SAST, DAST et Pentesting : trois approches essentielles pour votre cybersécurité

Pour assurer la sécurité des applications, il est crucial de détecter et de corriger les failles avant qu’elles ne soient exploitées par des attaquants. C’est à ce stade que différentes méthodes, telles que le SAST (Static application security testing) et le DAST (Dynamic application security testing), entrent en jeu. Le SAST évalue minutieusement le code pour identifier les vulnérabilités dès la phase de développement, alors que le DAST met l’application à l’épreuve dans son contexte d’exécution, en couvrant à la fois la partie fonctionnelle et les problèmes de sécurité de la pile HTTP (en testant, par exemple, la sécurité associée à la version de TLS utilisée, ou encore les répertoires en libre listing).

Les activités de tests d’intrusion (pentest) sont un excellent complément aux approches automatisées de type SAST & DAST, car même les meilleures solutions de DAST ne sauraient remplacer l'ingéniosité humaine. Chaque solution présente des limites, mais c’est en les unissant que l'on parvient à une stratégie de sécurité efficace.  

Qu’est-ce que le SAST (Static application security testing) ? 

Le SAST est une méthode d'analyse de code statique destinée à repérer les failles de sécurité dès la première étape du développement. Il s’agit d’un test de type boîte blanche, ce qui signifie que l’ensemble du code source est accessible pour l’analyse, et offre ainsi une visibilité maximale sur les vulnérabilités potentielles.  

Contrairement aux tests dynamiques, le SAST se concentre exclusivement sur l’analyse du code source, sans exécuter l’application. Cette approche permet d’identifier les failles de sécurité dès les premières étapes du développement, avant même l'intégration ou les tests en conditions réelles. 

Comment fonctionne le SAST ? 

Le SAST utilise des outils automatisés qui analysent le code en détail pour identifier des faiblesses connues, comme les injections SQL, les failles XSS (Cross-site scripting) ou encore les mauvaises pratiques de gestion des accès. Son fonctionnement peut être résumé en plusieurs étapes : 

1. Analyse statique du code : l’outil parcourt le code source et identifie les motifs susceptibles d’engendrer des failles de sécurité. 

2. Détection des failles : l’outil compare le code analysé avec une base de données de vulnérabilités connues (OWASP top 10, SANS/CWE…).

3. Création d’un rapport : un rapport détaillé est produit, signalant les failles identifiées et proposant des recommandations de correction.

4. Correction et réévaluation : les développeurs corrigent les vulnérabilités signalées, et une nouvelle analyse peut être effectuée pour garantir la correction effective. 

Types de tests réalisés par le SAST 

Le SAST permet d’identifier plusieurs types de vulnérabilités, parmi lesquelles : 

• Injection SQL : identification de requêtes mal sécurisées permettant d’accéder à des bases de données sensibles. 

• Cross-site scripting (XSS) : analyse des entrées utilisateur pour éviter l'exécution de scripts malveillants. 

• Mauvaise gestion des accès : vérification des permissions et de la gestion des rôles utilisateurs. 

• Fuite des données sensibles : identification des clés API, mots de passe ou données confidentielles laissées dans le code. 

• Failles de logique applicative : identification des erreurs pouvant être exploitées pour contourner les protections en place. 

Avantages et inconvénients du SAST

Avantages : 

• Facilite une identification anticipée des faiblesses, réduisant ainsi les coûts associés aux corrections. 

• Automatisable et intégrable dans un processus CI/CD pour réaliser des tests en continu. 

• Ne nécessite pas de déployer l’application sur un serveur, ce qui permet de faire plus de tests, plus souvent, parfaitement intégrés aux développements itératifs. 

Inconvénients : 

• Ne détecte pas les vulnérabilités liées à l'exécution de l’application (par exemple : configuration du serveur, interactions avec l'environnement). 

• Peut produire des faux positifs, exigeant une confirmation manuelle des résultats. 

• Le SAST est limité aux langages de développement supportés par l’outil utilisé, ce qui peut poser problème pour les technologies très récentes.  

Exemples d’outils SAST 

Les entreprises se servent de divers outils SAST pour l’automatisation de l’analyse du code, en voici quelques-uns : 

• Checkmarx est un outil de SAST qui peut être connecté aux pipelines CI/CD mais qui présente des faiblesses dans les résultats et dans sa capacité à tenir la charge (incompatibilité avec les environnements K8S par exemple).   

