SlideShare uma empresa Scribd logo

Rational France - Livre blanc - Construire la conformité de l’intérieur

Rational_France
Rational_France
1 de 12
Baixar para ler offline
Compagnie IBM France Rational Livre blanc Thought Leadership Construire la conformité de l’intérieur Respecter les nouvelles exigences de sécurité des applications PCI :
2 Building compliance in « La sécurité des données de paiement des clients n’est pas seulement un problème des marques de paiement mais est également de la responsabilité de toutes les sociétés qui participent au processus de paiement. Les marques de paiement exigent de tous les marchands et fournisseurs de service qui stockent, traitent et transmettent des données de carte de paiement de respecter les Normes de sécurité des données de l’industrie des cartes de paiement – leurs clients comptent dessus et leurs réputations en dépendent. » — PCI Security Standards Council1
Building compliance in 3 Depuis 2005, plus de 215 millions d’enregistrements de place les contrôles adaptés et démontrer leur vigilance dans la données ont été exposés aux conséquences de failles de manipulation des données des cartes de crédit de leurs clients. sécurité.2 Par ces PCI DSS, il est demandé aux vendeurs de : Des tollés dans la presse, des assemblées législatives mondiales et entre autres les clients ont amené les groupes industriels à • Créer et maintenir un réseau sécurisé: travailler vers des réglementations et des bonnes pratiques dans – Exigence 1 : Installer et paramétrer des pare-feux pour le domaine la sécurité des données privées. protéger les données des titulaires de carte – Exigence 2 : Ne pas utiliser les valeurs par défaut des Le Payment Cards Industry (PCI) Security Standards Council fournisseurs pour les mots de passe système et autres a ouvert la voie en émettant les Normes de sécurité des – Paramètres de sécurité données de l’industrie des cartes de paiement (PCI DSS) pour • Protéger les données des titulaires de carte: établir des exigences spécifiques pour la sécurité des comptes – Exigence 3 : Protéger les données stockées des titulaires bancaires. A l’origine établi par les principales sociétés de de carte cartes de crédit, le Conseil fournit un mécanisme pour le – Exigence 4 : Crypter la transmission des données des développement des normes de sécurité, des directives pour la titulaires de carte sur les réseaux publics ouverts mise en œuvre des normes et un programme de mise en • Maintenir un programme de gestion de la vulnérabilité: conformité. Avec la publication des PCI DSS, les marchands – Exigence 5 : Utiliser et mettre à jour régulièrement des utilisant les données bancaires sur le marché mondial disposent logiciels anti-virus maintenant d’une feuille de route plus claire pour mettre en – Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés • Mettre en œuvre des mesures strictes de contrôle des accès: – Exigence 7 : Restreindre l’accès aux données des Seuls 39 pourcents des européens respect- titulaires de carte à des fins de « consultation ent actuellement les normes de la PCI, primordiale » contre 63 pourcents aux Etats-Unis. – Exigence 8 : Attribuer un identifiant unique à chaque personne possédant un accès informatique — Jericho Forum9 – Exigence 9 : Restreindre l’accès physique aux données des titulaires de carte • Surveiller et tester régulièrement les réseaux: – Exigence 10 : Surveiller tous les accès aux ressources réseau et aux données des titulaires de carte – Exigence 11 : Tester régulièrement la sécurité des systèmes et des processus • Appliquer une politique de sécurité des informations: – Exigence 12 : Mettre en œuvre une politique de sécurité des informations3
4 Building compliance in Chacune de ces normes globales possède un ensemble d’exigences spécifiques qui leurs sont associées et des directives sont fournies par le Security Standards Council pour aider les Pour les sociétés développant leur propre organisations à mettre en œuvre et à préparer leur mise en logiciel, l’approche la plus efficace est conformité. d’intégrer des scanners de vulnérabilité du code source dans le développement, Faibles taux de conformité De récentes études des marchands ont clairement montré que l’intégration et les tests de l’application. la conformité aux exigences des normes de la PCI est en retard — Gartner Research16 malgré certains investissements significatifs. Visa USA, la seule marque de carte à nous transmettre leurs statistiques de conformité jusqu’à présent, a déclaré que les taux de confor- mité ne sont que de 36 pourcents parmi ses marchands de Dans le développement d’applications personnalisées en niveau un (ceux qui traitent plus de six millions de transactions particulier, les organisations luttent pour l’intégration de la par carte par an) et de 15 pourcents parmi ses marchands de sécurité dans chaque phase du cycle de développement et pour niveau deux (ceux qui traitent entre un million et six millions la production de rapports d’audit qui démontrent le degré de de transactions par an). 4 conformité à la PCI à la fois dans les systèmes internes et externes. Relever ces défis demandera une combinaison du bon Cependant, la plupart des compagnies interrogées par processus, des bonnes compétences et des bons outils. Il est Forrester Research s’attendent à répondre aux exigences pour vital que les organisations soumises aux exigences de la PCI le milieu de l’année 2008.5 commencent à suivre cette initiative immédiatement. « La hausse rapide des menaces ciblées fait de l’augmentation de la Les plus importants défis pour répondre aux exigences cités par sécurité des applications une chose sur laquelle les entreprises Forrester incluent : doivent se concentrer aujourd’hui. »7 déclare John Pescatore de Gartner. • Construire la sécurité de l’intérieur : Faire de la sécurité une partie intégrante du processus quotidien à travers l’organisation, dans les politiques et les processus • Auditer et rapporter : Prouver la conformité peut être aussi difficile que l’atteindre • Garantir la sécurité des partenaires : Obtenir la connaissance de la sécurité de ceux avec qui nous partageons les données6
Building compliance in 5 Impact mondial de la PCI La pression sur les organisations pour se conformer aux normes de la PCI est ressentie partout dans le monde car les marchés et les transactions mondiaux prédominent et l’impact des failles de sécurité concernant les données dépasse les frontières nationales. Les marques de carte sont des entités mondiales et réalisent donc un déploiement mondial de la conformité aux normes de la PCI et des schémas de mise en œuvre. American Express, par exemple, prévoit de terminer son déploiement mondial en 2008, selon Gartner.8 Cette pression est ressentie par les dirigeants partout dans le monde. Une étude récente auprès des professionnels de la sécurité européens effectuée par Qualys et le Jericho Forum a montré que 74 pourcents des directeurs de la sécurité senior européens voient l’impact d’une perte de carte de paiement sur la réputation de la marque comme leur plus grosse préoccu- pation. La même étude a montré que les européens ont besoin de rattraper leur retard sur les sociétés des Etats-Unis dans le domaine de mise en conformité PCI. Seuls 39 pourcents des européens respectent actuellement les normes de la PCI, contre 63 pourcents aux Etats-Unis.9 Alors que les activités d’application des normes sont en retard Conformité aux normes de la PCI : Ce n’est hors de l’Amérique du Nord, les sociétés de cartes tournent plus que pour les sociétés de carte de crédit clairement leur regard sur les marchés mondiaux en 2008 ; la Les PCI DSS deviennent manifestement de fait une norme de législation, pays par pays, suivra probablement le modèle défini vigilance pour toute organisation responsable de la aux Etats-Unis et au Canada, rendant la divulgation obligatoire confidentialité et de l’intégrité de données. En conséquence, en cas de faille. Les propositions de divulgation des failles de les législateurs des états et fédéraux incorporent des normes sécurité étudiées par la communauté européenne incluent une similaires dans le développement des lois de confidentialité des exigence de notification des régulateurs quand une faille de données. La première étape pour de nombreux états a été sécurité est découverte.10 d’exiger la divulgation en cas de faille, que ce soit un accès à des données ou une exposition potentiels, ou en cas d’exposition matérielle. La figure 1 indique la prépondérance des états disposant d’une sorte de réglementation se rapportant à la divulgation des failles.
6 Building compliance in Le risque de vol d’identité en fonction des états actionnaires, de la presse et des clients pour prendre des Depuis 2005, plus de 200 cas d’exposition d’enregistrements mesures concrètes afin de protéger les données critiques de la d’identification privée ont été remontés. A ce jour, 32 états ont fraude ou de la corruption. Les années à venir continueront émis des lois exigeant que les entreprises et dans certains cas les probablement à voir la mise en place de normes de vigilance agences publiques signalent à leurs clients qu’ils ont été exposés dans la confidentialité des données acceptées par tous. à des risques de vol d’identité. Cas individuels de failles de sécurité par emplacement et La plupart des sociétés ont en place des équipements de sécurité nombre d’enregistrements personnels exposés assez complets, utilisant des firewalls, des VPN, des contrôles Jusqu’à 50 000 personnes affectées d’accès et du cryptage pour protéger leurs actifs de valeur. Les Entre 50 000 et 250 000 PCI DSS, cependant, regardent la sécurité de façon plus Entre 250 000 et 500 000 intégrée, comprenant que c’est uniquement grâce à un modèle Entre 500 000 et 2 000 000 de sécurité de défense en profondeur que les données peuvent Plus de 2 000 000 de personnes affectées être les plus en sécurité. Avec cette vue à l’esprit, la PCI est la Réponses des états première réglementation à exprimer le besoin d’une rigueur en Etats sans loi de notification de faille terme de sécurité autour des applications elles-mêmes. Etats avec lois de notification de faille s’appliquant à toute agence ou société Applications : Une source potentielle de Etats avec lois de notification de faille ne s’appliquant pas aux sécurité agences publiques L’attention accrue sur la sécurité des applications dans les Figure 1 : Lois de divulgation de faille état par état dernières révisions des PCI DSS peuvent être reliées directement à de nombreuses failles médiatisées récentes, où Une législation sur les normes concernant la sécurité des les applications peu sûres ont montré qu’elles étaient le point données basée sur le modèle des normes de la PCI et de d’accès de pirates et la source de pertes de données. Un article l’OWASP est également en développement, ainsi que des d’Information Week met en évidence la menace provenant des pénalités pour non-conformité et des récompenses pour problèmes logiciels, montrant que « le flot constant de conformité. Un exemple est l’état du Texas qui réfléchit à un révélations de pertes ou de vols d’informations de clients par projet de loi qui fournira une protection aux organisations qui les détaillants a amené les experts de la sécurité à se concentrer prouvent la conformité vis-à-vis des PCI DSS et établira la sur deux domaines : les médiocres pratiques de sécurité par les responsabilité des frais de renouvellement des cartes à celles détaillants eux-mêmes et la faiblesse du logiciel utilisé pour qui ne sont pas conformes.11 traiter les paiements par carte de crédit. »12 Les organisations en dehors des services financiers et commerce L’article rapporte que Polo Ralph Lauren Corp. a accusé un ressentent une pression accrue de la part des législateurs, des pépin logiciel d’une faille de sécurité qui a amené la HSBC
