Ouvrir la version PDF

Évaluer votre infrastructure et vos processus pour répondre aux exigences de la norme PCI-DSS

Principales mises à jour et délais pour les nouvelles exigences de la norme PCI-DSS 4.0

La norme PCI-DSS 4.0 introduit des mises à jour visant à renforcer la sécurité des données des titulaires de cartes, en tenant compte des risques actuels et des avancées technologiques dans le secteur des cartes de paiement. Les révisions permettent aux organisations d'adopter des mesures de sécurité personnalisées si elles démontrent leur conformité avec les objectifs de sécurité, en étendant l'authentification multifactorielle à tous les accès dans l'environnement des données des titulaires de cartes, et en renforçant le cryptage sur tous les réseaux. En outre, l'accent est davantage mis sur l'analyse et l'atténuation continues des risques, ainsi que sur l'amélioration des capacités de détection et de réaction rapides aux incidents de sécurité. Ces nouvelles exigences sont assorties d'une période de transition afin de laisser aux organisations le temps d'adopter la nouvelle version tout en continuant à se conformer aux normes existantes.

Pourquoi les RSSI doivent-ils donner la priorité aux dernières mises à jour de la norme pci-dss ?

L'adhésion à ces normes actualisées est cruciale non seulement pour maintenir la conformité, mais aussi pour se protéger contre les menaces et les risques cybernétiques nouveaux et émergents. En appliquant ces normes, les organisations peuvent se prémunir contre les violations, protégeant ainsi leur réputation et évitant des amendes potentiellement élevées en cas de non-conformité.

Date d'entrée en vigueur de la norme DSS 4.0 : Mars 2024 ; actualisation en mars 2025.

La norme PCI-DSS 4.0 souligne l'importance d'intégrer des processus de sécurité continus dans les activités quotidiennes de l'entreprise.

La conformité ne peut pas être une simple question de temps assessment. Cette approche est essentielle pour les RSSI chargés de promouvoir une culture de sensibilisation à la sécurité et une gestion proactive des risques au sein de leur organisation. L'adoption de la norme PCI-DSS 4.0 contribue également à accroître la valeur de l'entreprise en créant une infrastructure de sécurité solide qui sous-tend des environnements de paiement sûrs et sécurisés.

Vos développeurs sont-ils prêts à fournir des logiciels conformes ?

Les développeurs font partie intégrante - mais souvent sous-utilisée - de l'atteinte d'un niveau d'excellence en matière de sécurité des logiciels. Il est essentiel que les développeurs comprennent l'ensemble de la norme PCI DSS 4.0 et ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut de la création d'un logiciel.

L'exigence 6 de la norme PCI DSS décrit les attentes en matière de développement et de maintenance de logiciels sécurisés.

Il s'agit d'une série d'éléments allant des normes de développement sécurisées à la formation des développeurs en passant par la gestion de la configuration et du contrôle des modifications. Toutes les organisations qui développent des logiciels utilisés dans un réseau de données de titulaires de cartes (CHD) sont tenues de se conformer à ces mandats.

Comme indiqué dans l'exigence 6.2.2, le personnel chargé du développement de logiciels travaillant sur des logiciels sur mesure et personnalisés est formé au moins une fois tous les 12 mois comme suit :

• sur la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
• Y compris la conception de logiciels sécurisés et les techniques de codage sécurisées.
• Y compris la manière d'utiliser les outils de test de sécurité pour détecter les vulnérabilités dans les logiciels.

