Vous applications mobiles sont-elles protégées ?
Tests de sécurité des applications mobiles rapides, abordables et à la demande

Il est facile d'exploiter les failles des applications mobiles. La majorité des intrusions dans des applications mobiles (96 %) ne sont pas particulièrement difficiles à exécuter.  

*Source : 2012 Data Breach Investigations Report (DBIR), Verizon Business, avril 2012

Une solution est désormais disponible pour les problèmes de sécurité des applications mobiles 

L'adoption rapide des appareils mobiles et l'explosion des applications mobiles constituent des défis de sécurité considérables pour les organisations. Les équipes de sécurité informatique déjà surchargées doivent désormais s'occuper de la sécurité des applications mobiles, bien qu'elles ne disposent bien souvent pas des ressources et des compétences nécessaires pour évaluer minutieusement les risques dans le modèle mobile au déploiement rapide. Les applications mobiles constituent par ailleurs une proie facile pour les hackers, ce qui met les données privées de vos clients en danger.

HP Fortify on Demand vous aide à relever les défis liés aux applications mobiles à l'aide d'une solution complète de sécurité mobile. Cette solution est proposée sous la forme d'un service géré, ce qui permet à votre équipe informatique de ne pas devoir se charger de ces tâches en interne.

Développement mobile sécurisé

Utilisez nos analyses de base au cours du processus de conception, afin d'analyser le code, de trouver les failles et d'atténuer les risques. Des conseils utiles sur les corrections à apporter sont proposés dans le détail des données relatives aux failles, dans le détail de la ligne de code et dans les corrections recommandées.

En savoir plus

Analyse de bout en bout

Pour les analyses de niveau Standard et Premium, nous examinons l'ensemble de l'infrastructure technologique : le client, le réseau et le serveur. Les failles détectées dans une des composantes (le client, par exemple) peuvent être utilisées pour tester le serveur, afin de déterminer avec précision les risques auxquels est confrontée l'application mobile.

En savoir plus

Gestion de la réputation

Un tableau de bord et une base de données totalement intégrés sur la réputation de l'application mobile permettent aux entreprises d'élaborer et de mettre en œuvre des politiques BYOD plus intelligentes. Ce service est gratuit pour tous les clients Fortify.

En savoir plus

 

En bref, cela coûte bien moins cher d'intégrer la sécurité dans le processus de développement que de l'ajouter à des applications mobiles déjà en production.
HPE Mobile Research Study
Avantages : des tests de bout en bout de la sécurité des applications mobiles réalisés par un leader avéré du marché

HP Fortify on Demand Mobile utilise une méthodologie de test en trois couches, afin de garantir la sécurité de vos applications mobiles. Fortify on Demand vous offre une expertise considérable dans les tests de sécurité et une technologie de sécurité logicielle leader selon le Gartner MQ, le tout dans le Cloud. Vous bénéficiez ainsi d'une solution complète de sécurité pour vos applications mobiles, que vous pouvez gérer, à laquelle vos partenaires de développement peuvent accéder et que vous pouvez intégrer à d'autres solutions de sécurité logicielle HP Fortify.

 

Fortify identifie les failles de sécurité des applications mobiles en tirant parti des meilleures solutions de test de sécurité du marché et d'études d'experts de la sécurité soutenues par HPE.

Fortify détecte, vérifie et définit l'ordre de priorité des failles de sécurité dans les trois couches et produit des résultats exploitables plus rapidement que n'importe quelle autre solution sur le marché. Déployez toujours vos applications en temps et en heure.

Fortify décuple les efforts de sécurité d'une organisation en mettant immédiatement à sa disposition une équipe de test internationale disponible 24h/24 et 7j/7 pour examiner et valider toutes les analyses. Un Responsable technique du compte est également chargé de gérer le programme.

Élaborez et appliquez une politique BYOD grâce à la base de données de réputation mobile de Fortify qui permet une intégration avec les solutions Mobile Device Management (MDM) et Mobile Application Management (MAM).

