• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Rational France - Livre blanc - Construire la conformité de l’intérieur
 

Rational France - Livre blanc - Construire la conformité de l’intérieur

on

  • 739 views

 

Statistics

Views

Total Views
739
Views on SlideShare
739
Embed Views
0

Actions

Likes
0
Downloads
4
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Rational France - Livre blanc - Construire la conformité de l’intérieur Rational France - Livre blanc - Construire la conformité de l’intérieur Document Transcript

    • Compagnie IBM France RationalLivre blanc Thought LeadershipConstruire la conformité del’intérieurRespecter les nouvelles exigences de sécurité des applications PCI :
    • 2 Building compliance in« La sécurité des données de paiement des clients n’est pas seulement un problème des marques de paiement mais est également de la responsabilité de toutes les sociétés qui participent au processus de paiement. Les marques de paiement exigent de tous les marchands et fournisseurs de service qui stockent, traitent et transmettent des données de carte de paiement de respecter les Normes de sécurité des données de l’industrie des cartes de paiement – leurs clients comptent dessus et leurs réputations en dépendent. » — PCI Security Standards Council1
    • Building compliance in 3Depuis 2005, plus de 215 millions d’enregistrements de place les contrôles adaptés et démontrer leur vigilance dans ladonnées ont été exposés aux conséquences de failles de manipulation des données des cartes de crédit de leurs clients.sécurité.2 Par ces PCI DSS, il est demandé aux vendeurs de :Des tollés dans la presse, des assemblées législatives mondialeset entre autres les clients ont amené les groupes industriels à • Créer et maintenir un réseau sécurisé:travailler vers des réglementations et des bonnes pratiques dans – Exigence 1 : Installer et paramétrer des pare-feux pourle domaine la sécurité des données privées. protéger les données des titulaires de carte – Exigence 2 : Ne pas utiliser les valeurs par défaut desLe Payment Cards Industry (PCI) Security Standards Council fournisseurs pour les mots de passe système et autresa ouvert la voie en émettant les Normes de sécurité des – Paramètres de sécuritédonnées de l’industrie des cartes de paiement (PCI DSS) pour • Protéger les données des titulaires de carte:établir des exigences spécifiques pour la sécurité des comptes – Exigence 3 : Protéger les données stockées des titulairesbancaires. A l’origine établi par les principales sociétés de de cartecartes de crédit, le Conseil fournit un mécanisme pour le – Exigence 4 : Crypter la transmission des données desdéveloppement des normes de sécurité, des directives pour la titulaires de carte sur les réseaux publics ouvertsmise en œuvre des normes et un programme de mise en • Maintenir un programme de gestion de la vulnérabilité:conformité. Avec la publication des PCI DSS, les marchands – Exigence 5 : Utiliser et mettre à jour régulièrement desutilisant les données bancaires sur le marché mondial disposent logiciels anti-virusmaintenant d’une feuille de route plus claire pour mettre en – Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés • Mettre en œuvre des mesures strictes de contrôle des accès: – Exigence 7 : Restreindre l’accès aux données desSeuls 39 pourcents des européens respect- titulaires de carte à des fins de « consultationent actuellement les normes de la PCI, primordiale »contre 63 pourcents aux Etats-Unis. – Exigence 8 : Attribuer un identifiant unique à chaque personne possédant un accès informatique— Jericho Forum9 – Exigence 9 : Restreindre l’accès physique aux données des titulaires de carte • Surveiller et tester régulièrement les réseaux: – Exigence 10 : Surveiller tous les accès aux ressources réseau et aux données des titulaires de carte – Exigence 11 : Tester régulièrement la sécurité des systèmes et des processus • Appliquer une politique de sécurité des informations: – Exigence 12 : Mettre en œuvre une politique de sécurité des informations3