La norme précise en outre que la formation doit comprendre au moins les éléments suivants :

• Langages de développement utilisés
• Conception de logiciels sécurisés
• Techniques de codage sécurisé
• Utilisation de techniques/méthodes pour trouver des vulnérabilités dans le code
• Procédures visant à empêcher la réintroduction de vulnérabilités précédemment résolues

En outre, les développeurs doivent connaître TOUTES les techniques d'attaque (décrites dans l'exigence 6.2.4.), y compris une liste de catégories d'attaques conçues pour servir d'exemples :

• Les attaques par injection, y compris les attaques SQL, LDAP, XPath ou d'autres commandes, paramètres, objets, fautes ou failles de type injection.
• Attaques contre les données et les structures de données, y compris les tentatives de manipulation des tampons, des pointeurs, des données d'entrée ou des données partagées.
• Attaques contre l'utilisation de la cryptographie, y compris les tentatives d'exploitation d'implémentations cryptographiques, d'algorithmes, de suites de chiffrement ou de modes de fonctionnement faibles, peu sûrs ou inappropriés.
• Attaques contre la logique d'entreprise, y compris les tentatives d'abus ou de contournement des caractéristiques et fonctionnalités de l'application par la manipulation des API, des protocoles et canaux de communication, des fonctionnalités côté client ou d'autres fonctions et ressources du système/de l'application. Il s'agit notamment de scripts intersites (XSS) et de falsifications de requêtes intersites (CSRF).
• Les attaques contre les mécanismes de contrôle d'accès, y compris les tentatives de contournement ou d'abus des mécanismes d'identification, d'authentification ou d'autorisation, ou les tentatives d'exploitation des faiblesses dans la mise en œuvre de ces mécanismes.
• Attaques par l'intermédiaire de toute vulnérabilité "à haut risque" identifiée dans le cadre du processus d'identification des vulnérabilités, tel que défini dans l'exigence 6.3.1.

Comment Secure Code Warrior peut vous aider à atteindre la conformité PCI-DSS 4.0

L'option la plus efficace pour la formation est une approche agile Plateforme D'apprentissage où la conformité devient un produit d'un programme global d'apprentissage du code sécurisé. Plus précisément, Secure Code Warrior peut aider votre entreprise à réduire les vulnérabilités et à améliorer la productivité des développeurs par les moyens suivants :

• Fournir une compréhension solide et cohérente de la manière de préserver la sécurité des données PCI en comblant les lacunes en matière de connaissances et en fournissant une formation précise dans les langages et les cadres utilisés par vos développeurs. Pour en savoir plus, consultez notre site Plateforme D'apprentissage.
• Offrir un processus continu, mesuré et établi de vérification des compétences pour s'assurer que la formation a été assimilée et mise en pratique. En savoir plus sur nos parcours de formation au code sécurisé prêts à l'emploi pour les développeurs.
• Dispenser des formations par le biais de méthodes d'apprentissage agiles qui fournissent des micro-éclairs d'apprentissage contextuels juste à temps. Les formations génériques et peu fréquentes ne sont plus viables et n'auront pas l'impact souhaité sur la réduction des vulnérabilités. En savoir plus sur les vulnérabilités prises en charge.
• Aide à la documentation de la formation à la sécurité et des normes de codage, utile pour démontrer la conformité lors des audits PCI-DSS. Pour une analyse plus détaillée de PCI-DSS 4.0, consultez notre livre blanc, PCI DSS 4.0 Unraveled.

‍

Ouvrir la version PDF

‍

Ouvrir la version PDF

Une première dans l'industrie qui quantifie l'impact de votre programme de codage sécurisé.

Les équipes logicielles des entreprises sont soumises à une pression accrue pour fournir un code de qualité et sécurisé plus rapidement et sans faille avant la production. C'est ainsi qu'est né le concept de sécurité pilotée par les développeurs, un mouvement puissant qui se traduit par une productivité accrue des développeurs, un mouvement accéléré tout au long du cycle de développement du logiciel et une innovation accrue, ce qui conduit en fin de compte à la croissance de l'entreprise. Dans le monde des programmes d'apprentissage sécurisés, même si elles suivent des programmes de code sécurisé identiques, les équipes produisent souvent un spectre d'expertise, englobant les plus performants, les moins performants et ceux qui ont besoin d'un soutien supplémentaire. Mais comment savoir à quoi ressemble une bonne performance - et par rapport à quoi ? Les organisations ont besoin d'un point de référence qui définisse la courbe en cloche du niveau de sécurité de leurs développeurs. Un score qui peut être utilisé comme mesure de base de l'état actuel de leur programme d'apprentissage de la sécurité, évaluer son efficacité et permettre aux équipes d'optimiser leurs performances.