Building compliance in 7 Amérique du Nord à notifier les détenteurs de leur Master- Cette exigence, associée aux autres exigences détaillées de la Card marquée General Motors que leurs informations per- section, fait de la sécurité des applications une pierre angulaire sonnelles pouvaient avoir été volées.13 des efforts de conformité à la PCI et le moyen de protéger les données des titulaires de cartes. Il est clairement reconnu BJ’s Wholesale Club, dans un autre incident médiatisé, a été qu’une vraie sécurité des données doit débuter à la source. impliqué contre IBM, imputant à un logiciel défectueux fourni par la société une faille ayant exposé 40 millions de numéros de La conformité débute à la source cartes de crédit ainsi que des dépenses de plus 13 millions de Ces nouvelles exigences reconnaissent clairement que la $US.14 sécurité des données débute par la sécurité du logiciel. C’est dans le code source que le cryptage est forcé, que la sécurité Ces incidents, parmi d’autres, tracent une ligne directe entre le des communications réseau est établie, que le contrôle d’accès Conseil de la PCI directement vers les exigences relatives à la est défini. Ou non. Par conséquent, c’est dans le code source sécurité étendue des applications contenus dans la Version 1.1 que les travaux de conformité avec les PCI DSS, ainsi que les des Normes de sécurité des données. efforts de sécurisation des données privées des titulaires de cartes, doivent débuter. Alors que les PCI DSS incluent Concentration sur la sécurité des applica- l’analyse des applications web et les firewalls web comme tions : Exigence six faisant partie de la solution potentielle mise en place pour La sécurité des applications représente un des domaines les traiter ces problèmes, il est clair que les outils d’analyse du plus difficiles pour les organisations soumises aux régle- code source représentent la solution la plus efficace, rentable et mentations de la PCI. La plus récente version des PCI DSS, complète pour identifier et traiter les vulnérabilités logicielles publiée en septembre 2006, reflète la compréhension gran- qui affectent la confidentialité des données. Comme les dissante de l’industrie en ce qui concerne l’impact des appli- analystes de Gartner John Pescatore et Avivah Litan ont cations non sécurisées sur la vie privée. L’ajout le plus signifi- déclaré dans un récent rapport, « Pour les sociétés développant catif aux Normes est l’intégration d’un nouveau mandat pour leur propre logiciel, l’approche la plus efficace est d’intégrer la sécurité des applications personnalisées codifiées dans des scanners de vulnérabilité du code source dans le l’Exigence 6 : Développer et maintenir la sécurité des systèmes développement, l’intégration et les tests de l’application. »16 et des applications. En particulier, l’Exigence 6.6 expose que le code de toutes les applications personnalisées doit être revu Construire la conformité à la PCI de pour rechercher les vulnérabilités classiques par une organi- l’intérieur sation spécialisée dans la sécurité des applications ou qu’un L’attention assidue croissante sur la sécurité du code source firewall web applicatif doit être installé devant les applications provient du fait qu’il s’agit de l’emplacement central où les exposées au web. Cette exigence sera considérée comme une « vulnérabilités concernant les données de cartes de crédit sont bonne pratique » jusqu’au 30 juin 2008 et deviendra ensuite introduites. Cela peut également être l’endroit le moins une exigence.15
8 Building compliance in coûteux pour les traiter, car l’analyse du code source est – Validation des entrées/sorties et erreurs d’encodage: effectuée au plus tôt dans le cycle de développement du ˚ Injection SQL logiciel. Pour les organisations soumises à la conformité à la ˚ Cross-site scripting PCI, cela constitue un sens à la fois fiscal et de gestion ˚ Injection système d’introduire une analyse du code source dans le cycle de • Les défauts de conception et violations de politiques: développement pour le code personnalisé et externalisé. En – Cryptographie laisser l’entière responsabilité à une organisation externe réduit – Vulnérabilités de communication réseau l’avantage financier d’une découverte précoce des vulnér- – Vulnérabilités de configuration de l’application *abilités et augmente la probabilité de retard et de risques – Contrôle d’accès pour le projet. – Utilisation de base de données et de système de fichiers – Code dynamique Les solutions d’analyse de code source de pointe utilisent une – Contrôle d’accès et erreurs d’authentification base de connaissance de vulnérabilité considérable alimentée – Vulnérabilités de gestion des erreurs et de connexion: par un moteur d’analyse capable d’analyser efficacement de ˚ Gestion des erreurs non sécurisée grandes quantités de code source. La base de connaissance doit ˚ Identification non sécurisée ou inadéquate inclure non seulement les erreurs de codage classiques qui ˚ Chargement de code natif ouvrent les portes aux pirates, mais également l’identification ˚ Vulnérabilité de stockage de données des erreurs de conception et de politique qui exposent les – Composants non sécurisés: données personnelles au plus grand danger. ˚ Programme malveillant ˚ Méthodes natives risquées Pour se conformer réellement aux exigences de la PCI, ainsi ˚ Méthodes non supportées que pour se protéger totalement du risque de sécurité logiciel ˚ Cookies personnalisés / champs cachés pour les informations de cartes de crédit, le scanner de code source doit rechercher les erreurs de codage ainsi que les Quand le code source rencontre la confor- violations de politiques et les défauts de conception. mité à la PCI Comme toujours, le démon est dans les détails. Il existe Les outils IBM Rational® AppScan® Source Edition, par plusieurs réglementations dans les PCI DSS impactées par la exemple, couvrent les deux types de problèmes et leur analyse sécurité du code source. Il est vital que les organisations inclut : comprennent l’intersection entre le code source et chaque réglementation des applications pour garantir que la revue de • Les vulnérabilités de codage: conformité est complète. Cette section fournit une revue des – Débordement de tampon réglementations de sécurité des applications applicables pour la – Vulnérabilités de formatage de chaînes de caractères PCI et la manière dont l’analyse du code source peut prendre – Situations de compétition en charge la mise en conformité. – Fuite de ressource
Building compliance in 9 Exigence de la PCI Actions d’analyse de code source pour mise en conformité 3.2 Ne pas stocker de données d’authentification sensibles ultérieures à l’autorisation. • Identifier les pratiques de stockage de données des titulaires de cartes potentiellement vulnérables ou non conformes. 3.3 Masquer le Numéro de compte primaire (Primary Account Number, PAN) quand • Contrôler l’absence de pratiques de stockage de données des titulaires de cartes non il est affiché. sécurisées. • Identifier tous les points de stockage du PAN et vérifier la cryptographie et la force 3.4 Rendre au minimum le PAN illisible partout où il est enregistré. Utiliser des types cryptographique utilisées. de cryptage appropriés. • Contrôler l’affichage et le masquage du PAN. • Fournir le support technologique pour permettre une évaluation cohérente et mesurable du niveau de sécurité du code source, tout au long de la phase de 6.2 Etablir un processus d’identification des vulnérabilités de sécurité nouvellement développement: découvertes. – Base de connaissance de sécurité complète – Mesures précises 6.3 Développer des applications logicielles à partir des bonnes pratiques de l’industrie et – Interfaces et reporting basés sur les rôles et fournissant les informations assurer la sécurité des informations tout au long du cycle de développement du logiciel. nécessaires de conformité à la PCI à tous les participants – Reporting en profondeur pour audit 6.4.1Documentation des impacts. • Produire des rapports spécifiques à la PCI pour fournir les données de gestion et les données techniques requises par les normes de la PCI: 6.5 Développer toutes les applications web à partir des directives de codage sécurisées – Reporting spécifique sur les impacts du code source sur les pertes de données telles que les directives Open Web Application Security Project (OWASP). Revoir le – Reporting sur la conformité au Top Ten OWASP code des applications personnalisées pour découvrir des vulnérabilités de codage. – Analyser l’historique pour démontrer les efforts de mise en conformité au fil du temps 6.6 S’assurer que toutes les applications exposées au web sont protégées contre les attaques – Reporting à la fois en résumé et en détail pour prendre en charge les corrections de connues. vulnérabilité spécifiques, les prises de décision de gestion et les exigences de reporting pour la mise en conformité Exigence trois : Protéger les données stock- Exigence six : Développer et maintenir des ées des titulaires de carte systèmes et des applications sécurisés Il n’existe pas d’exigence plus critique que le besoin de pro- Cette exigence est la réglementation principale traitant du téger les données des titulaires de carte au niveau de l’enregis- besoin de valider la sécurité des applications sensibles. Elle trement. Les applications jouent un rôle critique dans cette s’adresse directement au fondement des applications sécurisées tache, particulièrement par l’implémentation correcte de : l’introduction de processus de sécurité et de revues tout au contrôles d’accès et d’une cryptographie appropriés. La long du cycle de développement du logiciel. Planification, conformité avec cette exigence ne peut pas être assurée si les conception, développement et déploiement : toutes les étapes applications traitant et enregistrant les données n’ont pas été du cycle de vie doivent faire des considérations de sécurité une complètement revues. priorité principale pour rendre possible et démontrable la mise en conformité.
