Tests d'intrusion PCI DSS
Tests d'intrusion PCI DSS
PCI DSS - Tests d'intrusion (Badge)

PCI DSS

PCI DSS - Tests d'intrusion (Badge)

Chez Assecio, nous avons une expérience significative sur le standard PCI DSS. Depuis plus de 10 ans, notre équipe a implémenté le standard et l’a audité : en tant que QSA (Qualified Security Assessor), mais également en tant qu’auditeur technique, notamment lors de la réalisation de tests d’intrusion PCI DSS.

Nous vous apportons notre expertise dans la complétion des actions nécessaires à la mise en conformité, au maintien et à la sécurisation de votre périmètre traitant des CHD (Cardholder Data, informations de cartes bancaires).

Découvrir nos services

Tests d’intrusion internes et externes

exigences 11.4.1, 11.4.2, 11.4.3, 11.4.4

Le standard PCI DSS demande la réalisation de tests d’intrusion, internes et externes, de votre périmètre de conformité. Nous vous proposons la réalisation de ces tests conformément à votre méthodologie si celle-ci est déjà définie, mais pouvons également vous accompagner dans la création de ce processus incluant la périodicité, les méthodes et étapes préalables à la réalisation de ce type de tests.

Nos tests d’intrusion, à finalité non destructive et alignés avec le Penetration Testing Guide du PCI Council, peuvent être réalisés :

  • sur des environnements Cloud (AWS, GCP, Azure, etc.) indépendamment de la couche d’abstraction utilisée ;
  • sur des environnements on-premise hébergés par vous-même ou un prestataire de référence.

Chez Assecio, nous nous occupons :

  • de vous challenger sur le périmètre à tester en fonction de votre périmètre certifié ;
  • d’identifier les parties prenantes à contacter, faisant partie du test ;
  • de réaliser le protocole (ou mandat) d’audit ;
  • de vous accompagner dans la collecte des informations nécessaires à la bonne réalisation du test (accès à distance ou sur site, comptes, outils) ;
  • d’intégrer de facto la réalisation d’un test de segmentation.

Toute offre de test d’intrusion inclut par défaut un contre-audit, réalisable en général 3 mois après le test initial, pour confirmer la correction des vulnérabilités.

PCI DSS v4.0.1 – exigence 11.4.1 : Une méthodologie de test d’intrusion est définie, documentée et mise en œuvre par l’entité

PCI DSS v4.0.1 – exigence 11.4.2 : Un test d’intrusion interne est effectué :
• Selon la méthodologie définie par l’entité
• Au moins une fois tous les 12 mois, ou
• Après toute mise à niveau ou modification importante d’une infrastructure ou d’une application
• Par une ressource interne qualifiée ou un tiers externe qualifié
• L’indépendance organisationnelle du testeur existe

PCI DSS v4.0.1exigence 11.4.3 : Un test d’intrusion externe est effectué :
• Selon la méthodologie définie par l’entité
• Au moins une fois tous les 12 mois, ou
• Après toute mise à niveau ou modification importante d’une infrastructure ou d’une application
• Par une ressource interne qualifiée ou un tiers externe qualifié
• L’indépendance organisationnelle du testeur existe

PCI DSS v4.0.1 – exigence 11.4.4 : Les vulnérabilités exploitables et les faiblesses de sécurité détectées lors des tests d’intrusion sont corrigées comme suit :
• Conformément à l’évaluation par l’entité du risque posé par le problème de sécurité tel que défini dans l’exigence 6.3.1.
• Les tests d’intrusion sont répétés pour vérifier les corrections.

Nous contacter

Tests de segmentation

exigences 11.4.1, 11.4.5

Le standard PCI DSS demande également la réalisation de tests de segmentation tous les 6 mois. Ce test permet de vérifier l’étanchéité des environnements PCI DSS vis-à-vis des autres.

L’objectif est de valider la pertinence des flux ouverts d’un point de vue métier entre les trois zones classiquement implémentées : CDE (Cardholder Data Environment), CCDE (Connected to the Cardholder Data Environment) et OOS (Out Of Scope).

