La norme PCI-DSS 4.0 sera disponible plus tôt que vous ne le pensez, et c'est l'occasion d'améliorer la cyber-résilience de votre organisation.
Une version de cet article a été publiée sur Boulevard de la sécurité. Elle a été mise à jour et publiée ici.
Au début de l'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Il s'agit là d'une occasion en or pour les entreprises du secteur BFSI d'améliorer sérieusement leurs programmes de sécurité et d'entrer dans une nouvelle ère de cyber-résilience axée sur les personnes.
Quels sont les plus grands défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une organisation est global, avec des subtilités propres aux besoins de l'entreprise et aux ressources disponibles, les nouvelles normes PCI DSS couvrent beaucoup de terrain. Toutefois, elles révèlent une évolution marquée vers la flexibilité dans les approches visant à satisfaire aux exigences de sécurité, ce qui est important dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant.
La norme PCI DSS 4.0 adopte le concept selon lequel il existe de nombreuses façons d'atteindre le même objectif de meilleures pratiques de sécurité étanches. C'est vrai, mais cela semble mieux convenir aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas été réalistes dans leur assessment de leur véritable maturité de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité comme un processus continu et évolutif, et non comme un exercice ponctuel "à mettre en place et à oublier". Une forte culture de la sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Quant aux outils au niveau du code - la cohorte de développement - ils doivent être en mesure de fournir des logiciels conformes et sécurisés dans n'importe quel environnement commercial traitant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs font partie intégrante de l'atteinte d'un état d'excellence en matière de sécurité des logiciels, et cela est particulièrement pertinent pour aller au-delà de la simple conformité symbolique à la norme PCI DSS. Il est essentiel que les développeurs comprennent l'image plus large de PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans leur approche par défaut de la création d'un logiciel.
Les changements les plus importants pour l'équipe de développement se situent dans trois domaines clés, qui peuvent être décomposés comme suit :
- Authentification : Un plan viable de contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 donne un coup d'accélérateur qui nécessitera une mise en œuvre minutieuse, tant en interne qu'en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme les règles renforcées concernant la complexité des mots de passe et les délais d'attente.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les plus courants auxquels le développeur moyen est susceptible d'être confronté, il est impératif qu'une formation précise soit mise en place pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous vivons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via de multiples points d'accès, comme nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et des pratiques de cryptographie rigoureuses sont indispensables. Les développeurs doivent s'assurer qu'ils disposent de connaissances actualisées sur les lieux de transmission des informations, sur la manière dont les utilisateurs peuvent y accéder et, même dans le cas où elles se retrouveraient entre de mauvaises mains, s'assurer qu'elles sont illisibles pour les acteurs de la menace.
- Logiciels malveillants : dans les lignes directrices précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient appelés "logiciels antivirus", mais cela simplifie à l'excès ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Les solutions anti-programmes malveillants doivent être appliquées partout où cela est nécessaire, et la journalisation et la surveillance continues sont obligatoires.
Il est également essentiel que les développeurs aient des parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier avec la plupart des bases de code qui reposent au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation "suffisante" pour les développeurs ?
Comme les recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés "au moins" une fois par an. Cependant, si l'on considère qu'une fois par an est un point de contact suffisant pour la création de logiciels sécurisés, on est loin du compte et il est peu probable que l'on obtienne des logiciels plus sûrs et conformes.
La formation des développeurs devrait commencer par une formation de base au Top 10 de l'OWASP, ainsi qu'à toutes les autres vulnérabilités qui sont pertinentes pour le langage et critiques pour l'entreprise. Cela devrait faire partie d'un programme continu, dans le but de continuer à développer ces compétences et d'intégrer la sécurité non seulement dans le développement de logiciels dès le départ, mais aussi dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être parfaitement clairs pour la cohorte de développeurs et leurs responsables. La sécurité doit être une responsabilité partagée, mais il n'est que juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Avec le temps disponible pour se préparer à la conformité PCI DSS 4.0, il est possible de faire des progrès significatifs dans l'amélioration de la culture de la sécurité à l'échelle de l'organisation, ce qui constitue un terrain fertile pour développer la cohorte de développement la plus sensibilisée à la sécurité que vous n'ayez jamais eue.
