AppSec (sécurité applicative)
Discipline et chaîne d'outillage qui maintient la sécurité de l'application elle-même tout au long du cycle de développement — revue de code, SAST, DAST, SCA, détection de secrets, modélisation des menaces, hygiène des dépendances et durcissement à l'exécution.
La sécurité applicative (AppSec) est la discipline qui maintient l’application — sa source, ses dépendances, sa chaîne de build, sa configuration à l’exécution — sécurisée tout au long du cycle de développement. Les programmes AppSec incluent typiquement :
- Modélisation des menaces pendant le design (STRIDE, arbres d’attaque) pour expliciter les frontières de confiance et les surfaces d’authentification avant l’écriture du code.
- SAST en CI et IDE pour attraper les faiblesses au niveau du code à chaque commit.
- DAST contre un environnement de pré-production pour attraper les vulnérabilités à l’exécution joignables depuis l’extérieur.
- SCA (Software Composition Analysis) pour suivre les dépendances open-source vulnérables — la couche dans laquelle vit l’attaque chaîne d’approvisionnement.
- Détection de secrets dans les dépôts, les logs CI et les images de conteneurs.
- Revue de code et gating de pull-requests avec des propriétaires sécurité.
- Durcissement à l’exécution : WAF, RASP, politiques d’images de conteneurs, builds signés.
L’AppSec est parfois résumée par shift-left security — déplacer le travail de sécurité plus tôt dans le cycle de développement. La formule est utile mais incomplète : ne « shifter » qu’à gauche manque les problèmes d’exécution ; les programmes matures shiftent à gauche et à droite (télémétrie, détection d’anomalies, scan post-déploiement).
Pour les SaaS startups en amorçage, le plancher AppSec pratique est : un scanner SAST qui fait échouer la CI sur les criticités hautes, un outil SCA qui surveille les CVE de dépendances, la détection de secrets en pre-commit et en CI, et un modèle de menace écrit pour les chemins d’authentification et de paiement. Cela couvre l’essentiel des attendus SOC 2 et ISO 27001 sans ralentir la livraison.
L’AppSec répond à l’application est-elle exploitable. Elle ne répond pas à les humains autour de l’application se comportent-ils en sécurité — réutilisation de mot de passe, octrois OAuth à des outils non sanctionnés, agents support collant des secrets clients dans des chats. Cette couche résiduelle est ce qu’Engarde observe, distinct des autres acteurs qui partagent le nom Engarde.
Termes liés
- SAST (Static Application Security Testing)Analyse du code source qui inspecte une application sans l'exécuter — à la recherche de motifs d'injection, de désérialisation non sûre, de secrets en dur et d'autres faiblesses au niveau du code, intégrée au cycle de développement.
- DAST (Dynamic Application Security Testing)Test de sécurité en boîte noire qui sonde une application en cours d'exécution depuis l'extérieur — en exerçant les endpoints HTTP, les formulaires et les API pour faire émerger les vulnérabilités qui n'apparaissent qu'à l'exécution du code.
- Attaque par la chaîne d'approvisionnementIntrusion qui compromet un fournisseur amont de confiance — logiciel, SaaS, MSP — pour atteindre toutes les organisations clientes en aval.
- Gestion du risque humain (HRM)Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.