Rational France - Livre blanc - Construire la conformité de l’intérieur
1. Compagnie IBM France Rational
Livre blanc Thought Leadership
Construire la conformité de
l’intérieur
Respecter les nouvelles exigences de sécurité des applications PCI :
2. 2 Building compliance in
« La sécurité des données de paiement des
clients n’est pas seulement un problème des
marques de paiement mais est également de
la responsabilité de toutes les sociétés qui
participent au processus de paiement. Les
marques de paiement exigent de tous les
marchands et fournisseurs de service qui
stockent, traitent et transmettent des données
de carte de paiement de respecter les Normes
de sécurité des données de l’industrie des
cartes de paiement – leurs clients comptent
dessus et leurs réputations en dépendent. »
— PCI Security Standards Council1
3. Building compliance in 3
Depuis 2005, plus de 215 millions d’enregistrements de place les contrôles adaptés et démontrer leur vigilance dans la
données ont été exposés aux conséquences de failles de manipulation des données des cartes de crédit de leurs clients.
sécurité.2
Par ces PCI DSS, il est demandé aux vendeurs de :
Des tollés dans la presse, des assemblées législatives mondiales
et entre autres les clients ont amené les groupes industriels à • Créer et maintenir un réseau sécurisé:
travailler vers des réglementations et des bonnes pratiques dans – Exigence 1 : Installer et paramétrer des pare-feux pour
le domaine la sécurité des données privées. protéger les données des titulaires de carte
– Exigence 2 : Ne pas utiliser les valeurs par défaut des
Le Payment Cards Industry (PCI) Security Standards Council fournisseurs pour les mots de passe système et autres
a ouvert la voie en émettant les Normes de sécurité des – Paramètres de sécurité
données de l’industrie des cartes de paiement (PCI DSS) pour • Protéger les données des titulaires de carte:
établir des exigences spécifiques pour la sécurité des comptes – Exigence 3 : Protéger les données stockées des titulaires
bancaires. A l’origine établi par les principales sociétés de de carte
cartes de crédit, le Conseil fournit un mécanisme pour le – Exigence 4 : Crypter la transmission des données des
développement des normes de sécurité, des directives pour la titulaires de carte sur les réseaux publics ouverts
mise en œuvre des normes et un programme de mise en • Maintenir un programme de gestion de la vulnérabilité:
conformité. Avec la publication des PCI DSS, les marchands – Exigence 5 : Utiliser et mettre à jour régulièrement des
utilisant les données bancaires sur le marché mondial disposent logiciels anti-virus
maintenant d’une feuille de route plus claire pour mettre en – Exigence 6 : Développer et maintenir des systèmes et
des applications sécurisés
• Mettre en œuvre des mesures strictes de contrôle des accès:
– Exigence 7 : Restreindre l’accès aux données des
Seuls 39 pourcents des européens respect- titulaires de carte à des fins de « consultation
ent actuellement les normes de la PCI, primordiale »
contre 63 pourcents aux Etats-Unis. – Exigence 8 : Attribuer un identifiant unique à chaque
personne possédant un accès informatique
— Jericho Forum9 – Exigence 9 : Restreindre l’accès physique aux données
des titulaires de carte
• Surveiller et tester régulièrement les réseaux:
– Exigence 10 : Surveiller tous les accès aux ressources
réseau et aux données des titulaires de carte
– Exigence 11 : Tester régulièrement la sécurité des
systèmes et des processus
• Appliquer une politique de sécurité des informations:
– Exigence 12 : Mettre en œuvre une politique de sécurité
des informations3
4. 4 Building compliance in
Chacune de ces normes globales possède un ensemble
d’exigences spécifiques qui leurs sont associées et des directives
sont fournies par le Security Standards Council pour aider les
Pour les sociétés développant leur propre
organisations à mettre en œuvre et à préparer leur mise en logiciel, l’approche la plus efficace est
conformité. d’intégrer des scanners de vulnérabilité du
code source dans le développement,
Faibles taux de conformité
De récentes études des marchands ont clairement montré que l’intégration et les tests de l’application.
