Les exigences 4.0 de la Norme de sécurité de l’industrie des cartes de paiement sont conçues pour protéger les informations sur la carte contre le vol ou la fraude. Voici quelques contrôles importants qui doivent être en place avant avril 2025.
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble d’exigences de sécurité introduites par le Conseil des normes de sécurité des cartes de paiement (PCI SSC) pour protéger les informations sur la carte contre le vol ou la fraude. Depuis sa création de 2004, PCI DSS a subi plusieurs révisions en raison des nombreux défis posés par la sophistication en évolution des menaces de cybersécurité.
L’itération la plus récente et la plus complète est PCI DSS 4.0. Sortie en mars 2022, il contient 64 exigences, dont 13 sont déjà en vigueur. Les 51 autres exigences «datées» sont classées comme meilleures pratiques et entreront en vigueur en avril 2025.
Comprendre les commandes obligatoires de 2025 de PCI DSS 4.0
PCI DSS 4.0 est conçu pour être une implémentation biphasée. La première phase a obligé les organisations à mettre à jour leurs guides de documentation et à remplir des questionnaires d’auto-évaluation. Pour la deuxième phase plus complexe, PCI DSS s’attend à ce que les organisations se conforment à un nouvel ensemble d’exigences. Explorons certains contrôles obligatoires que les organisations doivent déployer avant le 31 mars 2025:
Pare-feu d’application Web
En 2023, les chercheurs ont suivi plus de 18 milliards d’attaques contre les applications Web orientées publiques. La raison en est simple: les applications Web ne sont pas codées, contiennent des défauts de conception, ont des erreurs de configuration et stockent fréquemment des informations financières sensibles.
PCI DSS exige spécifiquement que les organisations déploient un pare-feu d’application Web sur site ou basé sur le cloud devant les applications Web accessibles au public pour inspecter tout le trafic et pour détecter et empêcher continuellement les attaques Web.
L’exigence indique en outre que la solution doit être activement en cours d’exécution, doit être à jour, doit générer des journaux d’audit et doit être configuré pour bloquer les attaques Web ou générer des alertes qui peuvent être immédiatement étudiées.
Mécanismes antiphishing
Le phishing est l’une des menaces les plus courantes dans l’industrie du commerce de détail. Les acteurs de la menace attaquent les détaillants parce qu’ils stockent des informations précieuses sur les consommateurs telles que les adresses domestiques et les numéros de téléphone, les comptes bancaires et les informations de carte de crédit et de débit. Le FBI a récemment mis en garde contre les acteurs de la menace qui phissent les employés des détaillants nationaux pour obtenir un accès non autorisé aux systèmes d’entreprise.
Exigence 5.4.1 du cadre PCI DSS nécessite spécifiquement les organisations pour déployer des processus et des mécanismes automatisés pour détecter et protéger les individus contre les attaques de phishing. Cela comprend la mise à profit des mécanismes anti-usurage tels que l’authentification des messages basés sur le domaine (DMARC), le cadre de stratégie de l’expéditeur (SPF), le courrier identifié de DomainKeys (DKIM) pour empêcher l’usurpation et l’utilisation des épurateurs de liaison et des solutions anti-malware côté serveur. PCI DSS recommande également une formation régulière de sensibilisation à la sécurité pour aider le personnel à reconnaître et à signaler les attaques de phishing.
Authentification multifactrice résistante à la rediffusion (MFA)
Le MFA est une mesure efficace contre divers types d’attaques de phishing impliquant des compromis sur les informations d’identification. Cela dit, le MFA traditionnel est lui-même vulnérable aux attaques de relecture (aka adversaires dans les attaques de milieu) où les adversaires interceptent les messages entre les expéditeurs et les récepteurs, puis retransmettent le message avec une intention malveillante.
Exigence PCI DSS 8.5.1 exige désormais que les organisations mettent en œuvre un système MFA qui n’est pas vulnérable aux attaques de rediffusion, qui nécessite au moins deux types différents de facteurs d’authentification avant l’accès et qui ne peut être contourné par aucun utilisateur à moins qu’une exception spécifique ne soit accordé par la direction.
Remplacement du cryptage au niveau du disque ou au niveau de la partition
Le cryptage au niveau du disque et au niveau de la partition implique généralement le cryptage entier ou la partition avec la même clé. Lorsque le système est en cours d’exécution ou lorsqu’un utilisateur le demande, toutes les données sont automatiquement déchiffrées. En conséquence, le chiffrement au niveau du disque n’est pas une méthode efficace pour empêcher les attaquants d’accéder aux numéros de compte primaires (PAN) stockés sur des ordinateurs portables, des serveurs et des réseaux de stockage, car les données sont décryptées instantanément lors de l’authentification utilisateur réussie.
Besoin 3.5.1.2 Spécifie que le chiffrement au niveau du disque ou au niveau de la partition doit être remplacé ou implémenté pour rendre PAN illisible. Pan ne doit être déchiffré que lorsqu’il y a une entreprise légitime nécessaire pour y accéder.
Mots de passe à 12 caractères
Les mots de passe sont le principal mode d’authentification et la première ligne de défense dans toute organisation. Dans la version précédente de PCI DSS (v3.2.1), la longueur minimale prescrite pour les mots de passe était de sept caractères.
Cependant, les mots de passe à sept caractères peuvent être fissurés en quelques heures. En conséquence, PCI DSS V4.0 exige que les organisations mettent à jour leurs systèmes d’authentification pour s’adapter au minimum de mots de passe à 12 caractères contenant des caractères alphanumériques.
Si le système ne peut pas prendre en charge les mots de passe à 12 caractères, les organisations doivent mettre en œuvre un minimum de huit. De plus, les mots de passe ne doivent pas être codés en dur et les mots de passe des comptes d’application et système doivent être modifiés périodiquement (8.6.3).
Analyse des journaux automatisés
La détection des anomalies et des logiciels malveillants en passant par le scintillement dans les journaux système est souvent une tâche ardue. Cette difficulté provient de divers facteurs, notamment l’écrasement nombre des outils de sécurité qui doivent être étudiés, le volume de données de sécurité généré par ces outils et la disponibilité limitée du personnel de sécurité.
Pour surmonter cet obstacle, la V4.0 exige désormais que les organisations mettent en œuvre des outils de récolte de journaux, d’analyse et d’alerte tels que les informations de sécurité et la gestion des événements (SIEM). Cela devrait offrir un processus d’examen des journaux reproductibles, cohérent et automatisé, améliorant la capacité d’identifier des activités suspectes ou anormales.
La liste ci-dessus n’est pas l’ensemble complet des exigences. La version 4.0 met beaucoup l’accent sur les évaluations périodiques des risques et les avis des systèmes, des outils, des comptes d’utilisateurs, des processus, des programmes de sensibilisation à la sécurité, etc.
La date limite de conformité 2025 approche à grands pas, et la non-conformité peut potentiellement coûter aux organisations des millions d’amendes et de pénalités. Passez en revue ces exigences avec soin ou mieux encore, contactez les experts en sécurité et en conformité (exécutants) et consultants si vous ne l’avez pas déjà fait.