Valeur et avantages

• Des données simples, efficaces et significatives
• Mesurer le succès du programme de sécurité
• Amélioration de la qualité des logiciels
• Amélioration des relations au sein de l'équipe
• Aperçu des compétences en matière de codage sécurisé
• Des utilisateurs engagés et des développeurs fidélisés

Établir une analyse comparative de l'état actuel de votre programme de sécurité

Comparez votre programme de sécurité à celui de vos homologues du secteur afin d'établir une norme conforme à vos objectifs commerciaux. L'utilisation de points de référence fournit une base de comparaison des performances, ce qui permet de prendre des décisions fondées sur des données et d'offrir des possibilités d'amélioration continue pour optimiser votre posture de sécurité.

‍

Mesuré dans le contexte des pairs, de la concurrence et des organisations mondiales

Le score de confiance SCW mesure l'efficacité de votre programme de sécurité en agrégeant les niveaux de compétences individuels des apprenants, pour calculer le score de confiance de votre organisation. Avec des références adaptées aux secteurs de la banque et des services financiers, de la technologie et de l'industrie mondiale, le rapport fournit des informations sur le score de confiance de votre entreprise, la distribution des références sectorielles et la distribution des niveaux de compétences des apprenants, avec des options de forage et de filtrage personnalisables.

‍

Faites confiance au référentiel de compétences en matière de sécurité le plus complet du secteur

Le score de confiance SCW est une solution inédite qui s'appuie sur un algorithme dynamique, tirant parti de plus de 20 millions de points de données d'apprentissage collectés auprès de plus de 600 entreprises et 250 000 apprenants. Il prend en compte un ensemble d'activités d'apprentissage réalisées au sein de notre plateforme, telles que la profondeur des connaissances acquises sur le Top 10 de l'OWASP. Ces informations inégalées aident les organisations à mesurer leurs performances par rapport à d'autres en toute confiance.

‍

Obtenir le PDF

‍

Les institutions de services financiers sont confrontées à une série de défis qui dépendent de leur capacité à utiliser la technologie de manière efficace et efficiente dans un monde financier qui évolue rapidement.

Les organisations opèrent à une époque de changements rapides - à la fois en interne et dans l'ensemble de l'industrie - dans un environnement commercial hautement concurrentiel basé sur le cloud. En poursuivant leurs transformations numériques en cours, par exemple, les organisations s'efforcent de contourner les frictions organisationnelles qui entravent les investissements dans les nouvelles technologies, telles que l'intelligence artificielle, qui pourraient accélérer les processus de paiement et d'autres procédures. 

Toutefois, il faut aussi mieux comprendre comment cette croissance influe sur la capacité à maintenir un environnement de codage sûr.

Dans ce guide sur les tendances en matière de sécurité pour les sociétés de services financiers, vous découvrirez :

• Comment les outils de développement de l'IA influencent le cycle de développement des logiciels.
• L'importance d'une réglementation accrue pour les services financiers et son impact sur votre équipe.
• Ce que l'apprentissage agile peut faire pour le codage sécurisé de votre équipe.
• Comment la croissance des applications tierces contribuera à votre paysage de sécurité.
• Pourquoi l'accent mis sur le retour sur investissement dans les équipes ne doit pas vous inquiéter lorsqu'il s'agit de formation.

‍

PCI DSS 4.0 dévoilée : Saisissez l'opportunité d'améliorer les compétences des développeurs en matière de sécurité

Si vous êtes responsable de l'AppSec ou du développement, vous avez probablement déjà remarqué que la plupart des développeurs ne sont pas très enthousiastes à l'idée de suivre une formation sur la conformité. Même le mot "conformité" fait bâiller la plupart d'entre eux. Il s'agit pourtant d'un exercice vital, et nous devons faire mieux pour capter le cœur et l'esprit de la cohorte des développeurs.