Tests de sécurité des applications mobiles

Fortify on Demand mobile vous permet d'adopter une stratégie plus sûre et plus rapide pour la sécurité de vos applications mobiles à tous les stades : développement, achats et lancement. 

Plus les failles sont détectées tôt, moins il sera coûteux d'y remédier. Permettez à vos développeurs de détecter les failles au début du cycle de vie à l'aide d'une analyse régulière du code statique réalisée avec nos abonnements d'analyse de base assortis de recommandations de corrections pour les lignes de code.

La plupart des testeurs de pénétration connaissent la difficulté de tester les applications mobiles. Avant chaque lancement, il vous suffit de télécharger le code binaire de votre application et notre équipe d'experts réalisera une analyse approfondie de votre application à l'aide du Top 10 de l'OWASP (pour les analyses Standard et Premium) et supprimera les faux positifs. Des résultats détaillés et corrélés sont ensuite fournis dans le tableau de bord et le rapport téléchargeable de Fortify on Demand.

Pour les applications fournies par une tierce partie, nous pouvons collaborer avec votre fournisseur, afin de veiller à ce que vous receviez des applications sûres.

Analyses statiques  

Risque des applications

Moyen/élevé

Langages pris en charge

21+*

Taille du fichier de l'application

Toutes les tailles

Catégories de failles

Toutes les catégories

Rapports de conformité

Oui

Rapports du code source libre

Oui

Examen de vérification

Oui

Suppression des faux positifs lien

Oui

Délai d'exécution

1-2 jours

Présentation de ShadowOS

ShadowOS est un outil gratuit qui aide les équipes de sécurité et d'assurance qualité à tester les applications Android à la recherche d'éventuelles failles de sécurité. Il s'agit d'un système d'exploitation personnalisé basé sur KitKat qui intercepte des composants spécifiques du fonctionnement de l'appareil, afin de faciliter les tests réalisés sur les applications. ShadowOS peut contrôler le trafic HTTP/HTTPS, les requêtes SQL Lite et l'accès aux fichiers. En savoir plus et télécharger ShadowOS

Gestion des risques pour les applications mobiles

L'introduction et l'utilisation d'applications tierces peut compromettre la sécurité de l'infrastructure d'une entreprise. Même les applications développées en interne peuvent être à l'origine de fuites d'informations confidentielles sur les employés ou de données de l'entreprise. En proposant une solution facile pour l'analyse des applications mobiles, ainsi que pour étayer les politiques MDM/MAM, Fortify permet aux entreprises d'exercer un plus grand contrôle sur les éventuelles menaces qui pèsent sur leurs informations.

Principales fonctionnalités:

  • Tests de réputation et analyse comportementale gratuits avec plus de 18 catégories de contrôle
  • Combinaison de tests automatisés et manuels dynamiques, du code source et du code binaire
  • Tableau de bord et base de données sur la réputation

Base de données et tests de réputation

Le service Fortify inclut des contrôles de confidentialité pour les applications iOS et Android, qu'il s'agisse d'applications possédées par l'entreprise ou d'applications déployées à partir de l'App Store. Si une application ne figure pas dans notre base de données, il est facile de soumettre une requête : il vous suffit de nous fournir les informations relatives à l'application en question ou de télécharger un code binaire. Les notes sous forme d'étoiles permettent de créer facilement des listes blanches ou des listes noires selon votre politique BYOD.

Analyse comportementale

Le moteur d'analyse comportementale de Fortify constitue l'offre la plus complète du secteur dans ce domaine. Ce test a pour objectif de détecter les comportements malveillants et les fuites de données confidentielles en couvant les vecteurs de test sources, statiques et dynamiques. L'utilisation de bibliothèques non protégées, l'accès ou l'écriture de données privées dans des journaux et des répertoires non protégés et l'analyse de la réputation sur tous les terminaux de trafic sont autant d'exemples de catégories de test.