Ouvrir la version PDF
Évaluer votre infrastructure et vos processus pour répondre aux exigences de la norme PCI-DSS
Principales mises à jour et délais pour les nouvelles exigences de la norme PCI-DSS 4.0
La norme PCI-DSS 4.0 introduit des mises à jour visant à renforcer la sécurité des données des titulaires de cartes, en tenant compte des risques actuels et des avancées technologiques dans le secteur des cartes de paiement. Les révisions permettent aux organisations d'adopter des mesures de sécurité personnalisées si elles démontrent leur conformité avec les objectifs de sécurité, en étendant l'authentification multifactorielle à tous les accès dans l'environnement des données des titulaires de cartes, et en renforçant le cryptage sur tous les réseaux. En outre, l'accent est davantage mis sur l'analyse et l'atténuation continues des risques, ainsi que sur l'amélioration des capacités de détection et de réaction rapides aux incidents de sécurité. Ces nouvelles exigences sont assorties d'une période de transition afin de laisser aux organisations le temps d'adopter la nouvelle version tout en continuant à se conformer aux normes existantes.
Pourquoi les RSSI doivent-ils donner la priorité aux dernières mises à jour de la norme pci-dss ?
L'adhésion à ces normes actualisées est cruciale non seulement pour maintenir la conformité, mais aussi pour se protéger contre les menaces et les risques cybernétiques nouveaux et émergents. En appliquant ces normes, les organisations peuvent se prémunir contre les violations, protégeant ainsi leur réputation et évitant des amendes potentiellement élevées en cas de non-conformité.
Date d'entrée en vigueur de la norme DSS 4.0 : Mars 2024 ; actualisation en mars 2025.
La norme PCI-DSS 4.0 souligne l'importance d'intégrer des processus de sécurité continus dans les activités quotidiennes de l'entreprise.
La conformité ne peut pas être une simple question de temps assessment. Cette approche est essentielle pour les RSSI chargés de promouvoir une culture de sensibilisation à la sécurité et une gestion proactive des risques au sein de leur organisation. L'adoption de la norme PCI-DSS 4.0 contribue également à accroître la valeur de l'entreprise en créant une infrastructure de sécurité solide qui sous-tend des environnements de paiement sûrs et sécurisés.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs font partie intégrante - mais souvent sous-utilisée - de l'atteinte d'un niveau d'excellence en matière de sécurité des logiciels. Il est essentiel que les développeurs comprennent l'ensemble de la norme PCI DSS 4.0 et ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut de la création d'un logiciel.
L'exigence 6 de la norme PCI DSS décrit les attentes en matière de développement et de maintenance de logiciels sécurisés.
Il s'agit d'une série d'éléments allant des normes de développement sécurisées à la formation des développeurs en passant par la gestion de la configuration et du contrôle des modifications. Toutes les organisations qui développent des logiciels utilisés dans un réseau de données de titulaires de cartes (CHD) sont tenues de se conformer à ces mandats.
Comme indiqué dans l'exigence 6.2.2, le personnel chargé du développement de logiciels travaillant sur des logiciels sur mesure et personnalisés est formé au moins une fois tous les 12 mois comme suit :
- sur la sécurité des logiciels en rapport avec leur fonction et les langages de développement.
- Y compris la conception de logiciels sécurisés et les techniques de codage sécurisées.
- Y compris la manière d'utiliser les outils de test de sécurité pour détecter les vulnérabilités dans les logiciels.
La norme précise en outre que la formation doit comprendre au moins les éléments suivants :
- Langages de développement utilisés
- Conception de logiciels sécurisés
- Techniques de codage sécurisé
- Utilisation de techniques/méthodes pour trouver des vulnérabilités dans le code
- Procédures visant à empêcher la réintroduction de vulnérabilités précédemment résolues
En outre, les développeurs doivent connaître TOUTES les techniques d'attaque (décrites dans l'exigence 6.2.4.), y compris une liste de catégories d'attaques conçues pour servir d'exemples :
- Les attaques par injection, y compris les attaques SQL, LDAP, XPath ou d'autres commandes, paramètres, objets, fautes ou failles de type injection.
- Attaques contre les données et les structures de données, y compris les tentatives de manipulation des tampons, des pointeurs, des données d'entrée ou des données partagées.
- Attaques contre l'utilisation de la cryptographie, y compris les tentatives d'exploitation d'implémentations cryptographiques, d'algorithmes, de suites de chiffrement ou de modes de fonctionnement faibles, peu sûrs ou inappropriés.
- Attaques contre la logique d'entreprise, y compris les tentatives d'abus ou de contournement des caractéristiques et fonctionnalités de l'application par la manipulation des API, des protocoles et canaux de communication, des fonctionnalités côté client ou d'autres fonctions et ressources du système/de l'application. Il s'agit notamment de scripts intersites (XSS) et de falsifications de requêtes intersites (CSRF).
- Les attaques contre les mécanismes de contrôle d'accès, y compris les tentatives de contournement ou d'abus des mécanismes d'identification, d'authentification ou d'autorisation, ou les tentatives d'exploitation des faiblesses dans la mise en œuvre de ces mécanismes.
- Attaques par l'intermédiaire de toute vulnérabilité "à haut risque" identifiée dans le cadre du processus d'identification des vulnérabilités, tel que défini dans l'exigence 6.3.1.
Comment Secure Code Warrior peut vous aider à atteindre la conformité PCI-DSS 4.0
L'option la plus efficace pour la formation est une approche agile learning platform où la conformité devient un produit d'un programme global d'apprentissage du code sécurisé. Plus précisément, Secure Code Warrior peut aider votre entreprise à réduire les vulnérabilités et à améliorer la productivité des développeurs par les moyens suivants :
- Fournir une compréhension solide et cohérente de la manière de préserver la sécurité des données PCI en comblant les lacunes en matière de connaissances et en fournissant une formation précise dans les langages et les cadres utilisés par vos développeurs. Pour en savoir plus, consultez notre site Learning Platform.
- Offrir un processus continu, mesuré et établi de vérification des compétences pour s'assurer que la formation a été assimilée et mise en pratique. En savoir plus sur nos parcours de formation au code sécurisé prêts à l'emploi pour les développeurs.
- Dispenser des formations par le biais de méthodes d'apprentissage agiles qui fournissent des micro-éclairs d'apprentissage contextuels juste à temps. Les formations génériques et peu fréquentes ne sont plus viables et n'auront pas l'impact souhaité sur la réduction des vulnérabilités. En savoir plus sur les vulnérabilités prises en charge.
- Aide à la documentation de la formation à la sécurité et des normes de codage, utile pour démontrer la conformité lors des audits PCI-DSS. Pour une analyse plus détaillée de PCI-DSS 4.0, consultez notre livre blanc, PCI DSS 4.0 Unraveled.
Ouvrir la version PDF