la conformité aux exigences des normes de la PCI est en retard — Gartner Research16
malgré certains investissements significatifs. Visa USA, la seule
marque de carte à nous transmettre leurs statistiques de
conformité jusqu’à présent, a déclaré que les taux de confor-
mité ne sont que de 36 pourcents parmi ses marchands de Dans le développement d’applications personnalisées en
niveau un (ceux qui traitent plus de six millions de transactions particulier, les organisations luttent pour l’intégration de la
par carte par an) et de 15 pourcents parmi ses marchands de sécurité dans chaque phase du cycle de développement et pour
niveau deux (ceux qui traitent entre un million et six millions la production de rapports d’audit qui démontrent le degré de
de transactions par an). 4 conformité à la PCI à la fois dans les systèmes internes et
externes. Relever ces défis demandera une combinaison du bon
Cependant, la plupart des compagnies interrogées par processus, des bonnes compétences et des bons outils. Il est
Forrester Research s’attendent à répondre aux exigences pour vital que les organisations soumises aux exigences de la PCI
le milieu de l’année 2008.5 commencent à suivre cette initiative immédiatement. « La
hausse rapide des menaces ciblées fait de l’augmentation de la
Les plus importants défis pour répondre aux exigences cités par sécurité des applications une chose sur laquelle les entreprises
Forrester incluent : doivent se concentrer aujourd’hui. »7 déclare John Pescatore
de Gartner.
• Construire la sécurité de l’intérieur : Faire de la sécurité une
partie intégrante du processus quotidien à travers
l’organisation, dans les politiques et les processus
• Auditer et rapporter : Prouver la conformité peut être aussi
difficile que l’atteindre
• Garantir la sécurité des partenaires : Obtenir la connaissance
de la sécurité de ceux avec qui nous partageons les données6
5. Building compliance in 5
Impact mondial de la PCI
La pression sur les organisations pour se conformer aux
normes de la PCI est ressentie partout dans le monde car les
marchés et les transactions mondiaux prédominent et l’impact
des failles de sécurité concernant les données dépasse les
frontières nationales. Les marques de carte sont des entités
mondiales et réalisent donc un déploiement mondial de la
conformité aux normes de la PCI et des schémas de mise en
œuvre. American Express, par exemple, prévoit de terminer
son déploiement mondial en 2008, selon Gartner.8
Cette pression est ressentie par les dirigeants partout dans le
monde. Une étude récente auprès des professionnels de la
sécurité européens effectuée par Qualys et le Jericho Forum a
montré que 74 pourcents des directeurs de la sécurité senior
européens voient l’impact d’une perte de carte de paiement sur
la réputation de la marque comme leur plus grosse préoccu-
pation. La même étude a montré que les européens ont besoin
de rattraper leur retard sur les sociétés des Etats-Unis dans le
domaine de mise en conformité PCI. Seuls 39 pourcents des
européens respectent actuellement les normes de la PCI,
contre 63 pourcents aux Etats-Unis.9
Alors que les activités d’application des normes sont en retard Conformité aux normes de la PCI : Ce n’est
hors de l’Amérique du Nord, les sociétés de cartes tournent plus que pour les sociétés de carte de crédit
clairement leur regard sur les marchés mondiaux en 2008 ; la Les PCI DSS deviennent manifestement de fait une norme de
législation, pays par pays, suivra probablement le modèle défini vigilance pour toute organisation responsable de la
aux Etats-Unis et au Canada, rendant la divulgation obligatoire confidentialité et de l’intégrité de données. En conséquence,
en cas de faille. Les propositions de divulgation des failles de les législateurs des états et fédéraux incorporent des normes
sécurité étudiées par la communauté européenne incluent une similaires dans le développement des lois de confidentialité des
exigence de notification des régulateurs quand une faille de données. La première étape pour de nombreux états a été
sécurité est découverte.10 d’exiger la divulgation en cas de faille, que ce soit un accès à
des données ou une exposition potentiels, ou en cas
d’exposition matérielle. La figure 1 indique la prépondérance
des états disposant d’une sorte de réglementation se rapportant
à la divulgation des failles.
