Tests d'intrusion PCI DSS

Les exigences 11.4.1 et 11.4.2 de la norme PCI DSS (sécurité des données de l'industrie des cartes de paiement) stipulent que les tests d'intrusion doivent être effectués au moins une fois par an et après tout changement important - par exemple, mise à niveau ou modification d'infrastructure ou d'application, ou après l'installation de nouveaux composants du système.

Les tests d'intrusion permettent de vérifier le niveau de conformité et peuvent être utilisés dès les premières étapes de développement de nouveaux systèmes de traitement afin d’identifier les risques potentiels pour les données des titulaires de carte.

Notre équipe de testeurs accréditée par CREST sera en mesure de vous conseiller sur la manière dont les exigences de test PCI DSS s'appliquent à votre organisation. 

Discuter avec un expert


Qu'est-ce qu'un test d'intrusion PCI DSS ?

Effectuer des tests d'intrusion sur vos systèmes de sécurité, vos appareils et systèmes destinés au public, vos bases de données et autres systèmes qui stockent, traitent ou transmettent des données de titulaires de cartes vous permet de découvrir vos vulnérabilités avant les cybercriminels.

Les objectifs des tests d'intrusion sont les suivants :

  • Déterminer si et comment un utilisateur malveillant pourrait obtenir un accès non autorisé à des actifs qui affectent la sécurité fondamentale du système, des fichiers, des journaux et / ou des données de titulaires de carte ; et
  • Confirmer que les contrôles requis par la norme PCI DSS sont en place et efficaces.

Le test d'intrusion est essentiellement une forme de piratage éthique contrôlée qui consiste à évaluer les systèmes choisis pour détecter d'éventuelles faiblesses. Ces faiblesses peuvent résulter d'une configuration système inadéquate ou inappropriée, de défauts matériels ou logiciels connus ou inconnus, ainsi que de faiblesses opérationnelles en matière de contre-mesures techniques ou liées aux processus.


Le saviez-vous ?

L’exigence 11 de la norme PCI DSS exige des tests réguliers des systèmes et des processus de sécurité, pourtant le rapport de conformité PCI 2017 de Verizon indique que les tests de sécurité conservent leur place habituelle en bas de la liste des priorités, avec seulement 71,9% des entreprises atteignant la pleine conformité.

Les données des cartes de paiement sont un produit de choix pour les cybercriminels et constituent généralement la principale cible des attaques contre les environnements commerciaux. Le rapport 2017 sur la sécurité mondiale Trustwave a révélé que plus de la moitié des incidents ayant fait l'objet d'une enquête portaient sur des données de cartes de paiement ciblées.


Bénéfices du test d'intrusion PCI DSS

Nos tests d'intrusion vous aideront à:

  • Défendre l'environnement cible du point de vue d'un étranger n'ayant accès qu'aux réseaux non fiables ;
  • Défendre l'organisation face à une personne interne ayant accès à des réseaux de confiance, mais pas nécessairement à partir de l'environnement du titulaire de carte lui-même ;
  • Sécuriser l'organisation contre les faiblesses des applications telles que l'injection SQL et les scripts intersites ; et
  • Tester et prouver que tous les contrôles et méthodes de segmentation sont opérationnels et efficaces.

Un test d'intrusion PCI DSS vous convient-il ?

La conformité à la norme PCI DSS, en particulier pour les RoC (Rapports de conformité) et certains questionnaires d’auto-évaluation (SAQ), nécessite des analyses de vulnérabilité internes et externes et des tests d'intrusion fréquents.

Test d'intrusion annuel* (Niveau 2)

Req. 11.4

RoC++

SAQ D pour commerçants

SAQ D pour fournisseurs de services++

SAQ C#

SAQ C-VT#

SAQ B-IP#

SAQ A-EP+

Analyse trimestrielle de réseau sans fil

Req. 11.2

RoC

SAQ D pour commerçants

SAQ D pour fournisseurs de services

SAQ C
 

Scan annuel des applications web1

Req. 6.6

RoC

SAQ D pour commerçants

SAQ D pour fournisseurs de services

SAQ C

SAQ A-EP

* Ou après toute mise à niveau ou modification importante d'une infrastructure ou d'une application (telle qu'une mise à niveau du système d'exploitation, un sous-réseau ajouté à l'environnement ou un serveur web ajouté à l'environnement).
# Requis uniquement pour tester la segmentation du réseau, le cas échéant.
+ Seul test d'intrusion externe requis.
++ Pour les fournisseurs de services, toute segmentation du réseau doit être testée tous les six mois.
1 Ou après toute modification de l'application. Applicable si vous développez vos propres applications ou utilisez une application web tierce non certifiée PCI DSS.


Notre processus d'engagement

Nos testeurs accrédités par CREST suivent une méthodologie établie reposant principalement sur le manuel de méthodologie de test de sécurité Open Source OSSTMM et le Top 10 des risques de sécurité des applications OWASP (Open Web Application Security). Cette approche imitera les techniques d'un attaquant utilisant nombre des mêmes outils facilement disponibles.

  1. Portée : Avant le test, notre équipe discutera de vos exigences en matière d’évaluation de la conformité PCI DSS pour votre réseau interne afin de définir la portée du test.
  2. Reconnaissance : Le testeur énumérera les actifs de votre réseau dans la portée définie du CDE (la technologie qui peut « stocker, traiter ou transmettre des données de titulaire de carte ou des données d'authentification sensibles », ainsi que toute technologie pouvant affecter sa sécurité).
  3. Evaluation : En utilisant les informations identifiées lors de la phase initiale, nous testons le réseau et les applications pour déterminer les vulnérabilités potentielles. 
  4. Rapport : Les résultats du test seront entièrement analysés par un testeur certifié et un rapport complet sera préparé, décrivant l'approche et les résultats, et indiquant un flux logique entre les étapes du test d'intrusion afin de fournir des preuves à votre responsable qualité et / ou aux parties prenantes.
  5. Re-tester : Nous pouvons fournir un accès à nos testeurs et aux données de test brutes pour soutenir et accélérer les travaux de correction. Nous pouvons également réessayer vos systèmes afin que vous puissiez être sûr que tous les problèmes identifiés ont été résolus avec succès.

Comment IT Governance peut vous aider

Nous facilitons la compréhension et l’achat rapide des tests d'intrusion.

Choisissez le test d'intrusion correspondant à votre budget et à vos exigences techniques.

Nous produisons des rapports clairs et compréhensibles pour les équipes d'ingénierie et de gestion.

Nos tests d'intrusion certifiés CREST vous offrent toute l'assurance technique dont vous avez besoin.


Obtenez un devis pour notre test d'intrusion PCI DSS

Notre équipe d'experts est disponible pour discuter de vos besoins en tests d'intrusion et peut vous aider à choisir le service qui convient le mieux à votre organisation.

haut