégration, des formations, de l'accompagnement autour des outils Microfocus.

Formulaire de contact

By G-echo