6. 6 Building compliance in
Le risque de vol d’identité en fonction des états actionnaires, de la presse et des clients pour prendre des
Depuis 2005, plus de 200 cas d’exposition d’enregistrements mesures concrètes afin de protéger les données critiques de la
d’identification privée ont été remontés. A ce jour, 32 états ont fraude ou de la corruption. Les années à venir continueront
émis des lois exigeant que les entreprises et dans certains cas les probablement à voir la mise en place de normes de vigilance
agences publiques signalent à leurs clients qu’ils ont été exposés dans la confidentialité des données acceptées par tous.
à des risques de vol d’identité.
Cas individuels de failles de sécurité par emplacement et La plupart des sociétés ont en place des équipements de sécurité
nombre d’enregistrements personnels exposés assez complets, utilisant des firewalls, des VPN, des contrôles
Jusqu’à 50 000 personnes affectées d’accès et du cryptage pour protéger leurs actifs de valeur. Les
Entre 50 000 et 250 000 PCI DSS, cependant, regardent la sécurité de façon plus
Entre 250 000 et 500 000 intégrée, comprenant que c’est uniquement grâce à un modèle
Entre 500 000 et 2 000 000 de sécurité de défense en profondeur que les données peuvent
Plus de 2 000 000 de personnes affectées être les plus en sécurité. Avec cette vue à l’esprit, la PCI est la
Réponses des états première réglementation à exprimer le besoin d’une rigueur en
Etats sans loi de notification de faille terme de sécurité autour des applications elles-mêmes.
Etats avec lois de notification de faille s’appliquant à toute
agence ou société Applications : Une source potentielle de
Etats avec lois de notification de faille ne s’appliquant pas aux sécurité
agences publiques L’attention accrue sur la sécurité des applications dans les
Figure 1 : Lois de divulgation de faille état par état dernières révisions des PCI DSS peuvent être reliées
directement à de nombreuses failles médiatisées récentes, où
Une législation sur les normes concernant la sécurité des les applications peu sûres ont montré qu’elles étaient le point
données basée sur le modèle des normes de la PCI et de d’accès de pirates et la source de pertes de données. Un article
l’OWASP est également en développement, ainsi que des d’Information Week met en évidence la menace provenant des
pénalités pour non-conformité et des récompenses pour problèmes logiciels, montrant que « le flot constant de
conformité. Un exemple est l’état du Texas qui réfléchit à un révélations de pertes ou de vols d’informations de clients par
projet de loi qui fournira une protection aux organisations qui les détaillants a amené les experts de la sécurité à se concentrer
prouvent la conformité vis-à-vis des PCI DSS et établira la sur deux domaines : les médiocres pratiques de sécurité par les
responsabilité des frais de renouvellement des cartes à celles détaillants eux-mêmes et la faiblesse du logiciel utilisé pour
qui ne sont pas conformes.11 traiter les paiements par carte de crédit. »12
Les organisations en dehors des services financiers et commerce L’article rapporte que Polo Ralph Lauren Corp. a accusé un
ressentent une pression accrue de la part des législateurs, des pépin logiciel d’une faille de sécurité qui a amené la HSBC
7. Building compliance in 7
Amérique du Nord à notifier les détenteurs de leur Master- Cette exigence, associée aux autres exigences détaillées de la
Card marquée General Motors que leurs informations per- section, fait de la sécurité des applications une pierre angulaire
sonnelles pouvaient avoir été volées.13 des efforts de conformité à la PCI et le moyen de protéger les
données des titulaires de cartes. Il est clairement reconnu
BJ’s Wholesale Club, dans un autre incident médiatisé, a été qu’une vraie sécurité des données doit débuter à la source.
