La nouvelle exigence 6.4.2 de la norme PCI DSS 4.0

Les principales sociétés de cartes bancaires dont Visa, MasterCard et American Express ont créé la Payment Card Industry Data Security Standard (norme de sécurité des données de l’industrie des cartes de paiement, PCI DSS) pour protéger les données des titulaires de cartes. La norme PCI DSS fournit un cadre complet pour sécuriser les informations des cartes tout au long de leur cycle de vie, de la saisie des données au stockage et à la transmission. Elle affecte toutes les entités acceptant ou traitant des cartes de paiement.

Le 31 mars 2022, le PCI Security Standards Council a annoncé le lancement de la version 4.0, avec des exigences qui s’appliqueront à toutes les entités au 25 mars 2025. La version mise à jour regroupe des exigences techniques et opérationnelles supplémentaires conçues pour protéger les données des comptes et combler les lacunes identifiées dans la version précédente (3.2.1). L’exigence 6.4.2 apporte une mise à jour importante : elle oblige certaines organisations à adopter des technologies pour renforcer la sécurité de leurs applications.

Qu’est-ce que l’exigence 6.4.2 de la norme PCI DSS 4.0 ?

L’exigence 6.4.2 met à jour l’exigence 6.6 dans la version précédente de la norme (image 1).

La version 3.2.1 de la norme recommandait les pare-feux d’application web (WAF) et autorisait les tests d’intrusion. Cependant, d’ici le 25 mars 2025, toutes les organisations soumises à la norme PCI DSS devront protéger leurs applications web destinées au public d’un pare-feu d’applications web afin de détecter et de prévenir les attaques. 

Bien que l’exigence 6.4.2 nécessite une allocation budgétaire supplémentaire pour un pare-feu d’applications web (WAF) si l’organisation n’en dispose pas encore, cet achat peut avoir d’autres implications, notamment si l’entité sélectionne un fournisseur de WAF obsolète et difficile à adopter. D’autres WAF exigeront probablement des organisations qu’elles prévoient des effectifs et des ressources supplémentaires, car ils contraignent les équipes DevSecOps à trier régulièrement les faux positifs, à ajuster des milliers de règles et à tenter d’en extraire des informations.  Pire encore, de nombreux pare-feux d’applications web obsolètes sont connus pour bloquer le trafic légitime ou perturber les applications, impactant les résultats financiers et la réputation de l’organisation.

Pour les entités qui repassent à un WAF ou qui en utilisent un pour la première fois, Next-Gen WAF de Fastly apparaît comme la solution idéale.

Se conformer à l’exigence 6.4.2 avec Next-Gen WAF de Fastly

L’exigence 6.4.2 décrit quatre exigences minimales, toutes dépassées par Next-Gen WAF de Fastly :

La solution Next-Gen WAF de Fastly surpasse les exigences 6.4.2 minimales et fournit une protection avancée des applications web et des API (WAAP) pour vos applications, API et microservices. Sa protection ne s’arrête pas aux attaques web par injection répertoriées par l’OWASP Top 10 (que les auditeurs rechercheront au minimum) et offre une protection contre les menaces avancées, y compris le piratage de compte (ATO) via le credential stuffing, les bots malveillants, l’abus d’API et plus encore, à partir d’une solution unifiée.

Pour les organisations adoptant un WAF en préparation de l’exigence 6.4.2, la solution Next-Gen WAF de Fastly permet une transition transparente vers une sécurité des applications flexible, précise et facile à utiliser.

Obtenez un WAF flexible pour l’exigence 6.4.2

Les organisations modernes exécutent des piles technologiques complexes qui nécessitent de la flexibilité, mais les fournisseurs obsolètes adoptent souvent une approche universelle pour leurs produits. Là où d’autres fournisseurs compliquent la personnalisation des produits pour répondre à vos besoins uniques, la solution Next-Gen WAF de Fastly s’adapte à vos besoins, où que vous soyez. Déployez notre WAF dans presque tous les environnements, intégrez-le à des dizaines de vos outils DevOps et de sécurité préférés et personnalisez-le pour répondre à vos besoins uniques en matière de sécurité. Alors que d’autres WAF obligent les organisations à ne déployer que conformément à des exigences d’architecture spécifiques, la flexibilité du Next-Gen WAF de Fastly permet une intégration dans n’importe quelle pile, sans créer de silos dans votre pipeline DevSecOps.

Obtenez un WAF précis pour l'exigence 6.4.2

Lorsque les équipes de sécurité souhaitent un pare-feu d’applications web offrant une protection avancée sans complexité, elles choisissent Fastly. La technologie exclusive SmartParse de Next-Gen WAF permet de prendre des décisions très précises, entraînant moins de faux positifs que d’autres solutions. La capacité de détection de la solution est si précise qu’elle ne nécessite qu’une fraction des ressources internes pour fonctionner : c’est une des principales raisons pour lesquelles près de 90 %¹ de nos clients l’utilisent en mode de blocage complet, alors que la moyenne dans le secteur reste bien inférieure. Alors que d’autres WAF demandent aux professionnels de la sécurité de consacrer de longues heures au tri régulier des faux positifs et aux ajustements, la précision de Next-Gen WAF permet aux organisations de consacrer moins de ressources au tri des alertes et plus de temps aux initiatives critiques qui propulsent leur activité.

Procurez-vous un WAF facile à utiliser pour l’exigence 6.4.2

L’acquisition d’un WAF est la première étape pour se conformer à l’exigence 6.4.2, et cette décision a des répercussions à long terme sur les équipes de sécurité. Alors que les fournisseurs obsolètes détectent et bloquent à l’aide de milliers de règles que les équipes de sécurité doivent gérer et ajuster, la solution Next-Gen WAF de Fastly adopte une approche singulièrement différente.

Plutôt que de bloquer à l’aide d’expressions régulières fastidieuses comme le font de nombreux fournisseurs de pare-feux d’applications web obsolètes, la solution de Fastly utilise SmartParse pour générer des signaux (image 2).

Les signaux fournissent des indications claires sur ce qu’est une attaque et s’intègrent à nos outils intuitifs pour les contrer, via des alertes ou des blocages. Les organisations exploitent les signaux avec notre méthodologie de blocage basée sur des seuils pour limiter la probabilité que les décisions de blocage aient un impact sur le trafic légitime. Ce changement par rapport aux méthodologies obsolètes permet aux organisations de passer en mode de blocage et de prendre des décisions plus assurées, avant de passer progressivement au blocage instantané. D’autres WAF compliquent la validation des décisions de blocage, impactant involontairement le trafic légitime. La solution Next-Gen WAF de Fastly ? Elle fournit des informations et des outils pour protéger facilement votre organisation sans affecter le trafic légitime.

Faites le bon choix pour l’exigence 6.4.2 et au-delà

Next-Gen WAF de Fastly est la solution idéale pour les organisations adoptant un WAF afin de se conformer aux nouvelles exigences 4.0, telles que la 6.4.2, et pour répondre aux exigences existantes, telles que les 6.4.1 et 6.3.3.  Ses capacités robustes et son intuitivité permettent aux organisations de protéger facilement leurs applications, API et microservices, quel que soit leur niveau d’expertise ou leurs ressources. Contactez-nous pour obtenir une démonstration ou en savoir plus sur la façon dont Fastly peut vous aider à répondre aux exigences de la norme PCI DSS.

¹ : près de 90 % des clients Next-Gen WAF l’exécutent en mode de blocage complet depuis mars 2023