Support technique
Documentation
Connexion
Nous contacter
Conseils pour répondre aux exigences de PCI DSS en matière de correctifs
Le 12 janvier 2023 - L'équipe de relations publiques de TuxCare
Les pirates ciblent fréquemment les données du secteur des cartes de paiement (PCI). Pour s'en protéger, des régimes de conformité tels que la norme de sécurité des données PCI (PCI DSS) ont été mis en place pour protéger les données des titulaires de cartes, quel que soit l'endroit où elles sont traitées ou stockées.
La norme PCI DSS comprend plusieurs exigences conçues pour aider à protéger les données des titulaires de cartes, notamment des recommandations spécifiques en matière de correction des vulnérabilités. Dans le cadre des directives de sécurité des applications, PCI DSS informe les organisations du calendrier de correction des vulnérabilités connues qui apparaissent dans la technologie qui prend en charge les transactions de paiement et stocke les données de paiement.
Dans cet article, nous examinerons les exigences de la norme PCI DSS en matière de correctifs et décrirons ce que vous pouvez faire pour répondre à ces exigences, même si les correctifs sont difficiles à mettre en œuvre.
Quelles sont les exigences PCI DSS en matière de correctifs ?
La dernière norme PCI DSS, PCI DSS version 4.0, a été publiée à la fin du mois de mars 2022 (bien que la version 3.2.1 de PCI DSS reste active jusqu'en mars 2024). Hormis quelques changements, les exigences en matière de correctifs restent similaires dans la norme PCI DSS 4.0 et, pour les besoins de cet article, nous ferons référence à la version 4.0 de la norme.
Quelle que soit la version à laquelle vous vous référez, vous trouverez l'essentiel des exigences relatives aux correctifs dans la section 6, qui contient les spécifications relatives au développement et à la maintenance de logiciels et de systèmes sécurisés. Dans la norme PCI DSS 4.0, la section qui traite des correctifs est la section 6.3 : "Les vulnérabilités de sécurité sont identifiées et traitées".
Le correctif est mentionné à quelques reprises dans la section 6.3, mais la principale exigence se trouve au point 6.3.3. Ici, les exigences de la norme PCI DSS stipulent que :
Tous les composants du système sont protégés contre les vulnérabilités connues en installant les correctifs/mises à jour de sécurité applicables comme suit : Les correctifs/mises à jour de sécurité critiques ou de haute sécurité (identifiés selon le processus de classement des risques de l'exigence 6.3.1) sont installés dans un délai d'un mois après leur publication.
Tous les autres correctifs/mises à jour de sécurité applicables sont installés dans un délai approprié déterminé par l'entité (par exemple, dans les trois mois suivant la publication).
En résumé, pour rester conforme à la norme PCI DSS, les correctifs critiques doivent être appliqués dans un délai d'un mois après la publication des correctifs, tandis que les correctifs moins critiques doivent être appliqués dans un délai de trois mois après la publication des correctifs. La criticité telle que définie dans la section 6.3.1 se résume à un mélange de ce que dit le fournisseur, de rapports de sécurité indépendants, et le score CVSS.
La norme PCI DSS impose des exigences strictes en matière de délais d'application des correctifs. Les organisations couvertes qui ne respectent pas ces exigences seront jugées non conformes.
Ce que vous pouvez faire pour respecter les délais de mise en œuvre des correctifs PCI DSS
Chaque organisation adopte sa propre approche en matière de délais d'application des correctifs, même si, dans la pratique, le délai se résume essentiellement à " ASAP ". Une norme indépendante, telle que PCI DSS, fixe toutefois des exigences fixes qui pourraient être difficiles à respecter dans le cadre de vos pratiques de cybersécurité existantes.
Selon la source à laquelle vous vous référez, le temps typique nécessaire à l'application d'un correctif peut être compris entre de deux mois à cinq mois et les organisations ont souvent du mal à respecter les délais d'application des correctifs. La réalité des correctifs peut facilement entrer en conflit avec les exigences de la norme PCI DSS. Le fait de ne pas déployer un correctif assez rapidement peut entraîner une amende, voire pire.
