Une sécurité simple, rapide et précise pour vos applications web

Les applications web sont le vecteur d'attaque le plus souvent à l'origine des violations de données de nos jours. Découvrez comment Tenable.io Web Application Scanning, une solution de Tenable Research, peut aider les équipes de sécurité à protéger leur parc d'applications web.

Il n'est pas exagéré de dire que les applications web sont devenues essentielles dans le monde entier. Elles fournissent des informations et des actualités vitales aux acteurs clés, permettent d'exécuter des campagnes marketing et de traiter des ventes. Elles vous aident également à mieux vous impliquer auprès de vos clients et à optimiser vos interactions avec eux. Alors que le numérique gagne du terrain dans les entreprises, en particulier en ce moment, nous constatons que les applications web sont devenues très importantes dans de nombreuses situations. Cela va des fournisseurs de solutions de soins qui déploient de nouveaux portails de télémédecine aux épiceries de quartier qui mettent en place des services de vente en ligne. Juste un chiffre pour illustrer ce propos : nous atteindrons bientôt les 2 milliards d'applications web dans le monde¹.

La plupart des applications web sont par nature facilement accessibles pour des utilisateurs externes, or cette caractéristique est également leur principal point faible. Elles sont notoirement vulnérables. En fait, cela représente des dizaines de milliards de vulnérabilités à haut risque que les attaquants peuvent cibler avec des exploits. Il n'est donc pas étonnant que les applications web restent invariablement le principal vecteur d'attaque à l'origine des violations de données².

Les applications web modernes évoluent sans cesse et les équipes de sécurité ont donc beaucoup de mal à suivre le rythme des mises à jour continuelles et des nouvelles vulnérabilités divulguées. Malheureusement, la plupart des entreprises ne disposent pas des ressources adéquates de sécurité applicative.³ Pour couronner le tout, de nombreuses solutions coûtent très cher et leur utilisation nécessite une grande expertise. Trop peu d'équipes de sécurité disposent d'un processus complet pour sécuriser les applications web en même temps que leurs assets IT, ce qui complique encore la situation.

Résultat : pour la grande majorité des applications web, aucune évaluation n'est effectuée à la recherche de vulnérabilités critiques susceptibles d'immobiliser une activité, d'interrompre toutes les transactions client ou de provoquer une perte de données client confidentielles.

Nul besoin d'un doctorat pour sécuriser le PHP

L'un des moyens les plus simples pour réduire la complexité de la sécurité applicative consiste à étendre les plateformes actuellement déployées afin de protéger vos applications web. Non seulement cela simplifie votre pile technologique de sécurité, mais cela vous permet en outre de tirer profit des workflows que vous connaissez déjà pour lancer de nouveaux scans, analyser les résultats de ces scans, prioriser les vulnérabilités et personnaliser le reporting. C'est tout particulièrement vital pour les entreprises du secteur de la sécurité qui n'ont pas d'équipe d'experts dédiés sous la main. 

C'est pourquoi nous avons créé Tenable.io Web Application Scanning, une solution conçue par des équipes de sécurité, pour des équipes de sécurité. Les utilisateurs peuvent configurer des scans en quelques minutes plutôt que de passer des heures ou des jours à essayer d'obtenir des résultats significatifs. Grâce à Tenable Research, la plus grande équipe de recherche sur les vulnérabilités du secteur, nous sommes en mesure de fournir une couverture des vulnérabilités complète et précise pour vos applications web. 

Lorsque de nouvelles vulnérabilités dangereuses sont découvertes par notre équipe SRT (Security Response Team), des plug-ins sont rapidement ajoutés dans Tenable.io Web App Scanning pour permettre aux utilisateurs de détecter les vulnérabilités correspondantes et d'y remédier. Lors d'une récente attaque sur des plug-ins WordPress, les nouveaux plug-ins de détection ont été publiés en l'espace de quelques heures. De plus, toutes les applications web évaluées par Tenable.io Web App Scanning sont ajoutées à la vue des assets Tenable.io avec vos assets cloud et IT classiques, ce qui vous procure une visibilité unifiée sur l'ensemble de votre surface d'attaque. 