10 Building compliance in Prouver la conformité méthode la plus efficace et la plus rentable possible. Les Dans toutes les exigences citées précédemment, le besoin de avantages de l’analyse du code source en supplément des tests documenter les activités de mise en conformité est à la fois d’intrusion pour les applications personnalisées incluent : implicite et explicite. La documentation est nécessaire non seulement pour suivre les résultats, mais aussi pour prouver Des coûts de correction faibles : Les tests d’intrusion ne peuvent qu’un processus est en place, en démontrant la vigilance dans pas être déployés tant que l’application n’est pas terminée. l’effort de mise en conformité et de protection des données. L’analyse du code source peut être utilisée le plus tôt possible L’adage « vous ne pouvez pas gérer ce que vous ne pouvez pas dans la phase de Build du cycle de développement, réduisant mesurer » est particulièrement vrai dans le domaine de la considérablement le coût de correction des vulnér-abilités. Des sécurité des applications. La pierre angulaire de toute implé- études ont montré que corriger une vulnérabilité après la fin mentation d’analyse du code source doit donc être la capacité à du développement peut coûter 100 fois plus que pendant la produire des rapports spécifiques et détaillés des résultats des phase de développement. analyses et de toutes les activités de correction qui en décou- lent. Chaque composant du processus de mise en conformité, Une couverture complète des risques de sécurité : Les tests des responsables aux développeurs, à la qualité et aux respon- d’intrusion couvrent un ensemble plus restreint des risques sables de la mise en conformité, doit être capable d’en ressortir logiciels, en se concentrant sur les erreurs de codage sans être es données dont ils ont besoin pour jouer leur rôle dans le capables d’identifier les risques plus dangereux découlant des processus. erreurs de conception et des violations de politiques. Ceux-ci peuvent inclure des menaces sur les données personnelles telles Analyse du code : Le fondement de la que l’absence de cryptage, l’utilisation de mots de passe codés en dur, l’utilisation inappropriée de l’e-mail ou l’enregistre- mise en conformité ment non sécurisé des données privées. Les scanners de code L’analyse du code source est la base d’une gamme d’options source sophistiqués peuvent fournir une couverture de cette potentielles disponibles pour les organisations afin de gérer plus large gamme de vulnérabilités pour détecter à la source les leur sécurité et le degré de conformité de leurs applications. menaces sur la confidentialité et l’intégrité des données. Gartner reconnaît que l’analyse du code source est l’approche la plus efficace, comme cité précédemment. Mais la société de Une identification des vulnérabilités ligne par ligne : La recherche continue d’affirmer que quand ce n’est « pas connaissance de l’existence d’une vulnérabilité n’est pas possible, les entreprises disposant d’une équipe de sécurité et suffisante. Les développeurs doivent savoir où aller dans le de l’expertise suffisantes peuvent utiliser les produits d’analyse code pour corriger la vulnérabilité, et seule une analyse du des applications web… pendant les tests terminaux d’assurance code source peut fournir ce niveau de détail et de connaissance. qualité du logiciel. »17 Une analyse de l’infrastructure logicielle dans son ensemble : Les Il existe de nombreux avantages à l’analyse du code source, ce tests d’intrusion sont conçus pour fonctionner exclusive-ment qui en fait le tout meilleur choix pour les organisations sur des applications web. Souvent, les menaces critiques sur les soucieuses de respecter les normes de vigilance en utilisant la
Building compliance in 11 données proviennent d’une application middleware ou back- Edition a été conçue « from scratch » pour apporter à vos end, hors d’atteinte du scanner d’application web. Seule une directeurs, analystes, développeurs et auditeurs les réponses analyse du code source dans les systèmes interdépendants peut dont ils ont besoin pour gérer les risques des logiciels fournir une vue réellement complète des risques sur les vulnérables : données critiques. • Identifier rapidement les plus sérieux risques de sécurité : Les Les PCI DSS permettent également l’utilisation de firewalls fonctionnalités uniques d’analyse de Rational AppScan Source web applicatifs déployés devant les applications qui n’ont pas Edition identifient les erreurs de codage et les défauts de été testées. Ces produits peuvent être efficaces pour bloquer de conception les plus critiques. nombreuses attaques contre les applications web classiques, • Optimiser l’efficacité de vos participants à la sécurité : Les mais ils nécessitent un réglage important et un support meilleurs délais avant résultat rationalisent les efforts de d’administration. Gartner recommande que « les entreprises sécurité tout au long du cycle de vie du développement utilisent des firewalls web applicatifs en dernier recours ou, logiciel, pour tous les participants. quand le budget le permet, en tant que précaution de sécurité • Gérer les risques dans tout votre portefeuille d’entreprise : supplémentaire. »18 Les tableaux de bord centralisés et les fonctionnalités de gestion de politiques permettent de disposer d’informations Même si les tests d’intrusion et les firewalls web applicatifs instantanées de vos risques logiciels, ceci dans l’ensemble de peuvent tous deux être des outils utiles juste avant ou après le l’entreprise. déploiement, c’est l’analyse du code source qui représente la technologie de base la plus efficace et complète pour identifier Avec une solution telle que Rational AppScan Source Edition, et éliminer les vulnérabilités qui menacent la confidentialité les organisations financières peuvent suivre une approche des données et la conformité aux réglementations. réellement systématique et mesurable de la mise en conformité avec la PCI en analysant les vulnérabilités des logiciels criti- Conformité à la PCI et Rational AppScan ques tout au long du cycle de développement, en évaluant le Source Edition travail des développeurs externes et en fournissant les résultats Rational AppScan Source Edition a été l’une des solutions des efforts de mise en conformité aux dirigeants et aux régulateurs. d’analyse de code source de pointe à fournir des fonctionnalités spécifiques à la PCI dans ses outils. Le produit utilise une « Pour plus d’informations lentille » spécifique à la PCI pour voir les résultats de l’analyse Pour en savoir plus sur IBM Rational AppScan Source Edition, du code source concernant les réglementations spécifiques à la contactez votre représentant IBM ou visitez le site : PCI, y compris l’audit de conformité avec le Top Ten OWASP. ibm.com/rational/products/appscan/source Avec le rapport « SmartAudit » PCI d’IBM, les clients peuvent automatiser l’évaluation du degré de vulnérabilité de leurs applications critiques. La solution Rational AppScan Source
© Copyright IBM Corporation 2010 IBM Global Services Route 100 Somers, NY 10589 U.S.A. Produit aux Etats-Unis d’Amérique Novembre 2010 Tous droits réservés IBM, le logo IBM et ibm.com sont des marques déposées d’International Business Machines Corporation aux Etats-Unis et/ou dans certains autres pays. Si ces marques et d’autres marques d’IBM sont accompagnées d’un symbole de marque (® ou ™), ces symboles signalent des marques d’IBM aux Etats-Unis à la date de publication de ce document. Ces marques peuvent également exister et éventuellement avoir été enregistrées dans d’autres pays. La liste des marques IBM actualisée est disponible sur Internet, dans la rubrique consacrée au copyright et aux marques du site ibm.com/legal/copytrade.shtml. Les autres noms de société, de produit et de service peuvent appartenir à des tiers. Dans cette publication, les références à des produits et des services IBM n’impliquent pas qu’IBM prévoie de les commercialiser dans tous les pays où IBM est implantée. 1 PCI Security Standards Council, Communiqué de presse, 18 janvier 2007. 2 Privacy Rights Clearinghouse, www.privacyrights.org, 7 novembre 2007. 3 Payment Card Industry Data Security Standard version 1.1, PCI Security Standards Council, septembre 2006. 4 «Visa USA Pledges $20 Million in Incentives to Protect Cardholder Data », Communiqué de presse Visa, 12 décembre 2006. 5 Khalid Kark et Chris McClean, « The Top 10 Things You Should Know About PCI Compliance, » Forrester Research, 23 mars 2007. 6 Ibid. 7 John Pescatore et Avivah Litan, « Answers to Common Questions about PCI Compliance, » Gartner Research, 7 décembre 2006. 8 John Pescatore et Avivah Litan, « PCI Questions are Often Clearer than their Answers, » Gartner, 7 août 2007. 9 Jericho Forum et Qualys, « 74% of Security Executives Concerned About Impact of Payment Card Data Loss, » communiqué de presse, 26 avril 2007. 10 Tom Espiner, « Encryption Market is Taking Off, » zdnet.co.uk, 29 septembre 2006. 11 James DeLuccia IV, pcidss.wordpress.com, « Payment Card Security and IT Controls Explained, » blog, 11 mai 2007, http://pcidss.wordpress.com/category/pci-dss/. 12 Steven Marlin, « Customer Data Losses Blamed On Merchants And Software, » InformationWeek, 28 avril 2005. 13 Ibid. 14 Shawna McAlearney, « BJ’s Settlement with FTC Bodes Ill for Others, » searchsecu- rity.com juin 2005. 15 Colleen Frye, «PCI Council Formed; Revised Standard Includes App Security Requirement », searchsoftwarequality.com, 8 septembre 2006. 16 John Pescatore et Avivah Litan, « Answers to Common Questions about PCI Compliance, » Gartner Research, 7 décembre 2006. 17 Ibid. 18 Ibid. Please Recycle WGW03001-USEN-00