En début d'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée sur Boulevard de la sécurité. Elle a été mise à jour et publiée ici.
Au début de l'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Il s'agit là d'une occasion en or pour les entreprises du secteur BFSI d'améliorer sérieusement leurs programmes de sécurité et d'entrer dans une nouvelle ère de cyber-résilience axée sur les personnes.
Quels sont les plus grands défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une organisation est global, avec des subtilités propres aux besoins de l'entreprise et aux ressources disponibles, les nouvelles normes PCI DSS couvrent beaucoup de terrain. Toutefois, elles révèlent une évolution marquée vers la flexibilité dans les approches visant à satisfaire aux exigences de sécurité, ce qui est important dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant.
La norme PCI DSS 4.0 adopte le concept selon lequel il existe de nombreuses façons d'atteindre le même objectif de meilleures pratiques de sécurité étanches. C'est vrai, mais cela semble mieux convenir aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas été réalistes dans leur assessment de leur véritable maturité de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité comme un processus continu et évolutif, et non comme un exercice ponctuel "à mettre en place et à oublier". Une forte culture de la sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Quant aux outils au niveau du code - la cohorte de développement - ils doivent être en mesure de fournir des logiciels conformes et sécurisés dans n'importe quel environnement commercial traitant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs font partie intégrante de l'atteinte d'un état d'excellence en matière de sécurité des logiciels, et cela est particulièrement pertinent pour aller au-delà de la simple conformité symbolique à la norme PCI DSS. Il est essentiel que les développeurs comprennent l'image plus large de PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans leur approche par défaut de la création d'un logiciel.
Les changements les plus importants pour l'équipe de développement se situent dans trois domaines clés, qui peuvent être décomposés comme suit :
- Authentification : Un plan viable de contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 donne un coup d'accélérateur qui nécessitera une mise en œuvre minutieuse, tant en interne qu'en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme les règles renforcées concernant la complexité des mots de passe et les délais d'attente.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les plus courants auxquels le développeur moyen est susceptible d'être confronté, il est impératif qu'une formation précise soit mise en place pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous vivons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via de multiples points d'accès, comme nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et des pratiques de cryptographie rigoureuses sont indispensables. Les développeurs doivent s'assurer qu'ils disposent de connaissances actualisées sur les lieux de transmission des informations, sur la manière dont les utilisateurs peuvent y accéder et, même dans le cas où elles se retrouveraient entre de mauvaises mains, s'assurer qu'elles sont illisibles pour les acteurs de la menace.
- Logiciels malveillants : dans les lignes directrices précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient appelés "logiciels antivirus", mais cela simplifie à l'excès ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Les solutions anti-programmes malveillants doivent être appliquées partout où cela est nécessaire, et la journalisation et la surveillance continues sont obligatoires.
Il est également essentiel que les développeurs aient des parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier avec la plupart des bases de code qui reposent au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation "suffisante" pour les développeurs ?
Comme les recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés "au moins" une fois par an. Cependant, si l'on considère qu'une fois par an est un point de contact suffisant pour la création de logiciels sécurisés, on est loin du compte et il est peu probable que l'on obtienne des logiciels plus sûrs et conformes.
La formation des développeurs devrait commencer par une formation de base au Top 10 de l'OWASP, ainsi qu'à toutes les autres vulnérabilités qui sont pertinentes pour le langage et critiques pour l'entreprise. Cela devrait faire partie d'un programme continu, dans le but de continuer à développer ces compétences et d'intégrer la sécurité non seulement dans le développement de logiciels dès le départ, mais aussi dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être parfaitement clairs pour la cohorte de développeurs et leurs responsables. La sécurité doit être une responsabilité partagée, mais il n'est que juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Avec le temps disponible pour se préparer à la conformité PCI DSS 4.0, il est possible de faire des progrès significatifs dans l'amélioration de la culture de la sécurité à l'échelle de l'organisation, ce qui constitue un terrain fertile pour développer la cohorte de développement la plus sensibilisée à la sécurité que vous n'ayez jamais eue.
Une version de cet article a été publiée sur Boulevard de la sécurité. Elle a été mise à jour et publiée ici.
