La famille Tests de sécurité applicative (AST) est le filet de vérification du domaine : elle prouve, en continu et automatiquement, que les exigences de conception et de codage sont réellement tenues. Concevoir sûr et coder sûr relèvent de l'intention et de la discipline ; les tests, eux, constatent les faits à chaque évolution du code, sans dépendre de la vigilance d'un humain.
AST regroupe plusieurs techniques complémentaires, souvent désignées par leurs sigles : SAST (analyse statique), DAST (analyse dynamique), SCA (analyse des dépendances) et IAST (analyse interactive). SOCLE ne demande pas de toutes les empiler aveuglément, mais de les placer au bon endroit du pipeline, avec des seuils de blocage proportionnés à la criticité, et de mesurer leur couverture.
Concrètement, ces exigences parent : la faille grave livrée par un SAST qui ne bloque pas, le défaut d'exécution invisible sans DAST, le finding SCA oublié sans suivi, et les cas limites (corruption mémoire) qu'aucun test classique ne couvre. Cinq exigences, des fondamentales (R1) aux souveraines (R3).
Sans tests automatisés, les régressions de sécurité passent en production.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »SAST exécuté à chaque build ; findings critiques bloquants.#
Un SAST qui tourne mais ne bloque jamais se réduit à un rapport ignoré. L'exécuter à chaque build avec des findings critiques bloquants force le traitement des failles graves avant la livraison : la sécurité devient une condition de passage, pas une suggestion archivée dans un tableau de bord.
- Preuve attendue
- Job SAST bloquant ; tickets sur findings critiques.
Correspondances & menaces parées 3 standards · 2 menaces
Une entrée non validée est interprétée comme du code ou une requête (SQL, commande, XSS, LDAP), permettant l'exécution ou l'accès non autorisé. C'est la classe de failles applicatives la plus répandue (OWASP Top 10 2025, A03) OWASP Top 10 2025 (A03 Injection) OWASP ASVS OWASP CICD-SEC. Des données non fiables sont désérialisées sans contrôle, permettant l'exécution de code ou la manipulation d'objets. Les frameworks qui désérialisent automatiquement amplifient le risque (cas Spring4Shell, GoAnywhere) OWASP Top 10 2025 OWASP ASVS.
DAST des surfaces exposées, planifié et exécuté avant release.#
Tester l'application en fonctionnement révèle des failles de configuration et d'exécution invisibles au code. Un DAST des surfaces exposées, planifié avant release, simule l'attaquant externe et attrape ces défauts pendant qu'on peut encore décaler la sortie, pas après l'exposition des utilisateurs.
- Preuve attendue
- Rapport DAST daté avant chaque release majeure.
- Outillage
- Semgrep CodeQL OWASP ZAP OSV-Scanner Trivy
Correspondances & menaces parées 2 standards · 2 menaces
Une vulnérabilité exploitable atteint la production parce qu'aucun test dynamique (DAST / IAST) ne l'a détectée avant la mise en service. Le test des surfaces exposées avant release est la parade (OWASP DSOMM) OWASP DSOMM OWASP ASVS. Un contrôle d'accès incomplet ou contournable laisse un utilisateur accéder à des données ou actions non autorisées (élévation horizontale ou verticale). C'est la première catégorie du Top 10 OWASP 2025 (A01) OWASP Top 10 2025 (A01) OWASP ASVS.
SCA des dépendances applicatives relié à la gestion des vulnérabilités.#
Un finding SCA relié à rien finit oublié. Relier la SCA à la gestion des vulnérabilités (suivi, priorisation, délais) garantit que chaque dépendance vulnérable détectée devient une action tracée avec une échéance, et non une alerte de plus dans un flux que personne ne traite.
- Preuve attendue
- Findings SCA suivis dans le processus de gestion des vulnérabilités.
- Outillage
- Semgrep CodeQL OWASP ZAP OSV-Scanner Trivy
Correspondances & menaces parées 3 standards · 1 menace
Une bibliothèque applicative porteuse d'une vulnérabilité connue est exploitée faute de détection (SCA) et de mise à jour. L'absence d'inventaire et de correctif transforme une CVE publique en brèche (cas Log4Shell, Equifax) OWASP Top 10 2025 OWASP CICD-SEC-3 OWASP ASVS.
tests interactifs (IAST) ou fuzzing sur les composants critiques.#
Les tests classiques explorent les chemins prévus ; les attaquants exploitent les autres. Le fuzzing et l'IAST sur les composants critiques génèrent des entrées inattendues et observent le comportement réel, débusquant des failles (corruption mémoire, cas limites) que ni SAST ni DAST ne couvrent.
- Preuve attendue
- Campagne de fuzzing ou IAST sur les composants critiques.
- Outillage
- AFL++ libFuzzer OSS-Fuzz
Correspondances & menaces parées 2 standards · 1 menace
Une vulnérabilité exploitable atteint la production parce qu'aucun test dynamique (DAST / IAST) ne l'a détectée avant la mise en service. Le test des surfaces exposées avant release est la parade (OWASP DSOMM) OWASP DSOMM OWASP ASVS.
couverture des tests de sécurité mesurée, avec seuils par niveau de criticité.#
Sans mesure de couverture, on ignore ce que les tests de sécurité ne testent pas : l'angle mort reste invisible. Mesurer la couverture avec des seuils par criticité rend explicite ce qui est vérifié et force à combler les zones sensibles non testées, plutôt qu'à se rassurer à bon compte.
- Preuve attendue
- Indicateur de couverture des tests de sécurité.
- Outillage
- Semgrep CodeQL OWASP ZAP OSV-Scanner Trivy
Correspondances & menaces parées 2 standards · 1 menace
Une vulnérabilité exploitable atteint la production parce qu'aucun test dynamique (DAST / IAST) ne l'a détectée avant la mise en service. Le test des surfaces exposées avant release est la parade (OWASP DSOMM) OWASP DSOMM OWASP ASVS.