impliqué contre IBM, imputant à un logiciel défectueux fourni
par la société une faille ayant exposé 40 millions de numéros de La conformité débute à la source
cartes de crédit ainsi que des dépenses de plus 13 millions de Ces nouvelles exigences reconnaissent clairement que la
$US.14 sécurité des données débute par la sécurité du logiciel. C’est
dans le code source que le cryptage est forcé, que la sécurité
Ces incidents, parmi d’autres, tracent une ligne directe entre le des communications réseau est établie, que le contrôle d’accès
Conseil de la PCI directement vers les exigences relatives à la est défini. Ou non. Par conséquent, c’est dans le code source
sécurité étendue des applications contenus dans la Version 1.1 que les travaux de conformité avec les PCI DSS, ainsi que les
des Normes de sécurité des données. efforts de sécurisation des données privées des titulaires de
cartes, doivent débuter. Alors que les PCI DSS incluent
Concentration sur la sécurité des applica- l’analyse des applications web et les firewalls web comme
tions : Exigence six faisant partie de la solution potentielle mise en place pour
La sécurité des applications représente un des domaines les traiter ces problèmes, il est clair que les outils d’analyse du
plus difficiles pour les organisations soumises aux régle- code source représentent la solution la plus efficace, rentable et
mentations de la PCI. La plus récente version des PCI DSS, complète pour identifier et traiter les vulnérabilités logicielles
publiée en septembre 2006, reflète la compréhension gran- qui affectent la confidentialité des données. Comme les
dissante de l’industrie en ce qui concerne l’impact des appli- analystes de Gartner John Pescatore et Avivah Litan ont
cations non sécurisées sur la vie privée. L’ajout le plus signifi- déclaré dans un récent rapport, « Pour les sociétés développant
catif aux Normes est l’intégration d’un nouveau mandat pour leur propre logiciel, l’approche la plus efficace est d’intégrer
la sécurité des applications personnalisées codifiées dans des scanners de vulnérabilité du code source dans le
l’Exigence 6 : Développer et maintenir la sécurité des systèmes développement, l’intégration et les tests de l’application. »16
et des applications. En particulier, l’Exigence 6.6 expose que le
code de toutes les applications personnalisées doit être revu Construire la conformité à la PCI de
pour rechercher les vulnérabilités classiques par une organi- l’intérieur
sation spécialisée dans la sécurité des applications ou qu’un L’attention assidue croissante sur la sécurité du code source
firewall web applicatif doit être installé devant les applications provient du fait qu’il s’agit de l’emplacement central où les
exposées au web. Cette exigence sera considérée comme une « vulnérabilités concernant les données de cartes de crédit sont
bonne pratique » jusqu’au 30 juin 2008 et deviendra ensuite introduites. Cela peut également être l’endroit le moins
une exigence.15
8. 8 Building compliance in
coûteux pour les traiter, car l’analyse du code source est – Validation des entrées/sorties et erreurs d’encodage:
effectuée au plus tôt dans le cycle de développement du ˚ Injection SQL
logiciel. Pour les organisations soumises à la conformité à la ˚ Cross-site scripting
PCI, cela constitue un sens à la fois fiscal et de gestion ˚ Injection système
d’introduire une analyse du code source dans le cycle de • Les défauts de conception et violations de politiques:
développement pour le code personnalisé et externalisé. En – Cryptographie
laisser l’entière responsabilité à une organisation externe réduit – Vulnérabilités de communication réseau
l’avantage financier d’une découverte précoce des vulnér- – Vulnérabilités de configuration de l’application
*abilités et augmente la probabilité de retard et de risques – Contrôle d’accès
pour le projet. – Utilisation de base de données et de système de fichiers
– Code dynamique