Recomendados

Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Le vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécuritéLe vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécuritéPECB
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 

Recomendados

Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Le vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécuritéLe vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécuritéPECB
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéAndreanne Clarke
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceL'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceAntoine Vigneron
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéEChristophe-Alexandre PAILLARD
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 

Mais conteúdo relacionado

Mais procurados

Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéAndreanne Clarke
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceL'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceAntoine Vigneron
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 

Mais procurados (20)

Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécurité
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-ProvenceL'informatique et la fraude Aix-en-Provence
L'informatique et la fraude Aix-en-Provence
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 

Semelhante a Rational France - Livre blanc - Construire la conformité de l’intérieur

Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Rational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compteRational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compteRational_France
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonCLDEM
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonvsiveton
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by designVersusmind
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 

Semelhante a Rational France - Livre blanc - Construire la conformité de l’intérieur (20)

Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Rational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compteRational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compte
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres siveton
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsiveton
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 

Mais de Rational_France

Rational France - Livre Blanc - Repenser la production de logiciels en enterp...
Rational France - Livre Blanc - Repenser la production de logiciels en enterp...Rational France - Livre Blanc - Repenser la production de logiciels en enterp...
Rational France - Livre Blanc - Repenser la production de logiciels en enterp...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Architecture d'entreprise
Architecture d'entrepriseArchitecture d'entreprise
Architecture d'entrepriseRational_France
 
