Une sécurité des développeurs enrichie par des tests dynamiques pensés pour les développeurs

Nous sommes heureux d’annoncer le rachat de Probely, un fournisseur moderne et en forte croissance de solutions de test de la sécurité des API et des applications dynamiques. Avec cette opération, Snyk peut désormais proposer une gamme complète de solutions pour la sécurité des applications et du développement. Ses clients vont bénéficier immédiatement de nouvelles techniques de test pensées pour les développeurs. 

Quels que soient leur taille et leur secteur, les entreprises misent de plus en plus sur les applications Web. Conséquence directe de cette tendance, les tests des API et le « DAST moderne », sont devenus la pierre angulaire de tout programme de sécurité des applications. Ce phénomène s’est encore amplifié avec « l’économie des API » et l’IA générative. La sécurisation des API exposées par les grands modèles de langage (LLM) va en effet continuer à faire croître la demande pour ces deux outils. 

Une extension naturelle de la gamme de Snyk... qui reste centrée sur les développeurs

Nous figurons parmi les leaders de la sécurité des applications, et il n’est donc pas si surprenant que nous ayons décidé de conquérir le marché des tests de la sécurité des API et du DAST. Pourtant, cette nouvelle étape a fait l’objet de nombreux débats en interne et jusque-là, nous en arrivions à la conclusion qu’il ne s’agissait pas d’un bon choix. Longtemps, les solutions de test des applications dynamiques/des API étaient positionnées « plus à droite » dans le SDLC, à l’opposé de la philosophie de Snyk, qui défend un modèle « shift-left ». Notre engagement pour la sécurité des développeurs nous a poussés à déplacer les contrôles plus en amont du SDLC, tout en limitant les perturbations des processus de développement. Nous avons noué des partenariats et mis en place des intégrations avec des fournisseurs de solutions DAST pour aider nos clients qui souhaitaient, à juste titre, inclure ces tests dans leur programme AppSec, mais nous constations en général que ces technologies s’écartaient de notre mission et notre ADN.

Deux choses nous ont fait changer d’avis. Tout d’abord, une nouvelle catégorie de solutions DAST modernes a émergé. Elle s’intègre aux pipelines de CI/CD via la CLI et permettent ainsi de décaler les tests plus en amont du processus de développement. Ensuite, notre propre vision du lien entre DAST et sécurité des développeurs a évolué. Précédemment, nous ne considérions pas que le DAST entrait dans le cadre de la sécurité des développeurs, car il était plutôt vu comme un outil « shift-right». Mais ces dernières années, nous avons fait évoluer notre vision de la sécurité des développeurs en mettant l’accent sur la collaboration entre les équipes de développement et de sécurité. Dans cette optique, un outil de test de la sécurité dynamique pensé pour les développeurs est parfaitement compatible avec notre mission.

Autre raison pour laquelle nous sommes non seulement arrivés sur ces marchés, mais avons aussi donné la priorité à l’acquisition de Probely : la place centrale des API dans les applications basées sur des LLM qui se multiplient à l’ère de l’IA générative.  Les modèles d’IA gagnent sans cesse en sophistication, et les développeurs les intègrent de plus en plus souvent dans leurs applications, ce qui génère un recours accru aux API pour accéder aux données et les traiter. Ces interconnexions donnent naissance à de nouveaux vecteurs d’attaque, et il est donc essentiel de sécuriser les API.  En ajoutant le test de la sécurité des API à notre gamme, nous pouvons aider plus efficacement nos clients à détecter les menaces basées sur les LLM, à protéger leurs modèles et leurs données et à développer en toute confiance des applications basées sur l’IA.

Tous ces facteurs contribuent à une meilleure intégration du test dynamique des API et des applications Web dans notre modèle de sécurité des développeurs et facilitent la résolution de certaines difficultés d’adoption, à condition de choisir la bonne technologie.

Un DAST véritablement axé sur les développeurs

Nous avons rencontré l’équipe de Probely et commencé à nous intéresser à sa technologie quand nous recherchions une solution de test dynamique des applications et des API destinée à notre propre équipe de sécurité produit. Nous préparions notre agrément FedRAMP, et souhaitions aller plus loin que ce que nous permettait notre utilisation interne de Snyk, qui visait à éliminer les problèmes de sécurité des applications avant le déploiement, pour répondre aux besoins spécifiques des auditeurs exigeant des tests dynamiques. Nous avons étudié certains outils DAST d’ancienne génération, mais avons également décidé d’évaluer Probely. Dès les premiers instants, la précision de ses résultats, sa simplicité d’utilisation et le nombre limité de faux positifs nous ont vraiment impressionnés. 

Ce processus nous a donné l’occasion de faire la connaissance de l’équipe, et nous avons ainsi clairement compris que la philosophie derrière leur plan d’innovation en faisait un véritable fournisseur de solutions de test dynamique des applications Web/API centrées sur les développeurs. 

L’équipe de Probely savait qu’une solution peu utilisée ne présentait qu’une valeur limitée et a donc dès le premier jour tout mis en œuvre pour que sa technologie n’ait qu’un impact limité sur les développeurs et ne les détourne pas de leur mission. Pour y parvenir, l’entreprise travaille sur trois axes : tout d’abord, obtenir le taux de faux positifs le plus bas du marché (autour de 0,1 %). Les développeurs ne doivent ainsi corriger que les problèmes qui posent un véritable risque pour la sécurité des applications. Par ailleurs, Probely propose un déploiement très simple et une expérience utilisateur qui facilite l’apprentissage de l’outil et l’adoption des tests dynamiques par les développeurs . Enfin, Probely suit un modèle de développement basé sur des API et assure une compatibilité avec les CLI pour permettre une analyse DAST automatisée dans les pipelines de CI/CD. L’entreprise a également développé une API extrêmement puissante qui simplifie l’intégration à différents outils de développement, notamment les solutions de suivi des tickets. Sa solution s’intègre ainsi sans difficulté aux workflows des développeurs.