Le développement de logiciels sécurisés n'est plus un " avantage " pour une entreprise ; il devrait être une priorité pour toutes les organisations. Et si cette organisation détient de grandes quantités d'informations sensibles sur les clients, elle est mûre pour les cyberattaques coûteuses. Les développeurs sont les premiers à manipuler le code et, à ce titre, ils devraient être tout aussi impliqués que le reste de l'équipe dans les mesures de conformité en matière de sécurité.

C 'est l'occasion pour les développeurs et les professionnels de l'AppSec de s'unir pour améliorer la qualité du code. Lentement, le monde se rend compte que, jusqu'à présent, les développeurs n'ont pas vraiment eu les bons outils à leur disposition pour faire de la sécurité une priorité (et les spécialistes de la sécurité cloisonnés ne peuvent pas assumer seuls cette responsabilité). Toutefois, à mesure que le secteur évolue vers un avenir DevSecOps amélioré par l'IA, où la sécurité est une responsabilité partagée, ils peuvent acquérir les compétences nécessaires pour aider à endiguer le flux de vulnérabilités récurrentes.

L'échéance de 2025 pour se conformer à la norme PCI DSS 4.0 est la plus grande opportunité pour l'industrie d'élever les développeurs avec les compétences et la pile technologique nécessaires pour avoir un impact positif sur la sécurité des logiciels à partir de la base. Ces dernières directives sont les plus souples à ce jour, et il est temps de créer un programme de sécurité puissant et personnalisé qui place les développeurs aux commandes d'un changement significatif.

Lisez le guide pratique pour que votre équipe de développement soit en conformité avec la norme PCI DSS :

• Ce que le développeur moderne doit faire pour se conformer à la norme PCI DSS 4.0.
• Comment les professionnels de la sécurité et les responsables du développement peuvent collaborer pour mettre en place des programmes de sécurité redoutables, axés sur les développeurs.
• Recommandations étape par étape des initiatives de formation les plus efficaces et les plus gratifiantes pour réduire définitivement les vulnérabilités.

‍

Les moteurs d'intelligence artificielle commencent à se multiplier partout, chaque nouveau modèle et chaque nouvelle version semblant apporter des capacités plus puissantes et plus impressionnantes qui peuvent être appliquées dans une variété de domaines. Un domaine qui a été suggéré comme un bon cas d'utilisation possible de l'IA est l'écriture de code, et certains modèles ont déjà prouvé leurs capacités en utilisant une multitude de langages de programmation.

Toutefois, l'hypothèse selon laquelle l'IA pourrait remplacer les ingénieurs en informatique est exagérée. Tous les modèles d'IA les plus performants aujourd'hui ont montré des limites importantes en ce qui concerne leurs prouesses en matière de programmation avancée, notamment leur tendance à introduire des erreurs et des vulnérabilités dans le code qu'ils compilent à une vitesse fulgurante. 

S'il est vrai que l'utilisation de l'IA peut aider à faire gagner du temps aux programmeurs surchargés, l'avenir sera probablement celui où les humains et l'IA travailleront ensemble, avec un personnel talentueux entièrement chargé d'appliquer une pensée critique et des compétences de précision qui garantissent que tout le code est aussi sûr que possible. Il est donc vital de pouvoir écrire du code sécurisé, repérer les vulnérabilités et s'assurer que les applications sont aussi protégées que possible bien avant qu'elles n'entrent dans un environnement de production.

Dans ce nouveau livre blanc de Secure Code Warrior, vous apprendrez.. :

• Les pièges de la confiance aveugle dans la sortie du code LLM.
• Pourquoi les développeurs compétents en matière de sécurité sont essentiels pour une "programmation en binôme" en toute sécurité avec les outils de codage de l'IA.
• Les meilleures stratégies pour perfectionner la cohorte de développeurs à l'ère de la programmation assistée par l'IA.
• Un défi interactif pour montrer les limites de l'IA (et comment vous pouvez les contourner).

‍