La date limite de mise en œuvre de la norme PCI DSS 4.0, le 31 mars 2025, approche à grands pas. Ainsi, tout ce qui a été annoncé dans la version 4.0 en mars 2022 sera figé. Nous vous expliquons sur cette page tout ce que vous devez savoir pour vous préparer.
Qu’est-ce que la norme PCI DSS 4.0 ?
À un niveau élevé, la norme PCI DSS 4.0 renforce les mesures de sécurité concernant l’authentification, le chiffrement et la surveillance pour les entreprises qui traitent des cartes de paiement. Cela inclut certains éléments :
Authentification multifacteur pour les employés qui accèdent aux données de carte bancaire
Exigences plus strictes pour les mots de passe des systèmes
Davantage de contrôles de sécurité et d’alertes pour les équipes de sécurité
Des évaluations des risques et une gestion plus approfondies
Ce sont des mesures de sécurité classiques pour chaque entreprise, il est donc facile de percevoir la conformité à la norme PCI DSS comme un simple exercice de vérification pour l’équipe d’audit. Pour de nombreuses entreprises, c’est là que cela commence et se termine. Mais ce n’est pas tout.
Pourquoi avons-nous besoin d’une sécurité renforcée dans le cadre de la norme PCI DSS 4.0 ?
L’une des principales raisons du renforcement des mesures de sécurité par la norme PCI DSS 4.0 concerne l’augmentation des cyberattaques sophistiquées conçues pour voler les données des cartes de paiement.
Le vol de cartes de paiement n’est pas un problème nouveau : vous pourriez transporter vos cartes de crédit dans un portefeuille anti-RFID ou choisir une station-service qui accepte les paiements mobiles au cas où un lecteur de carte magnétique caché serait attaché à la pompe, prêt à voler les informations de votre carte de crédit. Mais qu'en est-il de votre site Web ?
Personne ne veut aller dans un restaurant à l’hygiène douteuse. Si votre site web amène les clients à perdre leurs informations de carte bancaire à cause d’un escroc, vous risquez de perdre leur fidélité pour toujours.
Mais il y a une bonne nouvelle ! Il ne vous suffit que de quelques minutes pour mettre en place des mesures qui vous aideront à atteindre vos objectifs de conformité.
Pourquoi les organisations ont besoin d'un WAF
La norme PCI DSS 4.0 exige des entreprises qu’elles se procurent et déploient un pare-feu d’applications web (WAF) avant la date limite du 31 mars 2025. Les WAF sont un élément crucial de la sécurité de toute application, mais ils peuvent être une source majeure de friction pour les équipes de sécurité et d’ingénierie.
Aujourd’hui, de nombreux WAF disponibles sur le marché génèrent un grand nombre de faux positifs et nécessitent de longues et fastidieuses périodes de réglage pour éliminer les alertes inutiles. Pire encore, beaucoup sont connus pour bloquer le trafic légitime ou perturber les applications, créant ainsi de la frustration chez les utilisateurs et impactant les résultats financiers.
Le Fastly Next-Gen WAF est une solution idéale pour répondre à l’exigence 6.4.2 de la norme PCI DSS 4.0, qui stipule :
Pour les applications Web destinées au public, une solution technique automatisée est déployée qui détecte et empêche en permanence les attaques Web, avec au moins les éléments suivants :
Est installée devant les applications Web destinées au public et configurée afin de détecter et empêcher les attaques Web.
En exécution active et à jour, le cas échéant.
Génération de journaux d’audit.
Configurée pour bloquer les attaques Web ou générer une alerte qui est immédiatement examinée.
Notre solution Next-Gen WAF peut vous aider à répondre à ces exigences et fournit une protection avancée des applications web et des API (WAAP) pour vos applications, API et microservices. Mais ce ne sont pas les seules raisons qui vous feront apprécier la solution signée Fastly.
SmartParse, notre technologie exclusive, remplace les réglages fastidieux basés sur les règles regex et permet une prise de décision extrêmement précise, conduisant à moins de faux positifs que les autres solutions WAF. C’est pourquoi plus de 90 % de nos clients exécutent le WAF en mode de blocage intégral, avec la certitude qu’ils seront protégés contre les acteurs malveillants sans risquer de perturber le trafic légitime.
Les développeurs l’adorent aussi. La solution Next-Gen WAF de Fastly se déploie avec flexibilité dans n’importe quel environnement et peut protéger les applications et les API où qu’elles se trouvent : dans des conteneurs, sur site, dans le cloud ou en périphérie. Alors que d’autres WAF peuvent empêcher l’innovation, la flexibilité et la précision de la solution Next-Gen WAF de Fastly permettent de l’intégrer parfaitement à n’importe quelle pile DevSecOps, simplifiant ainsi la sécurité pour tout le monde.
Mieux encore, elle se déploie en seulement 10 minutes et ne demande que 60 minutes en moyenne pour un blocage complet. Étant donné l’approche imminente de la date limite de mise en œuvre de la norme PCI DSS, chaque minute compte.
Comment Fastly peut vous aider à être conforme à la norme PCI
Assurez-vous de fixer un rappel pour la date limite, le 31 mars 2025, et restez à l’écoute pour en savoir plus sur la façon de renforcer vos défenses contre les attaques côté client.