Voici quelques-unes des mesures que votre organisation peut prendre pour réduire le temps nécessaire à l'application des correctifs et avoir plus de chances de rester conforme à la norme PCI DSS :
- Présentation de la visibilité. Comme pour beaucoup de choses en matière de cybersécurité, vous ne pouvez pas protéger ce que vous ne connaissez pas. Identifiez les systèmes sur lesquels vous vous appuyez pour traiter les données des titulaires de cartes et les paiements, puis identifiez également leurs dépendances.
- Se concentrer sur ce qui est essentiel. Si votre régime de conformité - PCI DSS - exige que la technologie liée aux paiements soit corrigée à temps, alors c'est là que vous devez concentrer vos ressources...
- Mieux communiquer et coordonner. Ne soyez pas en mode de crise pour l'application de correctifs : assurez-vous de surveiller en permanence les objectifs d'application de correctifs, de communiquer la nécessité d'appliquer des correctifs aux parties prenantes et de planifier les fenêtres de maintenance.
- Utiliser la technologie pour changer le jeu. L'application manuelle de correctifs prend du temps et implique des redémarrages qui sont perturbateurs. Explorez l'utilisation du live patching pour tous vos systèmes liés aux paiements qui peuvent être couverts par le live patching. Cela inclut les distributions Linux d'entreprise, les bibliothèques open-source, les bases de données et les environnements de virtualisation.
- Les bonnes ressources. La nécessité d'appliquer des correctifs ne devrait plus vous surprendre et vous ne devriez pas être surpris par les ressources intensives nécessaires à l'application cohérente de correctifs sur de vastes parcs technologiques. Pour rester conforme à la norme PCI DSS, vous devez consacrer des ressources suffisantes à l'application de correctifs.
Pour répondre aux exigences en matière de correctifs, y compris celles de la norme PCI DSS, vous devez vraiment mettre toutes les mains à la pâte. Cela implique le déploiement de toutes les solutions technologiques à votre disposition, de l'analyse de la vulnérabilité à l'application de correctifs en direct.
Quelques autres remarques sur les correctifs dans PCI DSS
La mise à jour est mentionnée dans quelques autres exigences PCI DSS. Par exemple, l'article 1.2.5 souligne la nécessité d'identifier les services technologiques qui sont actifs et disponibles et de vérifier que chacun de ces services répond à un besoin professionnel défini. Les services non utilisés sont souvent oubliés et, par conséquent, laissés sans correctifs et vulnérables.
De même, la section 11.3 fait référence à la nécessité d'analyser les dispositifs tournés vers l'extérieur et de veiller à ce que les vulnérabilités découvertes soient corrigées ou corrigées d'une autre manière. Quelques mentions mineures figurent également dans les diverses annexes de la norme.
Obtenez toute l'aide dont vous avez besoin
Le non-respect des délais d'application des correctifs fixés dans la section 6.3 de la norme PCI DSS est synonyme de non-conformité à la norme PCI DSS. Une organisation couverte par les exigences PCI DSS sera soumise à de lourdes amendes s'il s'avère qu'elle n'est pas conforme.
Il y a aussi le risque que des correctifs inadéquats entraînent une violation, ce qui peut entraîner des coûts de nettoyage considérables, voire la fermeture de l'entreprise.
Chez TuxCare, nous pouvons accélérer votre approche des correctifs et faciliter considérablement l'obtention et le maintien de la conformité PCI DSS.
Avec nos solutions de correctifs en direct, vos systèmes recevront les derniers correctifs de vulnérabilité de Linux dès qu'ils seront disponibles. Avec TuxCare, les correctifs sont déployés automatiquement en arrière-plan pendant que les systèmes fonctionnent, sans que votre équipe ait besoin de programmer une fenêtre de maintenance ou un redémarrage.
Les correctifs en direct de TuxCare vous couvrent pour les systèmes d'exploitation Linux d'entreprise les plus populaires ainsi que pour les bibliothèques et bases de données open-source les plus utilisées - et même pour les environnements de virtualisation. Pour en savoir plus sur la gamme de solutions de live patching de TuxCare, cliquez ici..