Découvrez les nouveautés remarquables de Tenable.io Web App Scanning

Nous avons considérablement optimisé Tenable.io Web App Scanning. Depuis le 30 avril, nous proposons aux nouveaux clients qui ont choisi Tenable.io Web App Scanning plusieurs améliorations importantes. Si vous étiez déjà client, vous allez apprendre à tirer parti de ces nouveautés en seulement quelques semaines. Voici les nouvelles fonctionnalités qui vous attendent :

• Des dashboards totalement intégrés pour une visibilité unifiée. Les données de Tenable.io Web App Scanning sont maintenant totalement intégrées dans la bibliothèque de widgets et les dashboards Tenable.io. Créez de nouveaux widgets et dashboards personnalisés pour combiner dans la même vue unifiée les données de vulnérabilité des assets IT et cloud ainsi que celles de vos applications web. Vous pourrez ainsi plus facilement analyser et explorer en détail les applications web comme vous le feriez avec d'autres assets de votre surface d'attaque afin de rechercher et de corriger les vulnérabilités les plus importantes. 

• Prise en charge des applications monopage pour des détections plus efficaces. Un nouveau moteur de scan de pointe prend désormais en charge les applications monopage dynamiques basées sur JavaScript que ne peuvent pas voir de nombreux scanners d'applications web. De nouveaux plug-ins permettent de prendre en charge Apache Solr, les vulnérabilités de type fuite du code source et des dizaines de vulnérabilités de composant dans PHP, Joomla et Drupal.
• Découverte rapide des failles courantes des applications web. Les modèles de scan prédéfinis vous permettent de rapidement identifier les problèmes de cyber-hygiène courants de ces applications en lien avec les certificats SSL/TLS et les mauvaises configurations d'en-têtes HTTP. Il faut quelques secondes pour configurer ces scans et quelques minutes pour obtenir les résultats.

Et comme elle a été conçue par Tenable Research, la solution Tenable.io Web App Scanning hérite des atouts que réunit cette équipe de recherche de rang mondial : n° 1 en couverture des CVE et n° 1 en précision des scans et en rapidité de détection des nouvelles vulnérabilités. Vous avez ainsi la garantie que vos équipes de développement ne perdent plus de temps sur la remédiation de faux positifs et ne passent pas à côté de vulnérabilités qu'un attaquant pourrait exploiter.

Essayez Tenable.io Web App Scanning gratuitement

À partir du 30 avril, tous les clients Tenable.io ont accès à Tenable.io Web App Scanning gratuitement pendant 30 jours, même s'ils ont déjà utilisé la version d'essai. Ils recevront une invitation qui leur permettra d'accepter l'évaluation directement dans Tenable.io. Découvrez par vous-même comment les données de sécurité des applications web s'intègrent dans vos dashboards et workflows actuels pour offrir une visibilité unifiée.

Pas encore client Tenable.io ? Aucun problème. Vous avez tout de même la possibilité d'essayer Tenable.io Web App Scanning gratuitement pour voir à quel point il est facile de configurer rapidement de nouveaux scans d'application web et d'analyser les résultats.

En savoir plus sur Tenable.io Web App Scanning

Envie d'en savoir plus avant de commencer l'évaluation gratuite ? Suivez notre prochain webinaire, « RCEs and Remote Employees. How Vulnerable Are Your Web Apps? » le 20 mai. Nous vous communiquerons les toutes dernières informations issues d'études sur les vulnérabilités des applications web et les menaces, et vous proposerons une démo très complète de Tenable.io Web App Scanning. Réservez votre place. Inscrivez-vous maintenant.

Essai gratuit

_{1. https://www.internetlivestats.com/total-number-of-websites/
2. Data Breach Investigations Report (Rapport annuel 2019 sur la violation des données), Verizon, 2019
3. The Life and Times of Cybersecurity Professionals 2018 (Rapport 2018 sur les professionnels de la cyber-sécurité), ESG, 2019}