La famille rational Rhapsody d'IBM
La famille rational Rhapsody d'IBMLa famille rational Rhapsody d'IBM
La famille rational Rhapsody d'IBMRational_France
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 

Mais de Rational_France (7)

Rational France - Livre Blanc - Repenser la production de logiciels en enterp...
Rational France - Livre Blanc - Repenser la production de logiciels en enterp...Rational France - Livre Blanc - Repenser la production de logiciels en enterp...
Rational France - Livre Blanc - Repenser la production de logiciels en enterp...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational cloud
Rational cloudRational cloud
Rational cloud
 
Architecture d'entreprise
Architecture d'entrepriseArchitecture d'entreprise
Architecture d'entreprise
 
La famille rational Rhapsody d'IBM
La famille rational Rhapsody d'IBMLa famille rational Rhapsody d'IBM
La famille rational Rhapsody d'IBM
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 

Rational France - Livre blanc - Construire la conformité de l’intérieur

  • 1. Compagnie IBM France Rational Livre blanc Thought Leadership Construire la conformité de l’intérieur Respecter les nouvelles exigences de sécurité des applications PCI :
  • 2. 2 Building compliance in « La sécurité des données de paiement des clients n’est pas seulement un problème des marques de paiement mais est également de la responsabilité de toutes les sociétés qui participent au processus de paiement. Les marques de paiement exigent de tous les marchands et fournisseurs de service qui stockent, traitent et transmettent des données de carte de paiement de respecter les Normes de sécurité des données de l’industrie des cartes de paiement – leurs clients comptent dessus et leurs réputations en dépendent. » — PCI Security Standards Council1
  • 3. Building compliance in 3 Depuis 2005, plus de 215 millions d’enregistrements de place les contrôles adaptés et démontrer leur vigilance dans la données ont été exposés aux conséquences de failles de manipulation des données des cartes de crédit de leurs clients. sécurité.2 Par ces PCI DSS, il est demandé aux vendeurs de : Des tollés dans la presse, des assemblées législatives mondiales et entre autres les clients ont amené les groupes industriels à • Créer et maintenir un réseau sécurisé: travailler vers des réglementations et des bonnes pratiques dans – Exigence 1 : Installer et paramétrer des pare-feux pour le domaine la sécurité des données privées. protéger les données des titulaires de carte – Exigence 2 : Ne pas utiliser les valeurs par défaut des Le Payment Cards Industry (PCI) Security Standards Council fournisseurs pour les mots de passe système et autres a ouvert la voie en émettant les Normes de sécurité des – Paramètres de sécurité données de l’industrie des cartes de paiement (PCI DSS) pour • Protéger les données des titulaires de carte: établir des exigences spécifiques pour la sécurité des comptes – Exigence 3 : Protéger les données stockées des titulaires bancaires. A l’origine établi par les principales sociétés de de carte cartes de crédit, le Conseil fournit un mécanisme pour le – Exigence 4 : Crypter la transmission des données des développement des normes de sécurité, des directives pour la titulaires de carte sur les réseaux publics ouverts mise en œuvre des normes et un programme de mise en • Maintenir un programme de gestion de la vulnérabilité: conformité. Avec la publication des PCI DSS, les marchands – Exigence 5 : Utiliser et mettre à jour régulièrement des utilisant les données bancaires sur le marché mondial disposent logiciels anti-virus maintenant d’une feuille de route plus claire pour mettre en – Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés • Mettre en œuvre des mesures strictes de contrôle des accès: – Exigence 7 : Restreindre l’accès aux données des Seuls 39 pourcents des européens respect- titulaires de carte à des fins de « consultation ent actuellement les normes de la PCI, primordiale » contre 63 pourcents aux Etats-Unis. – Exigence 8 : Attribuer un identifiant unique à chaque personne possédant un accès informatique — Jericho Forum9 – Exigence 9 : Restreindre l’accès physique aux données des titulaires de carte • Surveiller et tester régulièrement les réseaux: – Exigence 10 : Surveiller tous les accès aux ressources réseau et aux données des titulaires de carte – Exigence 11 : Tester régulièrement la sécurité des systèmes et des processus • Appliquer une politique de sécurité des informations: – Exigence 12 : Mettre en œuvre une politique de sécurité des informations3
  • 4. 4 Building compliance in Chacune de ces normes globales possède un ensemble d’exigences spécifiques qui leurs sont associées et des directives sont fournies par le Security Standards Council pour aider les Pour les sociétés développant leur propre organisations à mettre en œuvre et à préparer leur mise en logiciel, l’approche la plus efficace est conformité. d’intégrer des scanners de vulnérabilité du code source dans le développement, Faibles taux de conformité De récentes études des marchands ont clairement montré que l’intégration et les tests de l’application. la conformité aux exigences des normes de la PCI est en retard — Gartner Research16 malgré certains investissements significatifs. Visa USA, la seule marque de carte à nous transmettre leurs statistiques de conformité jusqu’à présent, a déclaré que les taux de confor- mité ne sont que de 36 pourcents parmi ses marchands de Dans le développement d’applications personnalisées en niveau un (ceux qui traitent plus de six millions de transactions particulier, les organisations luttent pour l’intégration de la par carte par an) et de 15 pourcents parmi ses marchands de sécurité dans chaque phase du cycle de développement et pour niveau deux (ceux qui traitent entre un million et six millions la production de rapports d’audit qui démontrent le degré de de transactions par an). 4 conformité à la PCI à la fois dans les systèmes internes et externes. Relever ces défis demandera une combinaison du bon Cependant, la plupart des compagnies interrogées par processus, des bonnes compétences et des bons outils. Il est Forrester Research s’attendent à répondre aux exigences pour vital que les organisations soumises aux exigences de la PCI le milieu de l’année 2008.5 commencent à suivre cette initiative immédiatement. « La hausse rapide des menaces ciblées fait de l’augmentation de la Les plus importants défis pour répondre aux exigences cités par sécurité des applications une chose sur laquelle les entreprises Forrester incluent : doivent se concentrer aujourd’hui. »7 déclare John Pescatore de Gartner. • Construire la sécurité de l’intérieur : Faire de la sécurité une partie intégrante du processus quotidien à travers l’organisation, dans les politiques et les processus • Auditer et rapporter : Prouver la conformité peut être aussi difficile que l’atteindre • Garantir la sécurité des partenaires : Obtenir la connaissance de la sécurité de ceux avec qui nous partageons les données6