    • 4 Building compliance inChacune de ces normes globales possède un ensembled’exigences spécifiques qui leurs sont associées et des directivessont fournies par le Security Standards Council pour aider les Pour les sociétés développant leur propreorganisations à mettre en œuvre et à préparer leur mise en logiciel, l’approche la plus efficace estconformité. d’intégrer des scanners de vulnérabilité du code source dans le développement,Faibles taux de conformitéDe récentes études des marchands ont clairement montré que l’intégration et les tests de l’application.la conformité aux exigences des normes de la PCI est en retard — Gartner Research16malgré certains investissements significatifs. Visa USA, la seulemarque de carte à nous transmettre leurs statistiques deconformité jusqu’à présent, a déclaré que les taux de confor-mité ne sont que de 36 pourcents parmi ses marchands de Dans le développement d’applications personnalisées enniveau un (ceux qui traitent plus de six millions de transactions particulier, les organisations luttent pour l’intégration de lapar carte par an) et de 15 pourcents parmi ses marchands de sécurité dans chaque phase du cycle de développement et pourniveau deux (ceux qui traitent entre un million et six millions la production de rapports d’audit qui démontrent le degré dede transactions par an). 4 conformité à la PCI à la fois dans les systèmes internes et externes. Relever ces défis demandera une combinaison du bonCependant, la plupart des compagnies interrogées par processus, des bonnes compétences et des bons outils. Il estForrester Research s’attendent à répondre aux exigences pour vital que les organisations soumises aux exigences de la PCIle milieu de l’année 2008.5 commencent à suivre cette initiative immédiatement. « La hausse rapide des menaces ciblées fait de l’augmentation de laLes plus importants défis pour répondre aux exigences cités par sécurité des applications une chose sur laquelle les entreprisesForrester incluent : doivent se concentrer aujourd’hui. »7 déclare John Pescatore de Gartner.• Construire la sécurité de l’intérieur : Faire de la sécurité une partie intégrante du processus quotidien à travers l’organisation, dans les politiques et les processus• Auditer et rapporter : Prouver la conformité peut être aussi difficile que l’atteindre• Garantir la sécurité des partenaires : Obtenir la connaissance de la sécurité de ceux avec qui nous partageons les données6
    • Building compliance in 5Impact mondial de la PCILa pression sur les organisations pour se conformer auxnormes de la PCI est ressentie partout dans le monde car lesmarchés et les transactions mondiaux prédominent et l’impactdes failles de sécurité concernant les données dépasse lesfrontières nationales. Les marques de carte sont des entitésmondiales et réalisent donc un déploiement mondial de laconformité aux normes de la PCI et des schémas de mise enœuvre. American Express, par exemple, prévoit de terminerson déploiement mondial en 2008, selon Gartner.8Cette pression est ressentie par les dirigeants partout dans lemonde. Une étude récente auprès des professionnels de lasécurité européens effectuée par Qualys et le Jericho Forum amontré que 74 pourcents des directeurs de la sécurité senioreuropéens voient l’impact d’une perte de carte de paiement surla réputation de la marque comme leur plus grosse préoccu-pation. La même étude a montré que les européens ont besoinde rattraper leur retard sur les sociétés des Etats-Unis dans ledomaine de mise en conformité PCI. Seuls 39 pourcents deseuropéens respectent actuellement les normes de la PCI,contre 63 pourcents aux Etats-Unis.9Alors que les activités d’application des normes sont en retard Conformité aux normes de la PCI : Ce n’esthors de l’Amérique du Nord, les sociétés de cartes tournent plus que pour les sociétés de carte de créditclairement leur regard sur les marchés mondiaux en 2008 ; la Les PCI DSS deviennent manifestement de fait une norme delégislation, pays par pays, suivra probablement le modèle défini vigilance pour toute organisation responsable de laaux Etats-Unis et au Canada, rendant la divulgation obligatoire confidentialité et de l’intégrité de données. En conséquence,en cas de faille. Les propositions de divulgation des failles de les législateurs des états et fédéraux incorporent des normessécurité étudiées par la communauté européenne incluent une similaires dans le développement des lois de confidentialité desexigence de notification des régulateurs quand une faille de données. La première étape pour de nombreux états a étésécurité est découverte.10 d’exiger la divulgation en cas de faille, que ce soit un accès à des données ou une exposition potentiels, ou en cas d’exposition matérielle. La figure 1 indique la prépondérance des états disposant d’une sorte de réglementation se rapportant à la divulgation des failles.