Les solutions d’analyse de code source de pointe utilisent une – Contrôle d’accès et erreurs d’authentification
base de connaissance de vulnérabilité considérable alimentée – Vulnérabilités de gestion des erreurs et de connexion:
par un moteur d’analyse capable d’analyser efficacement de ˚ Gestion des erreurs non sécurisée
grandes quantités de code source. La base de connaissance doit ˚ Identification non sécurisée ou inadéquate
inclure non seulement les erreurs de codage classiques qui ˚ Chargement de code natif
ouvrent les portes aux pirates, mais également l’identification ˚ Vulnérabilité de stockage de données
des erreurs de conception et de politique qui exposent les – Composants non sécurisés:
données personnelles au plus grand danger. ˚ Programme malveillant
˚ Méthodes natives risquées
Pour se conformer réellement aux exigences de la PCI, ainsi ˚ Méthodes non supportées
que pour se protéger totalement du risque de sécurité logiciel ˚ Cookies personnalisés / champs cachés
pour les informations de cartes de crédit, le scanner de code
source doit rechercher les erreurs de codage ainsi que les Quand le code source rencontre la confor-
violations de politiques et les défauts de conception. mité à la PCI
Comme toujours, le démon est dans les détails. Il existe
Les outils IBM Rational® AppScan® Source Edition, par plusieurs réglementations dans les PCI DSS impactées par la
exemple, couvrent les deux types de problèmes et leur analyse sécurité du code source. Il est vital que les organisations
inclut : comprennent l’intersection entre le code source et chaque
réglementation des applications pour garantir que la revue de
• Les vulnérabilités de codage: conformité est complète. Cette section fournit une revue des
– Débordement de tampon réglementations de sécurité des applications applicables pour la
– Vulnérabilités de formatage de chaînes de caractères PCI et la manière dont l’analyse du code source peut prendre
– Situations de compétition en charge la mise en conformité.
– Fuite de ressource
9. Building compliance in 9
Exigence de la PCI Actions d’analyse de code source pour mise en conformité
3.2 Ne pas stocker de données d’authentification sensibles ultérieures à l’autorisation. • Identifier les pratiques de stockage de données des titulaires de cartes
potentiellement vulnérables ou non conformes.
3.3 Masquer le Numéro de compte primaire (Primary Account Number, PAN) quand • Contrôler l’absence de pratiques de stockage de données des titulaires de cartes non
il est affiché. sécurisées.
• Identifier tous les points de stockage du PAN et vérifier la cryptographie et la force
3.4 Rendre au minimum le PAN illisible partout où il est enregistré. Utiliser des types cryptographique utilisées.
de cryptage appropriés. • Contrôler l’affichage et le masquage du PAN.
• Fournir le support technologique pour permettre une évaluation cohérente et
mesurable du niveau de sécurité du code source, tout au long de la phase de
6.2 Etablir un processus d’identification des vulnérabilités de sécurité nouvellement
développement:
découvertes.
– Base de connaissance de sécurité complète
– Mesures précises
6.3 Développer des applications logicielles à partir des bonnes pratiques de l’industrie et
– Interfaces et reporting basés sur les rôles et fournissant les informations
assurer la sécurité des informations tout au long du cycle de développement du logiciel.
nécessaires de conformité à la PCI à tous les participants
– Reporting en profondeur pour audit
6.4.1Documentation des impacts.
• Produire des rapports spécifiques à la PCI pour fournir les données de gestion et les
données techniques requises par les normes de la PCI:
6.5 Développer toutes les applications web à partir des directives de codage sécurisées
– Reporting spécifique sur les impacts du code source sur les pertes de données
telles que les directives Open Web Application Security Project (OWASP). Revoir le
– Reporting sur la conformité au Top Ten OWASP
code des applications personnalisées pour découvrir des vulnérabilités de codage.
