Advanced Vulnerability Assessment (AVA) est une combinaison d'un audit de vulnérabilité du système et d'un audit de vulnérabilité de l'application pour une vue à 360° de votre niveau de sécurité.
Le service AVA est géré par un ingénieur en cybersécurité qui effectue une série de tests de sécurité sur les cibles sélectionnées et vous fournit un rapport d'audit complet et détaillé. Pour chaque vulnérabilité identifiée, le rapport fournit : la criticité, la description, le vecteur d'attaque, l'impact potentiel et la solution.
Le service AVA est basé sur deux solutions d'audit de vulnérabilité complémentaires et leaders sur le marché :
Qualys Vulnerability Management pour les vulnérabilités des systèmes, des infrastructures et des logiciels intermédiaires (CVE)
Analyse des vulnérabilités des adresses IP publiques et privées de tous les composants de votre application.
Acunetix pour les vulnérabilités des applications web (OWASP Top 10)
Solution de test dynamique de la sécurité des applications (DAST)
Scan non authentifié : test de la résistance des formulaires d'authentification, des formulaires d'inscription, des réinitialisations de mot de passe, etc.
Analyse authentifiée : exploitation des fonctions internes de l'application, partitionnement des données, élévation des privilèges, etc.
Analyse de l'API : Types d'API pris en charge : SOAP/XML, REST, GraphQL
Identifiez et corrigez vos failles de sécurité avant que d'autres ne les exploitent !
La première étape consiste à évaluer le périmètre en demandant un test de sécurité. Ce périmètre doit inclure tous les serveurs qui interagissent avec le service d'application.
Dans cet exemple, il s'agira de :
Tous les serveurs exposés sur le frontend.
Tous les serveurs qui calculent le service dans le backend.
Tous les serveurs connexes, comme les serveurs BDD.
Le service est divisé en deux étapes :
Scanner de vulnérabilité du système et de l'infrastructure : Vous devez identifier tous les serveurs actifs du service.
Un scanner d'application web : l'URL de l'application + un profil de scan doit être livré.
Toutes ces informations doivent être remplies dans un document intitulé "Questionnaire de qualification technique" pour vous aider à identifier le champ d'application.
Trois rapports seront envoyés :
Un rapport de cegedim.cloud qui résume toutes les informations et fournit des recommandations sur le statut de sécurité du produit
Un rapport de Qualys Scanner avec toutes les vulnérabilités du système
Un rapport de Acunetix avec toutes les vulnérabilités des applications web