Tussen 2013 en 2014 nam het aantal cyberaanvallen toe met 120%, 80% ervan had betrekking op applicaties. Volgens Vincent Laurens, Head of Security Business Development van Sogeti Belux, moet men de veiligheid van applicaties industrialiseren!”

Naar aanleiding van zijn conferentie SMACS 2015 onthulde Sogeti zijn nieuwe security-aanbod: ASTI (Application Security Testing Industrialization).

We hebben geen keuze meer: wetende dat het eerste doelwit vandaag bestaat uit de bedrijfsapplicaties, volstaat het niet langer zich te beschermen, maar moet men de veiligheid van applicaties echt industrialiseren en integreren in alle fasen van de ontwikkelcyclus!”

Volgens een studie van Sogeti in België bekent nochtans 70% van de CIO’s hun applicaties niet volledig getest te hebben en geven ze toe dat ze zwakke plekken kunnen vertonen… En Vincent Laurens voegt eraan toe dat het er niet alleen om gaat de applicaties op een statische manier (codemodules) te testen, maar ook op een dynamische manier (code in werking).

ASTI is gebaseerd op HP Fortify on Demand of op IBM Security AppScan Enterprise, én op de expertise van Capgemini (moederbedrijf van Sogeti). De oplossing laat toe om op een snelle en efficiënte manier bedrijfsapplicaties te testen in drie fasen: uploading van broncode in het datacenter van Sogeti (in Europa om nu al te voldoen aan de toekomstige Europese regelgeving van de Cybercriminal Act die er zou moeten komen in 2016 en bepaalde organisaties zal verplichten om zijn bedrijfsapplicaties te testen en te monitoren); realisatie van drie types analyse (statisch, dynamisch en manueel) op web- en mobiele applicaties en, tot slot, analyse door experts van Sogeti van de analyseresultaten om hun precisie te garanderen voor ze teruggestuurd worden (en het genereren van een webinterface en gedetailleerde rapporten).

We kunnen onze analyses doen volgens drie risicotypes – zwak, gemiddeld of hoog – in functie van de applicatie en de vraag van de klant”, preciseert nog Vincent Laurens.

Nu al doen volgens Sogeti een grote Nederlandse telecomoperator en een zeer grote Franse bank een beroep op hun diensten. Het bedrijf wil de namen niet vrijgeven omwille van de… veiligheid. Alleen British Gas stemde ermee in dat zijn naam genoemd zou worden.

Marc Husquinet