Au début de l'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Il s'agit là d'une occasion en or pour les entreprises du secteur BFSI d'améliorer sérieusement leurs programmes de sécurité et d'entrer dans une nouvelle ère de cyber-résilience axée sur les personnes.
Quels sont les plus grands défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une organisation est global, avec des subtilités propres aux besoins de l'entreprise et aux ressources disponibles, les nouvelles normes PCI DSS couvrent beaucoup de terrain. Toutefois, elles révèlent une évolution marquée vers la flexibilité dans les approches visant à satisfaire aux exigences de sécurité, ce qui est important dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant.
La norme PCI DSS 4.0 adopte le concept selon lequel il existe de nombreuses façons d'atteindre le même objectif de meilleures pratiques de sécurité étanches. C'est vrai, mais cela semble mieux convenir aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas été réalistes dans leur assessment de leur véritable maturité de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité comme un processus continu et évolutif, et non comme un exercice ponctuel "à mettre en place et à oublier". Une forte culture de la sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Quant aux outils au niveau du code - la cohorte de développement - ils doivent être en mesure de fournir des logiciels conformes et sécurisés dans n'importe quel environnement commercial traitant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs font partie intégrante de l'atteinte d'un état d'excellence en matière de sécurité des logiciels, et cela est particulièrement pertinent pour aller au-delà de la simple conformité symbolique à la norme PCI DSS. Il est essentiel que les développeurs comprennent l'image plus large de PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans leur approche par défaut de la création d'un logiciel.
Les changements les plus importants pour l'équipe de développement se situent dans trois domaines clés, qui peuvent être décomposés comme suit :
- Authentification : Un plan viable de contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 donne un coup d'accélérateur qui nécessitera une mise en œuvre minutieuse, tant en interne qu'en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme les règles renforcées concernant la complexité des mots de passe et les délais d'attente.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les plus courants auxquels le développeur moyen est susceptible d'être confronté, il est impératif qu'une formation précise soit mise en place pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous vivons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via de multiples points d'accès, comme nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et des pratiques de cryptographie rigoureuses sont indispensables. Les développeurs doivent s'assurer qu'ils disposent de connaissances actualisées sur les lieux de transmission des informations, sur la manière dont les utilisateurs peuvent y accéder et, même dans le cas où elles se retrouveraient entre de mauvaises mains, s'assurer qu'elles sont illisibles pour les acteurs de la menace.
- Logiciels malveillants : dans les lignes directrices précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient appelés "logiciels antivirus", mais cela simplifie à l'excès ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Les solutions anti-programmes malveillants doivent être appliquées partout où cela est nécessaire, et la journalisation et la surveillance continues sont obligatoires.
Il est également essentiel que les développeurs aient des parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier avec la plupart des bases de code qui reposent au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation "suffisante" pour les développeurs ?
Comme les recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés "au moins" une fois par an. Cependant, si l'on considère qu'une fois par an est un point de contact suffisant pour la création de logiciels sécurisés, on est loin du compte et il est peu probable que l'on obtienne des logiciels plus sûrs et conformes.
La formation des développeurs devrait commencer par une formation de base au Top 10 de l'OWASP, ainsi qu'à toutes les autres vulnérabilités qui sont pertinentes pour le langage et critiques pour l'entreprise. Cela devrait faire partie d'un programme continu, dans le but de continuer à développer ces compétences et d'intégrer la sécurité non seulement dans le développement de logiciels dès le départ, mais aussi dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être parfaitement clairs pour la cohorte de développeurs et leurs responsables. La sécurité doit être une responsabilité partagée, mais il n'est que juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Avec le temps disponible pour se préparer à la conformité PCI DSS 4.0, il est possible de faire des progrès significatifs dans l'amélioration de la culture de la sécurité à l'échelle de l'organisation, ce qui constitue un terrain fertile pour développer la cohorte de développement la plus sensibilisée à la sécurité que vous n'ayez jamais eue.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée sur Boulevard de la sécurité. Elle a été mise à jour et publiée ici.