• Fortify Static Code Analyzer est une solution de SAST qui présente les meilleurs résultats en termes de détection, de support des langages de développement et déployable sur des environnements Kubernetes en mode haute scalabilité.  

Qu’est-ce que le DAST (Dynamic application security testing) ? 

Le Dast est une technique d’analyse dynamique qui facilite la découverte des vulnérabilités de sécurité en faisant fonctionner l’application et en examinant ses interactions en temps réel. À l’inverse du SAST, qui privilégie l’analyse du code source, le DAST met l’accent sur l'application en cours d'exécution, imitant les comportements d’un attaquant. 

Comment fonctionne le DAST ?  

Le DAST fonctionne en évaluant de manière proactive une application en cours d’exécution afin d’identifier des failles exploitables. Voici les étapes clés de son processus de fonctionnement : 

• Exploration de l’application : le DAST cartographie les différentes pages et fonctionnalités accessibles. 

• Tests d'intrusion automatisés : il tente d’exploiter des failles telles que les injections SQL ou les failles XSS. 

• Création d’un rapport : un résumé des vulnérabilités identifiées est élaboré, comprenant des suggestions pour leur résolution.  

Avantages et inconvénients du DAST 

Avantages : 

• Détecte les vulnérabilités exploitables en conditions réelles. 

• Peut être utilisé sur des applications en production sans nécessiter l’accès au code source. 

• Permet d’identifier des failles liées aux configurations et interactions avec d’autres systèmes. 

Inconvénients : 

• Ne permet pas de repérer des failles cachées dans le code. 

• Nécessite souvent une validation manuelle pour interpréter correctement les résultats. 

• Peut être limité par des contraintes de sécurité empêchant certains tests en production. 

Exemples d’outils DAST 

Voici quelques outils couramment utilisés pour le DAST :

• Fortify Scancentral DAST est un outil de tests dynamiques qui permet une scénarisation des tests de sécurité en enregistrant des sessions de navigation. Il est compatible avec des tests à grande échelle (plusieurs milliers de “sensors”) et un déploiement des sondes sur infrastructure client. 

• Burp Suite est un outil qui sert à examiner et attaquer les applications web. 

Qu’est-ce que le Pentest (test d’intrusion) ? 

Le pentest, ou test d’intrusion, est une approche proactive en matière de cybersécurité qui vise à simuler une attaque réelle contre un système, une application ou un réseau pour identifier les failles de sécurité exploitables par un attaquant. 

Comment fonctionne le Pentesting ? 

Contrairement au SAST, qui analyse le code en amont, le Pentesting se réalise en conditions réelles sur une application en cours d'exécution. Il passe par plusieurs phases : 

1. Reconnaissance : collecte d’informations concernant la cible (par exemple : adresse IP, technologies utilisées…). 

2. Analyse des vulnérabilités : identification des faiblesses qui pourraient être exploitées. 

3. Post-exploitation : tentative d'exploitation en vue de compromettre le système voire de se propager.

4. Rapport et recommandation : compte rendu des vulnérabilités détectées accompagné de suggestions pour leur résolution. 

Types de tests réalisés avec le Pentesting

Les tests d’intrusion peuvent être classés en plusieurs catégories : 

• Test en boîte blanche (audit de sécurité white box) : l’auditeur a un accès total au système et au code source.

• Test en boîte grise (audit de sécurité grey box) : l’auditeur dispose d’un accès restreint aux informations du système, généralement via un compte non privilégié permettant d’accéder à l’application ou au système visé. 

• Test en boîte noire (audit de sécurité black box) : l’auditeur n’a aucune information préalable et simule une attaque sans connaissance particulière du système. 

Avantages et inconvénients du Pentesting   

Avantages : 

• Permet de déceler des failles dans des conditions réelles d’exploitation. 

• Aide à tester la robustesse des défenses en place. 

• Fournit des insights précieux sur la surface d’attaque et les risques réels encourus. 

Inconvénients : 

• Peut s’avérer coûteux et chronophage. 

• Les résultats sont valables le jour même de la fin du test : non intégré/intégrable dans les pipelines CI/CD, une faille apparaissant dans l’application le lendemain ne sera évidemment pas couverte 

• Nécessite des compétences de haut niveau pour une réalisation efficace.