– Analyser l’historique pour démontrer les efforts de mise en conformité au fil
du temps
6.6 S’assurer que toutes les applications exposées au web sont protégées contre les attaques
– Reporting à la fois en résumé et en détail pour prendre en charge les corrections de
connues.
vulnérabilité spécifiques, les prises de décision de gestion et les exigences de reporting
pour la mise en conformité
Exigence trois : Protéger les données stock- Exigence six : Développer et maintenir des
ées des titulaires de carte systèmes et des applications sécurisés
Il n’existe pas d’exigence plus critique que le besoin de pro- Cette exigence est la réglementation principale traitant du
téger les données des titulaires de carte au niveau de l’enregis- besoin de valider la sécurité des applications sensibles. Elle
trement. Les applications jouent un rôle critique dans cette s’adresse directement au fondement des applications sécurisées
tache, particulièrement par l’implémentation correcte de : l’introduction de processus de sécurité et de revues tout au
contrôles d’accès et d’une cryptographie appropriés. La long du cycle de développement du logiciel. Planification,
conformité avec cette exigence ne peut pas être assurée si les conception, développement et déploiement : toutes les étapes
applications traitant et enregistrant les données n’ont pas été du cycle de vie doivent faire des considérations de sécurité une
complètement revues. priorité principale pour rendre possible et démontrable la mise
en conformité.
10. 10 Building compliance in
Prouver la conformité méthode la plus efficace et la plus rentable possible. Les
Dans toutes les exigences citées précédemment, le besoin de avantages de l’analyse du code source en supplément des tests
documenter les activités de mise en conformité est à la fois d’intrusion pour les applications personnalisées incluent :
implicite et explicite. La documentation est nécessaire non
seulement pour suivre les résultats, mais aussi pour prouver Des coûts de correction faibles : Les tests d’intrusion ne peuvent
qu’un processus est en place, en démontrant la vigilance dans pas être déployés tant que l’application n’est pas terminée.
l’effort de mise en conformité et de protection des données. L’analyse du code source peut être utilisée le plus tôt possible
L’adage « vous ne pouvez pas gérer ce que vous ne pouvez pas dans la phase de Build du cycle de développement, réduisant
mesurer » est particulièrement vrai dans le domaine de la considérablement le coût de correction des vulnér-abilités. Des
sécurité des applications. La pierre angulaire de toute implé- études ont montré que corriger une vulnérabilité après la fin
mentation d’analyse du code source doit donc être la capacité à du développement peut coûter 100 fois plus que pendant la
produire des rapports spécifiques et détaillés des résultats des phase de développement.
analyses et de toutes les activités de correction qui en décou-
lent. Chaque composant du processus de mise en conformité, Une couverture complète des risques de sécurité : Les tests
des responsables aux développeurs, à la qualité et aux respon- d’intrusion couvrent un ensemble plus restreint des risques
sables de la mise en conformité, doit être capable d’en ressortir logiciels, en se concentrant sur les erreurs de codage sans être
es données dont ils ont besoin pour jouer leur rôle dans le capables d’identifier les risques plus dangereux découlant des
processus. erreurs de conception et des violations de politiques. Ceux-ci
peuvent inclure des menaces sur les données personnelles telles
Analyse du code : Le fondement de la que l’absence de cryptage, l’utilisation de mots de passe codés
en dur, l’utilisation inappropriée de l’e-mail ou l’enregistre-
mise en conformité
ment non sécurisé des données privées. Les scanners de code
L’analyse du code source est la base d’une gamme d’options
source sophistiqués peuvent fournir une couverture de cette
potentielles disponibles pour les organisations afin de gérer
plus large gamme de vulnérabilités pour détecter à la source les
leur sécurité et le degré de conformité de leurs applications.
menaces sur la confidentialité et l’intégrité des données.
