BLOG

Assurez la conformité de votre environnement AWS à la norme PCI DSS v4.0.1 grâce à F5

Miniature de Dave Morrissey
Dave Morrissey
Publié le 14 mai 2025

Êtes-vous prêt à répondre aux dernières exigences de sécurité en matière de paiement par carte ? À compter du 31 mars 2025, les organisations doivent désormais se conformer à la norme PCI DSS v4.0.1, une mise à jour de la norme de sécurité des données de l'industrie des cartes de paiement qui a modifié un certain nombre de bonnes pratiques de sécurité de recommandées à obligatoires. À partir de la version 4.0.1, de nouvelles exigences sont apparues autour de la sécurité continue, de l'authentification améliorée et de la protection contre les vulnérabilités, les logiciels malveillants et le phishing.

AWS maintient la conformité PCI DSS des fournisseurs de services de niveau 1 sur bon nombre de ses services, sécurisant ainsi l'infrastructure sous-jacente, le réseau et les composants logiciels. Cependant, dans le cadre du modèle de responsabilité partagée AWS, votre organisation est responsable de la sécurisation de vos applications et de vos données sur AWS. Pour obtenir une conformité totale à la norme PCI DSS, vous devrez peut-être mettre en œuvre des mesures de sécurité supplémentaires pour vos applications et vos données.

Répondre aux exigences de sécurité mises à jour

À partir de la norme PCI DSS v4.0.1, les améliorations de sécurité suivantes sont désormais requises :

Protection des applications Web et des API : La norme PCI DSS v4.0.1 impose une protection continue pour toutes les applications Web et API publiques, nécessitant des solutions qui détectent, préviennent et génèrent des alertes sur les attaques. Elle exige également une analyse des vulnérabilités et la tenue d’un inventaire des logiciels personnalisés, y compris les API et les composants tiers (Exigences 6.2.4, 6.3.2 et 6.4.2).

Authentification améliorée : Pour empêcher tout accès non autorisé aux données de paiement sensibles, l'authentification multifacteur (MFA) est désormais requise pour tout accès à l'environnement de données du titulaire de la carte (CDE), qui englobe tous les composants qui stockent, traitent ou transmettent les données du titulaire de la carte (Exigence 8.4.2).

Surveillance du contrôle de sécurité et détection des pannes : Les organisations doivent détecter et traiter rapidement les défaillances des systèmes de contrôle de sécurité critiques, notamment les systèmes de détection/prévention des intrusions et les solutions anti-malware (exigence 10.7).

Gestion complète des vulnérabilités : Une analyse régulière et approfondie des vulnérabilités de toutes les applications et de tous les systèmes accessibles au public est nécessaire pour identifier les vulnérabilités exploitables, même celles situées au plus profond de la chaîne d’approvisionnement logicielle (Exigence 11.3.1).

Ajoutez les solutions F5 sur AWS pour une couverture complète de la norme PCI DSS.

Comme AWS, F5 propose également des services conformes à la norme PCI DSS en tant que fournisseur de services de niveau 1 . Les solutions F5 fournissent les capacités de sécurité supplémentaires nécessaires à la conformité PCI DSS v4.0.1 sur AWS :

F5 Distributed Cloud WAF et F5 BIG-IP Advanced WAF offrent une sécurité complète des applications qui inspecte le trafic des applications et bloque les 10 principales menaces OWASP, les attaques par déni de service distribué (DDoS) de couche 7 et les robots malveillants. Les solutions WAF de F5 peuvent être déployées devant n'importe quelle application, quel que soit son emplacement : sur site, sur AWS ou sur plusieurs clouds.

Les règles gérées F5 pour AWS WAF fournissent des ensembles de règles de sécurité préconfigurés qui améliorent les capacités de protection d'AWS WAF. Cette protection continuellement mise à jour protège contre les 10 principales menaces de l'OWASP, les robots malveillants, les attaques au niveau de l'API et d'autres vulnérabilités.

F5 Distributed Cloud API Security découvre et protège les API, y compris la surveillance continue avec analyse comportementale pour détecter les anomalies et les attaques potentielles.

F5 BIG-IP Access Policy Manager permet un accès aux applications sans confiance à l'aide de MFA pour atteindre l'environnement de données du titulaire de la carte (CDE). Il sécurise les données des titulaires de cartes en transit et impose un accès sécurisé pour répondre aux exigences.

F5 BIG-IP SSL Orchestrator décrypte le trafic entrant dans votre environnement AWS et le dirige à travers votre pile de sécurité pour détecter les menaces. Il surveille la santé des solutions de sécurité et peut rapidement atténuer les problèmes lorsqu'un contrôle de sécurité échoue, empêchant ainsi le contournement involontaire du trafic.

F5 Distributed Cloud Web App Scanning analyse en continu votre surface d'attaque externe, découvrant les applications et API exposées. Grâce à des tests de pénétration automatisés, il identifie les vulnérabilités potentiellement exploitables au plus profond de votre chaîne d'approvisionnement logicielle.

Optimisez la sécurité et la conformité avec F5

En mettant en œuvre les solutions F5 parallèlement aux contrôles de sécurité AWS, vous pouvez :

  • Simplifiez la conformité avec une couverture complète des exigences PCI DSS, ainsi que des journaux d'audit et des rapports.
  • Réduisez vos risques de violation de données grâce à une détection et une prévention avancées des menaces.
  • Unifiez la posture de sécurité pour une cohérence dans l’ensemble de votre environnement hybride ou multicloud.

Avec plus d'une décennie de partenariat, F5 et AWS travaillent ensemble pour simplifier la livraison et la sécurité des applications dans le cloud. Les solutions F5 sont disponibles sur AWS Marketplace pour ajouter facilement une protection complète aux données sensibles des cartes de paiement. Pour en savoir plus, visitez notre page Web F5 sur AWS .