Dans le cadre de notre processus de vigilance, nous avons échangé avec notre partenaire de conception de confiance, nos clients et certains des plus grands établissements financiers et revendeurs au monde. Nous avons aussi passé du temps avec des clients mutuels de Snyk et Probely. Toutes ces conversations nous ont fait comprendre que nous avions trouvé la perle rare, un fournisseur proposant une solution de sécurité des applications simple, suffisamment mature pour les grandes entreprises, mais aussi respectueuse de cette philosophie qui fait notre fierté, le respect des besoins des développeurs.

Bien entendu, l’acquisition d’une entreprise de technologie ne vise pas seulement... sa technologie. Certes, les valeurs actuelle et future de la solution de Probely sont exceptionnelles, mais nous sommes tout aussi impressionnés par l’équipe de l’entreprise et sommes très heureux de voir ses membres nous rejoindre. Il faut noter que les deux fondateurs de Probely utilisaient eux-mêmes des outils de sécurité lorsqu’ils développaient, ce qui explique pourquoi ils ont créé une solution de tests dynamiques pensée pour les développeurs. Ils ont parfaitement conscience que la sécurité des applications est un sport d’équipe réunissant les développeurs et les spécialistes de la sécurité et ont donc bâti leur produit en fonction de ce qu’ils auraient voulu pour leurs propres équipes. 

Une nouvelle étape dans la gestion des risques des applications

Un autre point important dans l’évaluation de l’intérêt du DAST et du test des API a été leur intégration à plus long terme dans notre mission et notre stratégie d’innovation. D’après ce que nous en disent nos clients, les problèmes révélés par les tests DAST, comme ceux mis au jour par les analyses SAST/SCA, doivent au final être résolus par les développeurs. Pour autant, ce sont les équipes de sécurité qui en assurent la gestion en mettant en place des politiques, et de plus en plus, une approche basée sur les risques. Par ailleurs, la sécurité des API relève clairement de la sécurité des applications. Par conséquent, nous aurions du mal à justifier le respect de notre mission, « aider les entreprises à développer leurs logiciels rapidement et en toute sécurité » sans donner de visibilité sur ces domaines et les couvrir, alors même que leur importance ne cesse de croître. 

Comme vous le savez sans doute, nous avons lancé l’année dernière Snyk AppRisk, une plateforme de hiérarchisation des risques pour chaque application. Cette nouvelle offre et sa capacité à donner une visibilité unifiée sur les actifs et de couvrir l’ensemble des applications ont généré un engouement considérable. Les fonctionnalités de détection et de couverture de Probely sont parfaitement alignées sur cette évolution, car les équipes AppSec cherchent à gagner en visibilité sur les actifs applicatifs relevant du DAST, notamment les applications composées d’une seule page, les API et les domaines Web. Les équipes AppSec veulent savoir quels actifs existent, mais aussi évaluer et surveiller le risque des versions en production, comme elles le font avant leur déploiement via les analyses SAST et SCA.

Cette acquisition a également enrichi notre gamme avec des capacités de gestion de la surface d’attaque externe (EASM). ​Nous savons tous qu’un programme AppSec repose sur une compréhension claire de la surface d’attaque. Mais cette surface d’attaque reste pourtant souvent dans l’ombre. Avec la commercialisation de Discovery un peu plus tôt cette année, Probely peut aider les entreprises à détecter, gérer et hiérarchiser leur inventaire d’API et d’applications Web pour mettre au jour l’intégralité de leur surface d’attaque externe. Le secret de Discovery ? Une détection automatique et non intrusive des services et applications en cours d’exécution sur l’infrastructure.  

Au vu de l’étendue de ses fonctionnalités et de sa pertinence vis-à-vis des problématiques de nos clients, nous considérons que ce produit nous apportera une valeur ajoutée considérable. Nous allons intégrer progressivement cette technologie dans la plateforme Snyk pour bénéficier de sa hiérarchisation de pointe des vulnérabilités et proposer une gestion complète du risque des applications. 

Avec Probely, Snyk offre une valeur ajoutée immédiate et va encore plus loin

Nous sommes au premier jour de l’intégration de ces nouvelles fonctionnalités dans nos produits et sommes très heureux de pouvoir commencer à vous révéler nos projets. Nous allons profiter de synergies importantes dès maintenant et irons encore plus loin à l’avenir. Nous avons hâte de tout vous dire et vous expliquer comment l’intégration du DAST à votre expérience Snyk générera une valeur et un impact immédiats pour vos programmes AppSec.

Pour en savoir plus sur cette nouvelle étape passionnante, je vous invite à vous inscrire à notre webinaire qui se déroulera le 9 décembre à 11 h 30 (heure de l’Est). J’y serai accompagné de Nuno Loureiro, l’ancien PDG de Probely. Nous nous pencherons sur ce que nous disent nos clients de l’importance que prend le test de la sécurité des API et sur ce que signifie créer un outil DAST à la fois « moderne » et véritablement « centré sur les développeurs ». Nous verrons également le potentiel de la hiérarchisation des vulnérabilités en fonction du risque dans le cadre des difficultés croissantes posées par la sécurisation des applications Web/API.