  • 5. Building compliance in 5 Impact mondial de la PCI La pression sur les organisations pour se conformer aux normes de la PCI est ressentie partout dans le monde car les marchés et les transactions mondiaux prédominent et l’impact des failles de sécurité concernant les données dépasse les frontières nationales. Les marques de carte sont des entités mondiales et réalisent donc un déploiement mondial de la conformité aux normes de la PCI et des schémas de mise en œuvre. American Express, par exemple, prévoit de terminer son déploiement mondial en 2008, selon Gartner.8 Cette pression est ressentie par les dirigeants partout dans le monde. Une étude récente auprès des professionnels de la sécurité européens effectuée par Qualys et le Jericho Forum a montré que 74 pourcents des directeurs de la sécurité senior européens voient l’impact d’une perte de carte de paiement sur la réputation de la marque comme leur plus grosse préoccu- pation. La même étude a montré que les européens ont besoin de rattraper leur retard sur les sociétés des Etats-Unis dans le domaine de mise en conformité PCI. Seuls 39 pourcents des européens respectent actuellement les normes de la PCI, contre 63 pourcents aux Etats-Unis.9 Alors que les activités d’application des normes sont en retard Conformité aux normes de la PCI : Ce n’est hors de l’Amérique du Nord, les sociétés de cartes tournent plus que pour les sociétés de carte de crédit clairement leur regard sur les marchés mondiaux en 2008 ; la Les PCI DSS deviennent manifestement de fait une norme de législation, pays par pays, suivra probablement le modèle défini vigilance pour toute organisation responsable de la aux Etats-Unis et au Canada, rendant la divulgation obligatoire confidentialité et de l’intégrité de données. En conséquence, en cas de faille. Les propositions de divulgation des failles de les législateurs des états et fédéraux incorporent des normes sécurité étudiées par la communauté européenne incluent une similaires dans le développement des lois de confidentialité des exigence de notification des régulateurs quand une faille de données. La première étape pour de nombreux états a été sécurité est découverte.10 d’exiger la divulgation en cas de faille, que ce soit un accès à des données ou une exposition potentiels, ou en cas d’exposition matérielle. La figure 1 indique la prépondérance des états disposant d’une sorte de réglementation se rapportant à la divulgation des failles.
  • 6. 6 Building compliance in Le risque de vol d’identité en fonction des états actionnaires, de la presse et des clients pour prendre des Depuis 2005, plus de 200 cas d’exposition d’enregistrements mesures concrètes afin de protéger les données critiques de la d’identification privée ont été remontés. A ce jour, 32 états ont fraude ou de la corruption. Les années à venir continueront émis des lois exigeant que les entreprises et dans certains cas les probablement à voir la mise en place de normes de vigilance agences publiques signalent à leurs clients qu’ils ont été exposés dans la confidentialité des données acceptées par tous. à des risques de vol d’identité. Cas individuels de failles de sécurité par emplacement et La plupart des sociétés ont en place des équipements de sécurité nombre d’enregistrements personnels exposés assez complets, utilisant des firewalls, des VPN, des contrôles Jusqu’à 50 000 personnes affectées d’accès et du cryptage pour protéger leurs actifs de valeur. Les Entre 50 000 et 250 000 PCI DSS, cependant, regardent la sécurité de façon plus Entre 250 000 et 500 000 intégrée, comprenant que c’est uniquement grâce à un modèle Entre 500 000 et 2 000 000 de sécurité de défense en profondeur que les données peuvent Plus de 2 000 000 de personnes affectées être les plus en sécurité. Avec cette vue à l’esprit, la PCI est la Réponses des états première réglementation à exprimer le besoin d’une rigueur en Etats sans loi de notification de faille terme de sécurité autour des applications elles-mêmes. Etats avec lois de notification de faille s’appliquant à toute agence ou société Applications : Une source potentielle de Etats avec lois de notification de faille ne s’appliquant pas aux sécurité agences publiques L’attention accrue sur la sécurité des applications dans les Figure 1 : Lois de divulgation de faille état par état dernières révisions des PCI DSS peuvent être reliées directement à de nombreuses failles médiatisées récentes, où Une législation sur les normes concernant la sécurité des les applications peu sûres ont montré qu’elles étaient le point données basée sur le modèle des normes de la PCI et de d’accès de pirates et la source de pertes de données. Un article l’OWASP est également en développement, ainsi que des d’Information Week met en évidence la menace provenant des pénalités pour non-conformité et des récompenses pour problèmes logiciels, montrant que « le flot constant de conformité. Un exemple est l’état du Texas qui réfléchit à un révélations de pertes ou de vols d’informations de clients par projet de loi qui fournira une protection aux organisations qui les détaillants a amené les experts de la sécurité à se concentrer prouvent la conformité vis-à-vis des PCI DSS et établira la sur deux domaines : les médiocres pratiques de sécurité par les responsabilité des frais de renouvellement des cartes à celles détaillants eux-mêmes et la faiblesse du logiciel utilisé pour qui ne sont pas conformes.11 traiter les paiements par carte de crédit. »12 Les organisations en dehors des services financiers et commerce L’article rapporte que Polo Ralph Lauren Corp. a accusé un ressentent une pression accrue de la part des législateurs, des pépin logiciel d’une faille de sécurité qui a amené la HSBC
  • 7. Building compliance in 7 Amérique du Nord à notifier les détenteurs de leur Master- Cette exigence, associée aux autres exigences détaillées de la Card marquée General Motors que leurs informations per- section, fait de la sécurité des applications une pierre angulaire sonnelles pouvaient avoir été volées.13 des efforts de conformité à la PCI et le moyen de protéger les données des titulaires de cartes. Il est clairement reconnu BJ’s Wholesale Club, dans un autre incident médiatisé, a été qu’une vraie sécurité des données doit débuter à la source. impliqué contre IBM, imputant à un logiciel défectueux fourni par la société une faille ayant exposé 40 millions de numéros de La conformité débute à la source cartes de crédit ainsi que des dépenses de plus 13 millions de Ces nouvelles exigences reconnaissent clairement que la $US.14 sécurité des données débute par la sécurité du logiciel. C’est dans le code source que le cryptage est forcé, que la sécurité Ces incidents, parmi d’autres, tracent une ligne directe entre le des communications réseau est établie, que le contrôle d’accès Conseil de la PCI directement vers les exigences relatives à la est défini. Ou non. Par conséquent, c’est dans le code source sécurité étendue des applications contenus dans la Version 1.1 que les travaux de conformité avec les PCI DSS, ainsi que les des Normes de sécurité des données. efforts de sécurisation des données privées des titulaires de cartes, doivent débuter. Alors que les PCI DSS incluent Concentration sur la sécurité des applica- l’analyse des applications web et les firewalls web comme tions : Exigence six faisant partie de la solution potentielle mise en place pour La sécurité des applications représente un des domaines les traiter ces problèmes, il est clair que les outils d’analyse du plus difficiles pour les organisations soumises aux régle- code source représentent la solution la plus efficace, rentable et mentations de la PCI. La plus récente version des PCI DSS, complète pour identifier et traiter les vulnérabilités logicielles publiée en septembre 2006, reflète la compréhension gran- qui affectent la confidentialité des données. Comme les dissante de l’industrie en ce qui concerne l’impact des appli- analystes de Gartner John Pescatore et Avivah Litan ont cations non sécurisées sur la vie privée. L’ajout le plus signifi- déclaré dans un récent rapport, « Pour les sociétés développant catif aux Normes est l’intégration d’un nouveau mandat pour leur propre logiciel, l’approche la plus efficace est d’intégrer la sécurité des applications personnalisées codifiées dans des scanners de vulnérabilité du code source dans le l’Exigence 6 : Développer et maintenir la sécurité des systèmes développement, l’intégration et les tests de l’application. »16 et des applications. En particulier, l’Exigence 6.6 expose que le code de toutes les applications personnalisées doit être revu Construire la conformité à la PCI de pour rechercher les vulnérabilités classiques par une organi- l’intérieur sation spécialisée dans la sécurité des applications ou qu’un L’attention assidue croissante sur la sécurité du code source firewall web applicatif doit être installé devant les applications provient du fait qu’il s’agit de l’emplacement central où les exposées au web. Cette exigence sera considérée comme une « vulnérabilités concernant les données de cartes de crédit sont bonne pratique » jusqu’au 30 juin 2008 et deviendra ensuite introduites. Cela peut également être l’endroit le moins une exigence.15
