Ce que vous devez savoir sur les tests d'intrusion PCI DSS

Si votre entreprise accepte les paiements par carte de crédit, vous devez vous assurer de la conformité avec la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) pour protéger les données des titulaires de carte. PCI DSS a de nombreuses facettes, les tests d'intrusion étant les plus difficiles pour les entreprises.

Pour vous assurer que votre entreprise est conforme à la norme PCI DSS, des tests d'intrusion doivent être effectués occasionnellement pour vérifier si vos systèmes et processus sont configurés de manière appropriée pour assurer la sécurité des données des titulaires de carte.

Test de pénétration PCI DSS

Il existe trois principaux types de tests d'intrusion : la boîte noire, la boîte blanche et la boîte grise.

• L'évaluation de la pénétration de la boîte noire ne fournit aucune information avant le début des tests
• L'évaluation de la boîte blanche fournit des détails sur l'application et le réseau pendant le test
• L'évaluation de la boîte grise fournit des informations partielles sur les systèmes cibles

Les évaluations en boîte blanche et en boîte grise offrent le meilleur aperçu de l'état de sécurité de votre environnement de données de titulaire de carte (CDE). Les tests sont moins coûteux, nécessitent moins de ressources et sont plus rationalisés.

Différence entre les tests d'intrusion et l'analyse des vulnérabilités

Les tests d'intrusion ne sont pas la même chose que l'analyse des vulnérabilités.

L'objectif d'une analyse de vulnérabilité est d'identifier, d'évaluer et de signaler les faiblesses susceptibles de compromettre vos systèmes. En règle générale, les entreprises doivent effectuer des évaluations de vulnérabilité tous les trimestres ou après avoir apporté des modifications importantes à l'environnement des données des titulaires de carte. Les analyses de vulnérabilité sont souvent effectuées à l'aide d'outils automatisés et suivies ultérieurement par des processus de vérification manuels.

D'autre part, le but d'un test d'intrusion est d'exploiter un système en recherchant des failles de sécurité. Les tests d'intrusion sont un processus délibéré d'essayer de briser la sécurité du CDE ou du système de réseau. Le processus prend plus de temps, est plus manuel et fournit un aperçu complet de l'état de sécurité du système réseau. Les tests de pénétration doivent être effectués annuellement plutôt que trimestriellement.

La portée de l'environnement de données du titulaire de carte (CDE)

La norme PCI DSS définit l'environnement des données des titulaires de carte comme la technologie, les personnes et les processus impliqués dans la transmission, le traitement et le stockage des informations sensibles sur les cartes de crédit. Les tests d'intrusion doivent couvrir tous les systèmes et processus qui traitent les données des titulaires de carte.

Le premier test d'intrusion consiste à évaluer l'accessibilité des réseaux publics de votre organisation. L'évaluation doit être effectuée sur tous les systèmes et processus qui ont accès aux données restreintes des titulaires de carte. Ensuite, les systèmes d'organisation internes qui ont accès aux informations sensibles des cartes de crédit doivent être évalués.

Les tests d'intrusion ne doivent pas seulement couvrir les systèmes, mais également les processus qui accèdent au réseau de l'entreprise. Si une partie de vos données de titulaire de carte est stockée en dehors de l'environnement CDE, les systèmes doivent être testés pour s'assurer qu'ils ne présentent aucune vulnérabilité susceptible de rendre les systèmes internes susceptibles d'être infiltrés par des utilisateurs non autorisés.

Enfin, tous les systèmes « hors champ d'application » utilisés pour stocker, transmettre ou traiter les données des titulaires de carte doivent également être testés pour s'assurer qu'ils sont sécurisés.

Évaluation des systèmes critiques

Selon la norme PCI DSS, les systèmes critiques font référence à l'infrastructure, au matériel et aux processus qui gèrent les données des titulaires de carte. Les systèmes peuvent être des appareils destinés au public, des configurations de sécurité et du matériel général pouvant stocker, transmettre et traiter les informations de carte de crédit.

Les tests d'intrusion peuvent être effectués sur divers composants de votre système de traitement des cartes de crédit, notamment les pare-feu, les serveurs de redirection de commerce électronique, les services d'authentification, les systèmes de détection/prévention des intrusions, entre autres. Tous ces actifs technologiques, ainsi que ceux accessibles et gérés par des utilisateurs privilégiés, relèvent de systèmes critiques.

Différence entre les tests de couche application et de couche réseau

Les attaques récentes contre l'infrastructure des cartes de crédit se sont concentrées sur l'exploitation des vulnérabilités dans les couches applicatives.

De nombreuses entreprises utilisent des applications héritées, des applications Web, des applications mobiles, des composants open source et des logiciels développés en interne dans le cadre de leur infrastructure de traitement des paiements. Les tests de la couche application consistent à essayer de pénétrer les applications utilisées par l'organisation en tirant parti de leurs vulnérabilités.

D'autre part, les tests de la couche réseau consistent à évaluer l'intégrité des appareils qui font partie du réseau d'une organisation. Par exemple, les tests peuvent impliquer d'essayer de s'introduire dans des commutateurs, des routeurs, des pare-feu et des serveurs en exploitant leurs faiblesses. Les vulnérabilités typiques pouvant se trouver dans une couche réseau incluent les appareils mal configurés, les mots de passe par défaut et les systèmes non corrigés.

Tests de couche application et de couche réseau requis par PCI DSS

Pour être conformes à la norme PCI DDS, les entreprises doivent tester l'authentification, les applications de conformité PA-DSS, les applications Web et un environnement de test distinct.

1. i) Authentification. Ici, les entreprises doivent revoir les rôles et l'accès à leur environnement d'employés. De plus, ils doivent s'assurer que les clients n'accèdent qu'à leurs données. Lors de la réalisation de tests d'intrusion, les contrôles des clients titulaires de carte et les contrôles des utilisateurs employeurs doivent être évalués.
2. ii) les demandes de conformité PA-DDS. Ces applications n'ont pas à être testées, mais leur mise en œuvre doit l'être. Les tests doivent se concentrer sur les services et les systèmes d'exploitation exposés plutôt que sur la fonctionnalité du système de paiement.

iii) Applications Web. Pour les entreprises qui utilisent des applications tierces ou commerciales, il est essentiel de s'assurer que les programmes sont correctement mis en œuvre, sécurisés et configurés.

Ce qui précède est un aperçu des tests de pénétration PCI DSS.

Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus socialement responsables. Ken a obtenu son BS en informatique et en génie électrique du MIT.