Qualys renforce l’automatisation de la sécurité des applications Web
février 2017 par Marc Jacob
Qualys, Inc. annonce de nouvelles fonctionnalités dans son offre WAS de sécurité des applications Web, notamment l’analyse, la détection et la correction rapides et évolutives des sites Web, des applications mobiles et des interfaces de programmation d’applications (API) via une plate-forme unifiée. Grâce aux nouvelles fonctionnalités de Qualys Web Application Scanning (WAS) 5.0 et de Web Application Firewall (WAF) 2.0, les entreprises peuvent scanner des milliers d’applications Web et d’API à l’aide de WAS 5.0, déployer des patches virtuels d’un seul clic pour les vulnérabilités détectées à l’aide de WAF 2.0 et tout gérer depuis une plate-forme dans le Cloud centralisée et qui se met automatiquement à jour.
La sécurité des applications Web est complexe en raison d’un paysage des menaces qui évolue en permanence, de l’hétérogénéité des applications Web, mobiles et pour l’Internet des Objets (IoT) et du large éventail de systèmes nécessaires pour gérer la sécurité sur toutes ces applications. Pour faire face à cette complexité, Qualys étend l’analyse automatisée des vulnérabilités des applications Web aux API et ajoute des fonctionnalités de personnalisation étendues pour le WAF, des contrôles simplifiés ainsi que des règles de sécurité renforcées.
Les entreprises peuvent désormais utiliser une plate-forme Cloud pour dimensionner de manière programmatique l’analyse et la correction rapides des vulnérabilités au sein des applications Web sur les services Web, mobiles et IoT, puis simuler des attaques pour vérifier leur protection. Souple, cette solution permettra aussi aux développeurs et aux ingénieurs système (DevOps) d’intégrer la sécurité des applications Web à leurs processus pour détecter et corriger les vulnérabilités plus tôt dans le cycle de développement, ce qui épargnera de coûteux problèmes de sécurité en phase de production.
« Nous utilisons Qualys WAS pour analyser et sécuriser en permanence l’ensemble de nos applications Web et nous apprécions la rapidité et la précision du service » déclare David Cook, Directeur de la sécurité chez Jive Software. « Nous sommes ravis du service Qualys WAF qui nous permettra d’intervenir rapidement et de répondre aux menaces en déployant des patches virtuels d’un seul clic pour résoudre les vulnérabilités actives. »
Fonctionnalités majeures de WAS 5.0 :
Analyse programmatique des API SOAP et REST - En plus d’analyser les API Simple Object Access Protocol (SOAP), l’architecture Qualys WAS permet désormais de tester les services API REST (REpresentational State Transfer). Il suffit de fournir les emplacements du service dans l’interface utilisateur de Qualys WAS pour que le scanner teste les failles de sécurité applicative courantes.
Analyse du back-end des applis IoT et mobiles - Grâce aux fonctionnalités d’analyse des API SOAP et REST, WAS peut désormais tester les services IoT et les applis mobiles ainsi que les connecteurs Business-to-Business basés sur une API pour y détecter des failles de sécurité avec la précision et l’évolutivité de la solution Qualys Cloud Platform.
Évolutivité sans précédent avec parallélisation des ressources d’analyse – Désormais, WAS équilibre automatiquement la charge d’analyse de nombreuses applications sur un ensemble d’appliances de scanner pour réaliser le scan de manière efficace. Les appliances d’analyse sont ainsi plus actives et traitent une couverture supérieure.
Couverture étendue - Grâce aux améliorations apportées à l’analyse progressive, les entreprises peuvent analyser des sites de très grande taille, une zone à la fois, afin de couvrir des applications volumineuses qu’il est problématique d’analyser dans un délai court.
Fonctionnalités majeures de WAF 2.0 :
Déploiement de patches virtuels en un clic – Intégrée aux solutions WAF et WAS de Qualys, cette fonctionnalité gère à la fois les faux positifs et l’incapacité à corriger rapidement les vulnérabilités. Qualys WAS commence par identifier les vulnérabilités critiques au sein des applications Web puis les équipes chargées de la sécurité utilisent Qualys WAF pour corriger ces vulnérabilités d’un seul clic et bloquer les attaques ciblées. Grâce à ce processus intégré, ces mêmes équipes peuvent protéger rapidement les applis Web, ce qui minimise le nombre de faux positifs.
Des modèles de sécurité prêts à l’emploi pour les plates-formes les plus populaires – Les modèles Wordpress, Joomla, Drupal et Outlook Web Application inclus s’appuient sur les informations de sécurité les plus récentes fournies par Qualys. De plus, ils offrent des politiques de sécurité totalement personnalisables et facilitent la surveillance en continu des applications Web critiques pour l’activité.
WAF est disponible sur VMWare, Hyper-V et Amazon Web Services et comprend l’équilibrage de charge des serveurs Web, des bilans de santé des applications Web critiques, des règles de sécurité sur mesure à partir des attributs des requêtes HTTP, des profils Secure Socket Layer réutilisables, des journaux d’événements avec des informations détaillées et une gestion WAF centralisée.
Disponibilité
Qualys WAS 5.0 et WAF 2.0 sont disponibles immédiatement sous forme d’abonnements à l’année. Les tarifs indiqués ci-dessous sont fonction du nombre d’applications Web et d’appliances virtuelles :
Web Application Scanning
À partir de 1695 euros pour les petites entreprises
À partir de 2495 euros pour les plus grandes entreprises
Web Application Firewall
À partir de 1995 euros pour les petites entreprises
À partir de 9995 euros pour les plus grandes entreprises