• Non intégrable aux cycles d'itération : un pentest ne peut pas être connecté au pipeline CI/CD et ne peut pas être réalisé à chaque nouvelle version de l’application. 

• Périmètre limité : souvent restreint à quelques jours (3 ou 4) pour réduire les coûts, ce qui implique une couverture non exhaustive et une priorité donnée aux failles les plus critiques.    

Exemples d’outils Pentesting 

Parmi les instruments couramment utilisés pour les tests d’intrusion, on retrouve : 

• Metasploit est un framework utilisé pour l’exploitation des failles de sécurité. 

• Burp Suite est un outil permettant d’explorer des applications web et d'altérer les requêtes HTTP pour tenter diverses attaques.  

• Nmap est un outil de scan de réseau pour examiner les services disponibles sur un réseau. 

— Le saviez vous –

Les tests d’intrusion (pentest) en mode boîte noire (sans information) sont plus révélateurs d’une attaque réalisée par des personnes malveillantes, alors pourquoi fait-on des tests en mode boîte grise ou blanche (avec un maximum d’informations) ?

Les tests d’intrusion sont forcément “bornés” dans le temps, pour des raisons de coûts et/ou de disponibilité des intervenants, voire parfois de compétences. En permettant au pentester de démarrer son test sans passer par les premières étapes (découverte, tentative d’accès, récupération d’un premier compte…), on simule une attaque pour laquelle ces étapes auraient déjà été réussies. On base donc l’approche sur une forte probabilité que les attaquants puissent arriver à rentrer dans le système et on teste leur possible capacité à progresser. Ainsi, on tente d’atteindre un juste équilibre entre charge de réalisation (nombre de jours passés) et résultats.

—

Comparaison entre le SAST, Pentesting et le DAST

En intégrant le SAST, le DAST et le Pentesting, les entreprises peuvent bénéficier d’une couverture complète des vulnérabilités et renforcer leur posture en cybersécurité. 

Au final  

Même si le test de type SAST représente un excellent premier pas dans le test de sécurité, aucune méthode ne peut, à elle seule, garantir une protection complète des applications. Le SAST et le DAST s’intègrent facilement dans un pipeline CI/CD, et offrent ainsi aux développeurs une surveillance en continu des vulnérabilités. Cependant, le DAST, par son automatisation, reste limité dans son potentiel à découvrir les vulnérabilités complexes.   

Le pentest, bien qu’indispensable pour identifier des vulnérabilités complexes, n’est pas adapté à un modèle DevSecOps et globalement, à des organisations de développements agiles. Sa réalisation ponctuelle, son coût élevé et la difficulté de communication entre pentesters et développeurs limitent son efficacité dans un cycle de développement rapide. 

Organisé et délivré par des plateformes de tests de sécurité offensifs, le Bug Bounty se présente comme une option plus souple et performante. Il mobilise un ensemble de hunters qui multiplient les approches et les techniques pour détecter un large éventail de vulnérabilités. De plus, les rapports sont standardisés et compréhensibles, facilitant ainsi leur exploitation par les équipes de développement. 

Certaines plateformes proposent même des tests en mode différentiel permettant de mettre le focus sur une partie de l’application (celle qui a changé au cours du sprint) et ainsi de réaliser plus de tests, plus régulièrement.

Yogosha est une plateforme de sécurité offensive qui permet aux entreprises d’organiser des campagnes de  Bug Bounty. Elle permet, entre autres, de sélectionner la géolocalisation des hunters qui vont intervenir (France, Europe, Monde) pour satisfaire à certains aspects réglementaires. 

Si SAST et DAST ont su évoluer avec les nouvelles méthodes de développement, le pentest sur application web (Test d’intrusion web ou TI web) est, pour sa part, parfois resté coincé à l’époque du MVC (développement web en mode Modèle-vue-contrôleur qui date de 1978). Il reste un bon complément aux tests automatisés, même si le Bug Bounty présente plus d’avantages et de flexibilité.

En combinant les tests automatisés, l’expertise humaine et les collaborations externes, les entreprises peuvent adopter une stratégie de cybersécurité plus agile et proactive, capable d’évoluer face aux nouvelles menaces.