Nous réalisons pour cela des tests depuis ces différents environnements et, à la manière des tests d’intrusion, vous guidons sur les prérequis de réalisation.

PCI DSS v4.0.1 – exigence 11.4.1 : Une méthodologie de test d’intrusion est définie, documentée et mise en œuvre par l’entité

PCI DSS v4.0.1 – exigence 11.4.5 : Si la segmentation est utilisée pour isoler le CDE des autres réseaux, des tests d’intrusion sont effectués sur les mesures de sécurité de segmentation comme suit :
• Au moins une fois tous les 12 mois et après toute modification des mesures ou méthodes de segmentation
• Couvrir toutes les mesures ou méthodes de segmentation utilisée.
• Conformément à la méthodologie des tests d’intrusion définie par l’entité.
• Confirmer que les mesures ou méthodes de segmentation sont opérationnelles et efficaces, et isolent le CDE de tous les systèmes hors du périmètre.
• Confirmer l’efficacité de toute utilisation de l’isolement pour séparer les systèmes avec des niveaux de sécurité différents (voir l’exigence 2.2.3).
• Effectués par une ressource interne qualifiée ou un tiers externe qualifié
• L’indépendance organisationnelle du testeur existe

Nous contacter

Scans de vulnérabilités ASV

exigence 11.3.2

Que vous soyez PSP (Prestataire de Service de Paiement) ou commerçant, la réalisation de scans de vulnérabilités est un prérequis dès lors où la conformité au standard PCI DSS est nécessaire.

Chez Assecio, nous réalisons pour vous, au choix :

  • de prévenir les équipes préalablement au lancement du scan ;
  • les scans de vulnérabilités ASV (externes) depuis la solution choisie par vos soins, ou
  • les scans de vulnérabilités ASV (externes) depuis notre interface de scan, en partenariat avec une solution ASV ;
  • la gestion des vulnérabilités identifiées à l’issue du scan, et la justification auprès du partenaire ASV ;
  • la planification des occurrences de scans, devant être réalisées tous les 3 mois

PCI DSS v4.0.1 – exigence 11.3.2 : Les scans de vulnérabilités externes sont effectués comme suit :
• Au moins une fois tous les trois mois.
• Par un fournisseur de scan de vulnérabilités agréé PCI SSC (ASV).
• Les vulnérabilités sont résolues et les exigences du guide du programme de l’ASV pour un scan réussi sont respectées.
• Des scans de vérification sont effectués si besoin pour confirmer que les vulnérabilités sont résolues conformément aux exigences du guide du programme de l’ASV pour un scan réussi.

Nous contacter

Sensibilisation des développeurs

exigence 6.2.2

La sensibilisation n’étant pas qu’une histoire de conformité au standard PCI DSS, ce dernier demande tout de même la réalisation d’une sensibilisation annuelle pour une population particulière : les développeurs.

Nous vous accompagnons dans la mise en œuvre de cette sensibilisation périodique en échangeant sur vos besoins, vos technologies et langages de développement, mais également votre chaîne CI/CD, afin de vous proposer un contenu pertinent et adapté à l’organisme.

Nous incluons également un topo sur les référentiels connus comme l’OWASP Top 10, afin de donner des éléments de langage standardisés dans le domaine de la sécurité des développements.

À l’issue de la sensibilisation, travaillée avec les équipes internes, vous seront remis le support de sensibilisation ainsi que la preuve de réalisation, dans un format acceptable pour l’auditeur QSA.

PCI DSS v4.0.1 – exigence 6.2.2 : Le personnel développeur de logiciels travaillant sur des logiciels sur mesure et personnalisés est formé au moins une fois tous les 12 mois comme suit :
• Sur la sécurité des logiciels en rapport avec leur fonction et leurs langages de développement.
• Inclure la conception de logiciels sécurisés et les techniques de codage sécurisé.
• Inclure, si des outils de test de sécurité sont utilisés, la manière d’utiliser les outils pour détecter les vulnérabilités dans les logiciels.

