Qu’est-ce que SAST/DAST ?
SAST (Static Application Security Testing) et DAST (Dynamic Application Security Testing) sont deux méthodes d’analyse de sécurité des applications.
SAST analyse le code source d'une application avant qu'elle ne soit exécutée. DAST analyse une application en cours d'exécution, comme si elle était attaquée de l’extérieur.
Ces approches aident à détecter des failles de sécurité avant leur exploitation par un attaquant.
À quoi sert SAST/DAST ?
Ces outils sont utilisés pour renforcer la sécurité logicielle. Ils permettent d'identifier les vulnérabilités présentes dans le code ou dans le fonctionnement d'une application.
Les entreprises les utilisent pour détecter les erreurs avant la mise en production. Cela réduit les risques de cyberattaque et les coûts liés à la correction tardive des bugs.
Ils complètent les tests manuels effectués par les équipes de cybersécurité et de développement.
Comment fonctionne SAST/DAST ?
SAST se concentre sur le code source, les fichiers de configuration ou le bytecode. Il fonctionne sans exécuter le programme.
Il détecte des défauts tels que les injections SQL, les erreurs de logique, ou les fuites d’informations dans le code.
DAST fonctionne sur une application en cours d’exécution. Il interagit avec l’application comme le ferait un utilisateur ou un attaquant.
Il observe les réponses du système pour identifier des failles comme les erreurs de serveur ou les données non sécurisées.
Différences avec des notions proches
SAST est souvent comparé au test de code statique, mais il est plus orienté sécurité que qualité générale du code.
DAST est parfois confondu avec les tests fonctionnels automatisés, mais il cible des scénarios malveillants, pas des cas d’usage métier.
Une autre méthode existe : IAST (Interactive Application Security Testing), qui combine SAST et DAST. Elle analyse à la fois le code et l’exécution en temps réel.
Exemples ou cas d’usage concrets
Une fintech utilise SAST pour analyser automatiquement le code avant chaque fusion dans la branche principale.
Une entreprise e-commerce déclenche des tests DAST chaque nuit pour simuler des attaques sur l’environnement de préproduction.
Un sous-traitant développe une API pour un assureur. L’entreprise commanditaire exige des rapports SAST et DAST avant livraison.
Une startup en santé numérique combine les deux méthodes pour sécuriser une application mobile avant son lancement public.