CAST presents

Les faux positifs : un risque dans la sécurité logicielle

Il n’y a plus de doute aujourd’hui sur l’importance de mettre en œuvre l’Analyse de Sécurité Statique des Logiciels (SAST) dans un dispositif global qui traite aussi l’analyse dynamique et les tests de pénétration. Il faut cependant, dans un contexte de ressources rares tant au niveau du développement que dans les équipes de sécurité, être à même de faire la part entre les vrais et les faux positifs. En effet, il ne sert à rien de détecter même 100% des vrais positifs s’ils sont noyés au milieu d’un plus grand nombre de faux positifs.

  • Transmettre pour corrections des faux positifs aux équipes de développement, c’est la certitude que rapidement plus aucune correction ne sera entreprise.
  • Confirmer manuellement les vrais positifs au milieu d’un océan de faux positifs peut rapidement épuiser une équipe de sécurité.

La sécurité doit pouvoir se vérifier au niveau des architectures et pas simplement au niveau des pratiques de développement. Il faut pouvoir bénéficier des analyses de sécurité au plus tôt (shift left) et pouvoir les compléter par une approche au niveau architectural aux moments-clés du cycle de vie (DevSecOps). Ces trois dernières années, CAST a accéléré considérablement son investissement dans la sécurité. Nous vous invitons à découvrir comment les atouts naturels de CAST, en matière de compréhension globale des systèmes, s’appliquent à la sécurité et en font une plateforme exceptionnelle dans ce domaine.

  • Capable de concurrencer les "pure players" de la sécurité en réduisant fortement le taux de faux positifs
  • Supporte un large panel de langages et contrôle l’architecture
  • Est aligné sur l’ensemble des normes et standards de l’industrie : CWE, OWASP, PCI DSS, STIG,NIST ...

Sylvain Cailliau
CAST Software

Sylvain Cailliau
Évangéliste et Expert Technique

Avec ses 30 ans d’expérience dans l’industrie de l’édition de logiciels, Sylvain est spécialiste de l’ADM et plus particulièrement des méthodes Agiles et DevOps. Enthousiaste et passionné, Sylvain accompagne les leaders digitaux dans la transformation de leurs organisations grâce à sa connaissance approfondie du fonctionnement des systèmes complexes tout en considérant toujours les enjeux business. Membre de la commission nationale du titre d’ingénieur et Ingénieur de formation à SUPINFO, sa devise est "In Code we Trust".