Nous contacter

Conseil stratégique d'implémentation

périmètre, audits, implémentation et conseil

Au-delà de la réalisation d’exigences spécifiques attendues par PCI DSS, Assecio est présent pour vous accompagner sur la totalité de votre certification. Certains de ces accompagnements incluent notamment :

  • la stratégie de définition et d’optimisation du périmètre ;
  • la réalisation d’analyses d’écarts ou d’audits à blanc préalablement à la certification ;
  • du conseil sur l’implémentation d’exigences complexes comme le FIM, la gestion des PAN ou encore le mécanisme de détection des changements et des altérations sur les pages de paiement ;
  • l’aide à la sélection de fournisseurs conformes à PCI DSS ou n’impactant pas votre propre conformité.

 

Tout accompagnement est sur mesure afin de répondre au mieux à vos besoins, et s’adapter à votre planning et à vos moyens.

Nous contacter

Nos services

Découvrez notre gamme de services pour vous accompagner dans votre stratégie cybersécurité, qu’elle soit drivée par vos besoins métiers ou vos mises en conformité.

Logo Assecio - Tests d'intrusion

J'ai un besoin stratégique

Vous souhaitez être accompagné dans votre roadmap cybersécurité, vous avez un projet ou une solution à auditer, ou encore un besoin métier clef au sein de votre organisation.

Découvrir
Logo Assecio - Tests d'intrusion

ISO 27001

Vous êtes certifiés ISO 27001 ou en cours de mise en conformité – Vous souhaitez réaliser des tests d’intrusion, des audits internes ou encore avoir du support sur votre SMSI.

Découvrir
Tests d'intrusion ISO 27001

PCI DSS

Vous gérez des données de cartes bancaires, êtes un commerçant ou un prestataire de service de paiement, et souhaitez challenger le niveau de sécurité de votre périmètre CDE.

Découvrir
Tests d'intrusion PCI DSS

DORA

Vous êtes un organisme bancaire ou un prestataire TIC, et avez un programme de tests de résilience opérationnelle à dérouler, des tests d’intrusion au test du PCA.

Découvrir
Tests d'intrusion DORA

ISO 42001

Vous vous intéressez à l’intelligence artificielle, vous avez une démarche d’implémentation de SMIA ou souhaitez tester les agents, les fournisseurs et les solutions IA implémentées. 

Découvrir
Tests d'intrusion ISO 42001

RGPD

Que vous soyez DPO ou simplement concerné par le RGPD, vous avez un besoin relatif à la gestion des risques, une analyse d’impact ou encore de tester une solution gérant des DCP.

Découvrir
Tests d'intrusion RGPD

NIS 2

Vous êtes concernés par la directive NIS 2 ou pensez l’être, et souhaitez évaluer les dispositifs mis en œuvre pour démarrer ou vérifier votre conformité en tant que EE/EI.

Coming soon
Tests d'intrusion NIS 2

Qui sommes-nous ?

Parce que cet ensemble peut être une mise en conformité initiale ou son maintien, la découverte d’un nouveau périmètre, un enjeu interne fort ou encore la nécessité de tester la robustesse d’une solution avant mise en production : l’adaptabilité de nos méthodes à vos enjeux nous permettront, ensemble, de voir le plus loin possible.

En savoir plus

Pourquoi nous choisir ?

Notre engagement : une pluricompétence et des valeurs claires pour vous accompagner avec excellence dans vos projets les plus complexes.

Technicité

Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.

Indépendance

Des constats et recommandations transparentes, objectives et alignées avec nos expertises.

Objectivité

Une approche factuelle basée sur des méthodologies éprouvées et reconnues.

Sur mesure

Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.

Technicité

Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.

Indépendance

Des constats et recommandations transparentes, objectives et alignées avec nos expertises.

Objectivité

Une approche factuelle basée sur des méthodologies éprouvées et reconnues.

Sur mesure

Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.

Vous avez un projet ?

Pour tout renseignement ou besoin, n’hésitez pas à nous contacter et nous reviendrons vers vous sous 24h.

Nous recueillons ces informations dans l’unique objectif de traiter votre demande, conformément à notre Politique de confidentialité.