BLOG

Mise à jour PCI DSS 4.0.1 : De nouvelles mises à niveau majeures de sécurité des API sont requises pour les processeurs de paiement des clients

Miniature de Ian Dinno
Ian Dinno
Publié le 30 août 2024

Le dernier La mise à jour PCI DSS (Payment Card Industry Data Security Standard) 4.0.1 est importante, car elle met davantage l'accent sur les chaînes d'approvisionnement en logiciels, y compris les API et les scripts côté client.

Avec le retrait de la norme PCI DSS 3.2.1, les organisations qui traitent les paiements doivent s'adapter à l'évolution du paysage des applications modernes basées sur les microservices, des environnements multicloud et de la mise en œuvre accrue des API.

Cet article de blog explore certaines des nouvelles exigences critiques introduites dans la norme PCI DSS 4.0.1 visant spécifiquement à protéger les API, qui sont devenues partie intégrante des transactions dans presque tous les secteurs et organisations.

Les nouveaux mandats comprennent :

  • Tests de pré-déploiement 6.2.3 : Cela met l’accent sur l’examen rigoureux, les tests et les pratiques de développement sécurisées pour les logiciels sur mesure et personnalisés, y compris les API avant la publication, afin d’identifier et de corriger les vulnérabilités du code.
  • Protection contre les menaces courantes 6.2.4 : Les organisations doivent mettre en œuvre des contrôles pour prévenir ou atténuer les attaques logicielles courantes et les vulnérabilités associées dans les logiciels sur mesure et personnalisés. Les attaques portent notamment sur l’abus de la logique métier, les attaques par injection (par exemple, SQL, LDAP, XPATH ou autre commande, paramètre, objet, erreur, etc.) et les attaques sur le contrôle d’accès et les données. Tous sont essentiels à la protection des API.
  • Inventaire et aperçu des logiciels sur mesure 6.3.2 : Les entreprises doivent également maintenir la visibilité et l’inventaire des logiciels sur mesure et personnalisés, y compris les API et les composants tiers, pour faciliter la gestion des vulnérabilités et la mise à jour corrective, garantissant ainsi une posture de sécurité complète.
  • Visibilité de la production, détection des menaces et tests 6.4.1 et 6.4.2 : Cette mise à jour souligne la nécessité de tests réguliers et d’une surveillance et d’une protection continues des applications Web et des API publiques contre les vulnérabilités, les attaques connues et les menaces émergentes. Parmi ces exigences :
    • Analyse et tests réguliers (au moins annuels) des applications Web et des API publiques
    • Une solution technique, déployée devant les applications Web et les API publiques, pour détecter et prévenir les attaques Web et API

Les organisations doivent se conformer jusqu’en mars 2025.

Les dernières révisions de la norme PCI DSS 4.0 ont été publiées par le PCI Security Standards Council en juin 2024 et répondent aux transformations commerciales et techniques observées ces dernières années. Ces changements reconnaissent l’adoption généralisée des API et l’évolution des applications et de l’infrastructure prenant en charge un nombre croissant de services et d’interactions alimentant l’économie de plus en plus numérique d’aujourd’hui, y compris les systèmes de paiement en personne, sur le Web et mobiles.

Les API représentent un changement dans le paradigme des menaces, avec leur propre ensemble de menaces spécifiques couvertes dans l' API OWASP TOP 10 . Ils sont sensibles à la plupart des mêmes attaques et vulnérabilités que les applications Web traditionnelles, mais exposent souvent directement la logique métier, ce qui en fait une cible de plus en plus prisée des attaquants . Et ils exigent un ensemble spécifique de contrôles pour protéger les données contre tout accès, manipulation ou exposition non autorisés afin de garantir la confidentialité et de maintenir la confiance des utilisateurs et des parties prenantes, ainsi que pour garantir la confidentialité, l’intégrité et la disponibilité des communications API.

L’échéance de mars 2025 fixée pour que les organisations se conforment souligne l’urgence pour les entreprises de s’aligner sur ces nouvelles spécifications pour protéger les API et leurs scripts côté client.

Quelques stratégies pour garantir la conformité

Pour répondre efficacement aux normes PCI DSS 4.0 et protéger l'ensemble de leur surface de menace, les organisations doivent évaluer leur infrastructure de sécurité, leurs processus et leurs capacités existants et envisager de mettre en œuvre des solutions offrant les éléments suivants :

  • Découverte complète des API : Cela commence par l’intégration avec les référentiels de code pour créer des inventaires et une documentation complets et précis directement à partir des sources. Mais il inclut également une analyse basée sur le trafic et une exploration de domaine pour identifier les API fantômes, zombies, non gérées et tierces.
  • Tests API robustes : Ces tests fournissent une analyse de préproduction du code API associée à des tests dynamiques des applications et des API publiques, offrant une identification continue des vulnérabilités avec des conseils de contexte et de correction.
  • Protection d'exécution : Cela nécessite des mécanismes d’application et de contrôle en ligne pour bloquer, limiter et appliquer un comportement API approprié. Cela inclut WAF et d'autres fonctionnalités spécifiques à l'API pour mettre en œuvre des règles de protection des API, une limitation du débit, un masquage des données et des capacités d'application de schéma pour fournir un modèle de sécurité positif.
  • Surveillance continue et détection d’anomalies : Inclut une analyse comportementale basée sur l'IA/ML et une inspection continue du trafic des API pour identifier les attaques potentielles, l'exposition de données sensibles et d'autres comportements anormaux des API pouvant indiquer un abus ou une compromission d'un point de terminaison d'API.

La mise à jour est importante, mais la conformité ne doit pas être intimidante

L'accent mis par la norme PCI DSS 4.0.1 sur la sécurité des API constitue une étape cruciale vers la protection des transactions numériques dans les environnements informatiques complexes et en constante évolution d'aujourd'hui.

À l’approche de la date limite, des mesures proactives visant à améliorer la sécurité des API seront essentielles pour atteindre et maintenir la conformité. Ils amélioreront également la résilience de votre infrastructure contre les cybermenaces et les attaques ciblant les API et les scripts côté client, renforceront la protection des données et des informations de carte de paiement de vos clients et approfondiront la confiance et la crédibilité de votre organisation auprès des clients et des organismes de réglementation.

Vous pouvez préparer votre organisation à la conformité PCI DSS 4.0.1 en évaluant vos pratiques de sécurité API actuelles , en identifiant les lacunes et en mettant en œuvre les améliorations nécessaires. Restez informé des ressources et des conseils supplémentaires fournis par le PCI Security Standards Council pour assurer votre préparation d'ici mars 2025.

Cela ne doit pas forcément être une tâche ardue. F5 possède l'expertise et les solutions nécessaires pour aider les organisations à évaluer et à mettre en œuvre des contrôles qui s'alignent sur les nouvelles exigences et améliorent la sécurité de vos applications Web et de vos API.

Découvrez cette démonstration de la sécurité complète des API de F5 en action et contactez-nous dès aujourd'hui pour organiser une réunion avec l'un de nos experts.