Au début de l'année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Bien que les organisations ne devront pas être entièrement conformes à la version 4.0 avant mars 2025, cette mise à jour est la plus transformatrice à ce jour et exigera de la plupart des entreprises qu'elles évaluent (et probablement mettent à niveau) des processus de sécurité complexes et des éléments de leur pile technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Il s'agit là d'une occasion en or pour les entreprises du secteur BFSI d'améliorer sérieusement leurs programmes de sécurité et d'entrer dans une nouvelle ère de cyber-résilience axée sur les personnes.
Quels sont les plus grands défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une organisation est global, avec des subtilités propres aux besoins de l'entreprise et aux ressources disponibles, les nouvelles normes PCI DSS couvrent beaucoup de terrain. Toutefois, elles révèlent une évolution marquée vers la flexibilité dans les approches visant à satisfaire aux exigences de sécurité, ce qui est important dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant.
La norme PCI DSS 4.0 adopte le concept selon lequel il existe de nombreuses façons d'atteindre le même objectif de meilleures pratiques de sécurité étanches. C'est vrai, mais cela semble mieux convenir aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas été réalistes dans leur assessment de leur véritable maturité de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité comme un processus continu et évolutif, et non comme un exercice ponctuel "à mettre en place et à oublier". Une forte culture de la sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Quant aux outils au niveau du code - la cohorte de développement - ils doivent être en mesure de fournir des logiciels conformes et sécurisés dans n'importe quel environnement commercial traitant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs font partie intégrante de l'atteinte d'un état d'excellence en matière de sécurité des logiciels, et cela est particulièrement pertinent pour aller au-delà de la simple conformité symbolique à la norme PCI DSS. Il est essentiel que les développeurs comprennent l'image plus large de PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans leur approche par défaut de la création d'un logiciel.
Les changements les plus importants pour l'équipe de développement se situent dans trois domaines clés, qui peuvent être décomposés comme suit :
- Authentification : Un plan viable de contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 donne un coup d'accélérateur qui nécessitera une mise en œuvre minutieuse, tant en interne qu'en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme les règles renforcées concernant la complexité des mots de passe et les délais d'attente.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les plus courants auxquels le développeur moyen est susceptible d'être confronté, il est impératif qu'une formation précise soit mise en place pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous vivons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via de multiples points d'accès, comme nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et des pratiques de cryptographie rigoureuses sont indispensables. Les développeurs doivent s'assurer qu'ils disposent de connaissances actualisées sur les lieux de transmission des informations, sur la manière dont les utilisateurs peuvent y accéder et, même dans le cas où elles se retrouveraient entre de mauvaises mains, s'assurer qu'elles sont illisibles pour les acteurs de la menace.
- Logiciels malveillants : dans les lignes directrices précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient appelés "logiciels antivirus", mais cela simplifie à l'excès ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Les solutions anti-programmes malveillants doivent être appliquées partout où cela est nécessaire, et la journalisation et la surveillance continues sont obligatoires.
Il est également essentiel que les développeurs aient des parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier avec la plupart des bases de code qui reposent au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation "suffisante" pour les développeurs ?
Comme les recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés "au moins" une fois par an. Cependant, si l'on considère qu'une fois par an est un point de contact suffisant pour la création de logiciels sécurisés, on est loin du compte et il est peu probable que l'on obtienne des logiciels plus sûrs et conformes.
La formation des développeurs devrait commencer par une formation de base au Top 10 de l'OWASP, ainsi qu'à toutes les autres vulnérabilités qui sont pertinentes pour le langage et critiques pour l'entreprise. Cela devrait faire partie d'un programme continu, dans le but de continuer à développer ces compétences et d'intégrer la sécurité non seulement dans le développement de logiciels dès le départ, mais aussi dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être parfaitement clairs pour la cohorte de développeurs et leurs responsables. La sécurité doit être une responsabilité partagée, mais il n'est que juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Avec le temps disponible pour se préparer à la conformité PCI DSS 4.0, il est possible de faire des progrès significatifs dans l'amélioration de la culture de la sécurité à l'échelle de l'organisation, ce qui constitue un terrain fertile pour développer la cohorte de développement la plus sensibilisée à la sécurité que vous n'ayez jamais eue.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.