  • 8. 8 Building compliance in coûteux pour les traiter, car l’analyse du code source est – Validation des entrées/sorties et erreurs d’encodage: effectuée au plus tôt dans le cycle de développement du ˚ Injection SQL logiciel. Pour les organisations soumises à la conformité à la ˚ Cross-site scripting PCI, cela constitue un sens à la fois fiscal et de gestion ˚ Injection système d’introduire une analyse du code source dans le cycle de • Les défauts de conception et violations de politiques: développement pour le code personnalisé et externalisé. En – Cryptographie laisser l’entière responsabilité à une organisation externe réduit – Vulnérabilités de communication réseau l’avantage financier d’une découverte précoce des vulnér- – Vulnérabilités de configuration de l’application *abilités et augmente la probabilité de retard et de risques – Contrôle d’accès pour le projet. – Utilisation de base de données et de système de fichiers – Code dynamique Les solutions d’analyse de code source de pointe utilisent une – Contrôle d’accès et erreurs d’authentification base de connaissance de vulnérabilité considérable alimentée – Vulnérabilités de gestion des erreurs et de connexion: par un moteur d’analyse capable d’analyser efficacement de ˚ Gestion des erreurs non sécurisée grandes quantités de code source. La base de connaissance doit ˚ Identification non sécurisée ou inadéquate inclure non seulement les erreurs de codage classiques qui ˚ Chargement de code natif ouvrent les portes aux pirates, mais également l’identification ˚ Vulnérabilité de stockage de données des erreurs de conception et de politique qui exposent les – Composants non sécurisés: données personnelles au plus grand danger. ˚ Programme malveillant ˚ Méthodes natives risquées Pour se conformer réellement aux exigences de la PCI, ainsi ˚ Méthodes non supportées que pour se protéger totalement du risque de sécurité logiciel ˚ Cookies personnalisés / champs cachés pour les informations de cartes de crédit, le scanner de code source doit rechercher les erreurs de codage ainsi que les Quand le code source rencontre la confor- violations de politiques et les défauts de conception. mité à la PCI Comme toujours, le démon est dans les détails. Il existe Les outils IBM Rational® AppScan® Source Edition, par plusieurs réglementations dans les PCI DSS impactées par la exemple, couvrent les deux types de problèmes et leur analyse sécurité du code source. Il est vital que les organisations inclut : comprennent l’intersection entre le code source et chaque réglementation des applications pour garantir que la revue de • Les vulnérabilités de codage: conformité est complète. Cette section fournit une revue des – Débordement de tampon réglementations de sécurité des applications applicables pour la – Vulnérabilités de formatage de chaînes de caractères PCI et la manière dont l’analyse du code source peut prendre – Situations de compétition en charge la mise en conformité. – Fuite de ressource
  • 9. Building compliance in 9 Exigence de la PCI Actions d’analyse de code source pour mise en conformité 3.2 Ne pas stocker de données d’authentification sensibles ultérieures à l’autorisation. • Identifier les pratiques de stockage de données des titulaires de cartes potentiellement vulnérables ou non conformes. 3.3 Masquer le Numéro de compte primaire (Primary Account Number, PAN) quand • Contrôler l’absence de pratiques de stockage de données des titulaires de cartes non il est affiché. sécurisées. • Identifier tous les points de stockage du PAN et vérifier la cryptographie et la force 3.4 Rendre au minimum le PAN illisible partout où il est enregistré. Utiliser des types cryptographique utilisées. de cryptage appropriés. • Contrôler l’affichage et le masquage du PAN. • Fournir le support technologique pour permettre une évaluation cohérente et mesurable du niveau de sécurité du code source, tout au long de la phase de 6.2 Etablir un processus d’identification des vulnérabilités de sécurité nouvellement développement: découvertes. – Base de connaissance de sécurité complète – Mesures précises 6.3 Développer des applications logicielles à partir des bonnes pratiques de l’industrie et – Interfaces et reporting basés sur les rôles et fournissant les informations assurer la sécurité des informations tout au long du cycle de développement du logiciel. nécessaires de conformité à la PCI à tous les participants – Reporting en profondeur pour audit 6.4.1Documentation des impacts. • Produire des rapports spécifiques à la PCI pour fournir les données de gestion et les données techniques requises par les normes de la PCI: 6.5 Développer toutes les applications web à partir des directives de codage sécurisées – Reporting spécifique sur les impacts du code source sur les pertes de données telles que les directives Open Web Application Security Project (OWASP). Revoir le – Reporting sur la conformité au Top Ten OWASP code des applications personnalisées pour découvrir des vulnérabilités de codage. – Analyser l’historique pour démontrer les efforts de mise en conformité au fil du temps 6.6 S’assurer que toutes les applications exposées au web sont protégées contre les attaques – Reporting à la fois en résumé et en détail pour prendre en charge les corrections de connues. vulnérabilité spécifiques, les prises de décision de gestion et les exigences de reporting pour la mise en conformité Exigence trois : Protéger les données stock- Exigence six : Développer et maintenir des ées des titulaires de carte systèmes et des applications sécurisés Il n’existe pas d’exigence plus critique que le besoin de pro- Cette exigence est la réglementation principale traitant du téger les données des titulaires de carte au niveau de l’enregis- besoin de valider la sécurité des applications sensibles. Elle trement. Les applications jouent un rôle critique dans cette s’adresse directement au fondement des applications sécurisées tache, particulièrement par l’implémentation correcte de : l’introduction de processus de sécurité et de revues tout au contrôles d’accès et d’une cryptographie appropriés. La long du cycle de développement du logiciel. Planification, conformité avec cette exigence ne peut pas être assurée si les conception, développement et déploiement : toutes les étapes applications traitant et enregistrant les données n’ont pas été du cycle de vie doivent faire des considérations de sécurité une complètement revues. priorité principale pour rendre possible et démontrable la mise en conformité.
  • 10. 10 Building compliance in Prouver la conformité méthode la plus efficace et la plus rentable possible. Les Dans toutes les exigences citées précédemment, le besoin de avantages de l’analyse du code source en supplément des tests documenter les activités de mise en conformité est à la fois d’intrusion pour les applications personnalisées incluent : implicite et explicite. La documentation est nécessaire non seulement pour suivre les résultats, mais aussi pour prouver Des coûts de correction faibles : Les tests d’intrusion ne peuvent qu’un processus est en place, en démontrant la vigilance dans pas être déployés tant que l’application n’est pas terminée. l’effort de mise en conformité et de protection des données. L’analyse du code source peut être utilisée le plus tôt possible L’adage « vous ne pouvez pas gérer ce que vous ne pouvez pas dans la phase de Build du cycle de développement, réduisant mesurer » est particulièrement vrai dans le domaine de la considérablement le coût de correction des vulnér-abilités. Des sécurité des applications. La pierre angulaire de toute implé- études ont montré que corriger une vulnérabilité après la fin mentation d’analyse du code source doit donc être la capacité à du développement peut coûter 100 fois plus que pendant la produire des rapports spécifiques et détaillés des résultats des phase de développement. analyses et de toutes les activités de correction qui en décou- lent. Chaque composant du processus de mise en conformité, Une couverture complète des risques de sécurité : Les tests des responsables aux