Qualys ajoute des fonctionnalités d’analyse progressive et continue à sa solution d’analyse des applications Web

Qualys WAS 4.0 offre désormais des premières fonctionnalités d’analyse continue et progressive, une nécessité, selon l'édieur, pour accélérer la navigation et l’impact de l’analyse sur les sites Web à la fois vastes et complexes. En outre, Qualys WAS comprend désormais des options de reporting plus souples pour fournir des mesures ciblées et aider les entreprises à minimiser les risques liés aux vulnérabilités non découvertes.

Le web est devenu le principal vecteur de cyberattaques, rappelle Qualys, dans la mesure où les pirates concentrent leurs efforts sur la découverte de nouveaux moyens pour pénétrer les défenses via les applications Web, comme le rappelle la récente vulnérabilité Shellshock (https://community.qualys.com/blogs/laws-of-vulnerabilities/2014/09/24/bash-shellshock-vulnerability). Les tests manuels ne parviennent donc, ni à découvrir, ni à analyser efficacement un grand nombre d’applications Web, ce qui rend indispensable une analyse progressive et automatisée pour résoudre ce problème à grande échelle.

« De plus en plus d’entreprises de toute taille s’intéressent aux tests de sécurité des applications (AST). Lors de l'apparition des tests AST, les entreprises se focalisaient sur les tests dynamiques de leurs applications Web en frontal avec Internet. Cependant, les tests AST pour l’entreprise dépassent désormais largement ce critère, et les fonctionnalités AST se sont étendues sur plusieurs dimensions, » ont déclaré Neil MacDonald, vice-président et analyste et Joseph Feiman, vice-président de la recherche chez Gartner, dans un rapport intitulé « Critical Capabilities for Application Security Testing » (publié le 22 septembre 2014).

Le service Qualys Web Application Scanning dans le Cloud procède à l’analyse et aux tests automatisés d’applications Web personnalisées pour identifier les vulnérabilités, notamment les scripts intersite (XSS) et l’injection de codes SQL. Automatisé, ce service effectue régulièrement des tests pour obtenir des résultats cohérents et réduire le nombre de faux positifs. Cette solution évolutive permet aussi de sécuriser facilement un grand nombre de sites Web. De plus, Qualys WAS analyse les sites Web de manière proactive pour y détecter des infections à base de codes malveillants et envoyer des alertes aux propriétaires des sites Web concernés. Le but étant d’éviter leur inscription sur une liste noire maintenue par les moteurs de recherche ainsi que les dommages à leur réputation. Aujourd’hui, grâce à l’analyse progressive et continue, les entreprises peuvent configurer les analyses de sites Web lors de fenêtres de scan spécifiques et de manière automatisée. Grâce au nouvel algorithme d’analyse progressive, Qualys WAS ne scanne que les parties du site Web qui ont été modifiées entre deux analyses, ce qui réduit l’impact du scan global.

La toute dernière version de Qualys WAS fournit :

  • Une navigation progressive qui étend dans la durée la couverture des tests aux applications Web. Chaque scan s’appuie sur les informations obtenues lors des précédentes analyses, ce qui permet de donner la priorité aux pages récemment identifiées par rapport à celles précédemment testées.
  • Des tests progressifs qui renforcent la souplesse de l’analyse en lançant puis en interrompant et en relançant automatiquement les scans sur vos réseaux sans intervention manuelle.
  • De nouveaux modèles de rapport qui fournissent des options de reporting sur mesure afin de réduire sensiblement la durée du reporting.

« Dans notre monde toujours plus numérique, les applications Web sont le nouveau champ de bataille des attaquants qui cherchent à accéder aux données des entreprises et des particuliers, » déclare Philippe Courtot, Chairman et CEO de Qualys, Inc. « Depuis le début, notre solution d’analyse des applications Web intègre montée en charge et précision pour anticiper la croissance explosive des applications Web. Aujourd’hui, grâce à ces nouvelles fonctionnalités d’analyse progressive, nous avons atteint une nouvelle étape qui, en association avec notre firewall pour applications Web récemment lancé, permet aux entreprises de toute taille d’assurer la sécurité de leurs applications Web. »

Pour plus d’informations sur les tarifs et les offres d’abonnement destinées aux grands comptes et PME : https://www.qualys.com/enterprises/qualysguard/web-application-scanning/.