Gartner reconnaît que l’analyse du code source est l’approche
la plus efficace, comme cité précédemment. Mais la société de
Une identification des vulnérabilités ligne par ligne : La
recherche continue d’affirmer que quand ce n’est « pas
connaissance de l’existence d’une vulnérabilité n’est pas
possible, les entreprises disposant d’une équipe de sécurité et
suffisante. Les développeurs doivent savoir où aller dans le
de l’expertise suffisantes peuvent utiliser les produits d’analyse
code pour corriger la vulnérabilité, et seule une analyse du
des applications web… pendant les tests terminaux d’assurance
code source peut fournir ce niveau de détail et de connaissance.
qualité du logiciel. »17
Une analyse de l’infrastructure logicielle dans son ensemble : Les
Il existe de nombreux avantages à l’analyse du code source, ce
tests d’intrusion sont conçus pour fonctionner exclusive-ment
qui en fait le tout meilleur choix pour les organisations
sur des applications web. Souvent, les menaces critiques sur les
soucieuses de respecter les normes de vigilance en utilisant la
11. Building compliance in 11
données proviennent d’une application middleware ou back- Edition a été conçue « from scratch » pour apporter à vos
end, hors d’atteinte du scanner d’application web. Seule une directeurs, analystes, développeurs et auditeurs les réponses
analyse du code source dans les systèmes interdépendants peut dont ils ont besoin pour gérer les risques des logiciels
fournir une vue réellement complète des risques sur les vulnérables :
données critiques.
• Identifier rapidement les plus sérieux risques de sécurité : Les
Les PCI DSS permettent également l’utilisation de firewalls fonctionnalités uniques d’analyse de Rational AppScan Source
web applicatifs déployés devant les applications qui n’ont pas Edition identifient les erreurs de codage et les défauts de
été testées. Ces produits peuvent être efficaces pour bloquer de conception les plus critiques.
nombreuses attaques contre les applications web classiques, • Optimiser l’efficacité de vos participants à la sécurité : Les
mais ils nécessitent un réglage important et un support meilleurs délais avant résultat rationalisent les efforts de
d’administration. Gartner recommande que « les entreprises sécurité tout au long du cycle de vie du développement
utilisent des firewalls web applicatifs en dernier recours ou, logiciel, pour tous les participants.
quand le budget le permet, en tant que précaution de sécurité • Gérer les risques dans tout votre portefeuille d’entreprise :
supplémentaire. »18 Les tableaux de bord centralisés et les fonctionnalités de
gestion de politiques permettent de disposer d’informations
Même si les tests d’intrusion et les firewalls web applicatifs instantanées de vos risques logiciels, ceci dans l’ensemble de
peuvent tous deux être des outils utiles juste avant ou après le l’entreprise.
déploiement, c’est l’analyse du code source qui représente la
technologie de base la plus efficace et complète pour identifier Avec une solution telle que Rational AppScan Source Edition,
et éliminer les vulnérabilités qui menacent la confidentialité les organisations financières peuvent suivre une approche
des données et la conformité aux réglementations. réellement systématique et mesurable de la mise en conformité
avec la PCI en analysant les vulnérabilités des logiciels criti-
Conformité à la PCI et Rational AppScan ques tout au long du cycle de développement, en évaluant le
Source Edition travail des développeurs externes et en fournissant les résultats
Rational AppScan Source Edition a été l’une des solutions des efforts de mise en conformité aux dirigeants et aux régulateurs.
d’analyse de code source de pointe à fournir des fonctionnalités
spécifiques à la PCI dans ses outils. Le produit utilise une « Pour plus d’informations
lentille » spécifique à la PCI pour voir les résultats de l’analyse Pour en savoir plus sur IBM Rational AppScan Source Edition,
du code source concernant les réglementations spécifiques à la contactez votre représentant IBM ou visitez le site :
PCI, y compris l’audit de conformité avec le Top Ten OWASP. ibm.com/rational/products/appscan/source
Avec le rapport « SmartAudit » PCI d’IBM, les clients peuvent
automatiser l’évaluation du degré de vulnérabilité de leurs
applications critiques. La solution Rational AppScan Source