développeurs, à la qualité et aux respon- d’intrusion couvrent un ensemble plus restreint des risques sables de la mise en conformité, doit être capable d’en ressortir logiciels, en se concentrant sur les erreurs de codage sans être es données dont ils ont besoin pour jouer leur rôle dans le capables d’identifier les risques plus dangereux découlant des processus. erreurs de conception et des violations de politiques. Ceux-ci peuvent inclure des menaces sur les données personnelles telles Analyse du code : Le fondement de la que l’absence de cryptage, l’utilisation de mots de passe codés en dur, l’utilisation inappropriée de l’e-mail ou l’enregistre- mise en conformité ment non sécurisé des données privées. Les scanners de code L’analyse du code source est la base d’une gamme d’options source sophistiqués peuvent fournir une couverture de cette potentielles disponibles pour les organisations afin de gérer plus large gamme de vulnérabilités pour détecter à la source les leur sécurité et le degré de conformité de leurs applications. menaces sur la confidentialité et l’intégrité des données. Gartner reconnaît que l’analyse du code source est l’approche la plus efficace, comme cité précédemment. Mais la société de Une identification des vulnérabilités ligne par ligne : La recherche continue d’affirmer que quand ce n’est « pas connaissance de l’existence d’une vulnérabilité n’est pas possible, les entreprises disposant d’une équipe de sécurité et suffisante. Les développeurs doivent savoir où aller dans le de l’expertise suffisantes peuvent utiliser les produits d’analyse code pour corriger la vulnérabilité, et seule une analyse du des applications web… pendant les tests terminaux d’assurance code source peut fournir ce niveau de détail et de connaissance. qualité du logiciel. »17 Une analyse de l’infrastructure logicielle dans son ensemble : Les Il existe de nombreux avantages à l’analyse du code source, ce tests d’intrusion sont conçus pour fonctionner exclusive-ment qui en fait le tout meilleur choix pour les organisations sur des applications web. Souvent, les menaces critiques sur les soucieuses de respecter les normes de vigilance en utilisant la
  • 11. Building compliance in 11 données proviennent d’une application middleware ou back- Edition a été conçue « from scratch » pour apporter à vos end, hors d’atteinte du scanner d’application web. Seule une directeurs, analystes, développeurs et auditeurs les réponses analyse du code source dans les systèmes interdépendants peut dont ils ont besoin pour gérer les risques des logiciels fournir une vue réellement complète des risques sur les vulnérables : données critiques. • Identifier rapidement les plus sérieux risques de sécurité : Les Les PCI DSS permettent également l’utilisation de firewalls fonctionnalités uniques d’analyse de Rational AppScan Source web applicatifs déployés devant les applications qui n’ont pas Edition identifient les erreurs de codage et les défauts de été testées. Ces produits peuvent être efficaces pour bloquer de conception les plus critiques. nombreuses attaques contre les applications web classiques, • Optimiser l’efficacité de vos participants à la sécurité : Les mais ils nécessitent un réglage important et un support meilleurs délais avant résultat rationalisent les efforts de d’administration. Gartner recommande que « les entreprises sécurité tout au long du cycle de vie du développement utilisent des firewalls web applicatifs en dernier recours ou, logiciel, pour tous les participants. quand le budget le permet, en tant que précaution de sécurité • Gérer les risques dans tout votre portefeuille d’entreprise : supplémentaire. »18 Les tableaux de bord centralisés et les fonctionnalités de gestion de politiques permettent de disposer d’informations Même si les tests d’intrusion et les firewalls web applicatifs instantanées de vos risques logiciels, ceci dans l’ensemble de peuvent tous deux être des outils utiles juste avant ou après le l’entreprise. déploiement, c’est l’analyse du code source qui représente la technologie de base la plus efficace et complète pour identifier Avec une solution telle que Rational AppScan Source Edition, et éliminer les vulnérabilités qui menacent la confidentialité les organisations financières peuvent suivre une approche des données et la conformité aux réglementations. réellement systématique et mesurable de la mise en conformité avec la PCI en analysant les vulnérabilités des logiciels criti- Conformité à la PCI et Rational AppScan ques tout au long du cycle de développement, en évaluant le Source Edition travail des développeurs externes et en fournissant les résultats Rational AppScan Source Edition a été l’une des solutions des efforts de mise en conformité aux dirigeants et aux régulateurs. d’analyse de code source de pointe à fournir des fonctionnalités spécifiques à la PCI dans ses outils. Le produit utilise une « Pour plus d’informations lentille » spécifique à la PCI pour voir les résultats de l’analyse Pour en savoir plus sur IBM Rational AppScan Source Edition, du code source concernant les réglementations spécifiques à la contactez votre représentant IBM ou visitez le site : PCI, y compris l’audit de conformité avec le Top Ten OWASP. ibm.com/rational/products/appscan/source Avec le rapport « SmartAudit » PCI d’IBM, les clients peuvent automatiser l’évaluation du degré de vulnérabilité de leurs applications critiques. La solution Rational AppScan Source
  • 12. © Copyright IBM Corporation 2010 IBM Global Services Route 100 Somers, NY 10589 U.S.A. Produit aux Etats-Unis d’Amérique Novembre 2010 Tous droits réservés IBM, le logo IBM et ibm.com sont des marques déposées d’International Business Machines Corporation aux Etats-Unis et/ou dans certains autres pays. Si ces marques et d’autres marques d’IBM sont accompagnées d’un symbole de marque (® ou ™), ces symboles signalent des marques d’IBM aux Etats-Unis à la date de publication de ce document. Ces marques peuvent également exister et éventuellement avoir été enregistrées dans d’autres pays. La liste des marques IBM actualisée est disponible sur Internet, dans la rubrique consacrée au copyright et aux marques du site ibm.com/legal/copytrade.shtml. Les autres noms de société, de produit et de service peuvent appartenir à des tiers. Dans cette publication, les références à des produits et des services IBM n’impliquent pas qu’IBM prévoie de les commercialiser dans tous les pays où IBM est implantée. 1 PCI Security Standards Council, Communiqué de presse, 18 janvier 2007. 2 Privacy Rights Clearinghouse, www.privacyrights.org, 7 novembre 2007. 3 Payment Card Industry Data Security Standard version 1.1, PCI Security Standards Council, septembre 2006. 4 «Visa USA Pledges $20 Million in Incentives to Protect Cardholder Data », Communiqué de presse Visa, 12 décembre 2006. 5 Khalid Kark et Chris McClean, « The Top 10 Things You Should Know About PCI Compliance, » Forrester Research, 23 mars 2007. 6 Ibid. 7 John Pescatore et Avivah Litan, « Answers to Common Questions about PCI Compliance, » Gartner Research, 7 décembre 2006. 8 John Pescatore et Avivah Litan, « PCI Questions are Often Clearer than their Answers, » Gartner, 7 août 2007. 9 Jericho Forum et Qualys, « 74% of Security Executives Concerned About Impact of Payment Card Data Loss, » communiqué de presse, 26 avril 2007. 10 Tom Espiner, « Encryption Market is Taking Off, » zdnet.co.uk, 29 septembre 2006. 11 James DeLuccia IV, pcidss.wordpress.com, « Payment Card Security and IT Controls Explained, » blog, 11 mai 2007, http://pcidss.wordpress.com/category/pci-dss/. 12 Steven Marlin, « Customer Data Losses Blamed On Merchants And Software, » InformationWeek, 28 avril 2005. 13 Ibid. 14 Shawna McAlearney, « BJ’s Settlement with FTC Bodes Ill for Others, » searchsecu- rity.com juin 2005. 15 Colleen Frye, «PCI Council Formed; Revised Standard Includes App Security Requirement », searchsoftwarequality.com, 8 septembre 2006. 16 John Pescatore et Avivah Litan, « Answers to Common Questions about PCI Compliance, » Gartner Research, 7 décembre 2006. 17 Ibid. 18 Ibid. Please Recycle WGW03001-USEN-00