    • 6 Building compliance inLe risque de vol d’identité en fonction des états actionnaires, de la presse et des clients pour prendre desDepuis 2005, plus de 200 cas d’exposition d’enregistrements mesures concrètes afin de protéger les données critiques de lad’identification privée ont été remontés. A ce jour, 32 états ont fraude ou de la corruption. Les années à venir continuerontémis des lois exigeant que les entreprises et dans certains cas les probablement à voir la mise en place de normes de vigilanceagences publiques signalent à leurs clients qu’ils ont été exposés dans la confidentialité des données acceptées par tous.à des risques de vol d’identité.Cas individuels de failles de sécurité par emplacement et La plupart des sociétés ont en place des équipements de sécuriténombre d’enregistrements personnels exposés assez complets, utilisant des firewalls, des VPN, des contrôlesJusqu’à 50 000 personnes affectées d’accès et du cryptage pour protéger leurs actifs de valeur. LesEntre 50 000 et 250 000 PCI DSS, cependant, regardent la sécurité de façon plusEntre 250 000 et 500 000 intégrée, comprenant que c’est uniquement grâce à un modèleEntre 500 000 et 2 000 000 de sécurité de défense en profondeur que les données peuventPlus de 2 000 000 de personnes affectées être les plus en sécurité. Avec cette vue à l’esprit, la PCI est laRéponses des états première réglementation à exprimer le besoin d’une rigueur enEtats sans loi de notification de faille terme de sécurité autour des applications elles-mêmes.Etats avec lois de notification de faille s’appliquant à touteagence ou société Applications : Une source potentielle deEtats avec lois de notification de faille ne s’appliquant pas aux sécuritéagences publiques L’attention accrue sur la sécurité des applications dans lesFigure 1 : Lois de divulgation de faille état par état dernières révisions des PCI DSS peuvent être reliées directement à de nombreuses failles médiatisées récentes, oùUne législation sur les normes concernant la sécurité des les applications peu sûres ont montré qu’elles étaient le pointdonnées basée sur le modèle des normes de la PCI et de d’accès de pirates et la source de pertes de données. Un articlel’OWASP est également en développement, ainsi que des d’Information Week met en évidence la menace provenant despénalités pour non-conformité et des récompenses pour problèmes logiciels, montrant que « le flot constant deconformité. Un exemple est l’état du Texas qui réfléchit à un révélations de pertes ou de vols d’informations de clients parprojet de loi qui fournira une protection aux organisations qui les détaillants a amené les experts de la sécurité à se concentrerprouvent la conformité vis-à-vis des PCI DSS et établira la sur deux domaines : les médiocres pratiques de sécurité par lesresponsabilité des frais de renouvellement des cartes à celles détaillants eux-mêmes et la faiblesse du logiciel utilisé pourqui ne sont pas conformes.11 traiter les paiements par carte de crédit. »12Les organisations en dehors des services financiers et commerce L’article rapporte que Polo Ralph Lauren Corp. a accusé unressentent une pression accrue de la part des législateurs, des pépin logiciel d’une faille de sécurité qui a amené la HSBC
