La norme PCI-DSS 4.0 sera disponible plus tôt que vous ne le pensez, et c'est l'occasion d'améliorer la cyberrésilience de votre organisation
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