    • Building compliance in 7Amérique du Nord à notifier les détenteurs de leur Master- Cette exigence, associée aux autres exigences détaillées de laCard marquée General Motors que leurs informations per- section, fait de la sécurité des applications une pierre angulairesonnelles pouvaient avoir été volées.13 des efforts de conformité à la PCI et le moyen de protéger les données des titulaires de cartes. Il est clairement reconnuBJ’s Wholesale Club, dans un autre incident médiatisé, a été qu’une vraie sécurité des données doit débuter à la source.impliqué contre IBM, imputant à un logiciel défectueux fournipar la société une faille ayant exposé 40 millions de numéros de La conformité débute à la sourcecartes de crédit ainsi que des dépenses de plus 13 millions de Ces nouvelles exigences reconnaissent clairement que la$US.14 sécurité des données débute par la sécurité du logiciel. C’est dans le code source que le cryptage est forcé, que la sécuritéCes incidents, parmi d’autres, tracent une ligne directe entre le des communications réseau est établie, que le contrôle d’accèsConseil de la PCI directement vers les exigences relatives à la est défini. Ou non. Par conséquent, c’est dans le code sourcesécurité étendue des applications contenus dans la Version 1.1 que les travaux de conformité avec les PCI DSS, ainsi que lesdes Normes de sécurité des données. efforts de sécurisation des données privées des titulaires de cartes, doivent débuter. Alors que les PCI DSS incluentConcentration sur la sécurité des applica- l’analyse des applications web et les firewalls web commetions : Exigence six faisant partie de la solution potentielle mise en place pourLa sécurité des applications représente un des domaines les traiter ces problèmes, il est clair que les outils d’analyse duplus difficiles pour les organisations soumises aux régle- code source représentent la solution la plus efficace, rentable etmentations de la PCI. La plus récente version des PCI DSS, complète pour identifier et traiter les vulnérabilités logiciellespubliée en septembre 2006, reflète la compréhension gran- qui affectent la confidentialité des données. Comme lesdissante de l’industrie en ce qui concerne l’impact des appli- analystes de Gartner John Pescatore et Avivah Litan ontcations non sécurisées sur la vie privée. L’ajout le plus signifi- déclaré dans un récent rapport, « Pour les sociétés développantcatif aux Normes est l’intégration d’un nouveau mandat pour leur propre logiciel, l’approche la plus efficace est d’intégrerla sécurité des applications personnalisées codifiées dans des scanners de vulnérabilité du code source dans lel’Exigence 6 : Développer et maintenir la sécurité des systèmes développement, l’intégration et les tests de l’application. »16et des applications. En particulier, l’Exigence 6.6 expose que lecode de toutes les applications personnalisées doit être revu Construire la conformité à la PCI depour rechercher les vulnérabilités classiques par une organi- l’intérieursation spécialisée dans la sécurité des applications ou qu’un L’attention assidue croissante sur la sécurité du code sourcefirewall web applicatif doit être installé devant les applications provient du fait qu’il s’agit de l’emplacement central où lesexposées au web. Cette exigence sera considérée comme une « vulnérabilités concernant les données de cartes de crédit sontbonne pratique » jusqu’au 30 juin 2008 et deviendra ensuite introduites. Cela peut également être l’endroit le moinsune exigence.15
    • 8 Building compliance incoûteux pour les traiter, car l’analyse du code source est – Validation des entrées/sorties et erreurs d’encodage:effectuée au plus tôt dans le cycle de développement du ˚ Injection SQLlogiciel. Pour les organisations soumises à la conformité à la ˚ Cross-site scriptingPCI, cela constitue un sens à la fois fiscal et de gestion ˚ Injection systèmed’introduire une analyse du code source dans le cycle de • Les défauts de conception et violations de politiques:développement pour le code personnalisé et externalisé. En – Cryptographielaisser l’entière responsabilité à une organisation externe réduit – Vulnérabilités de communication réseaul’avantage financier d’une découverte précoce des vulnér- – Vulnérabilités de configuration de l’application*abilités et augmente la probabilité de retard et de risques – Contrôle d’accèspour le projet. – Utilisation de base de données et de système de fichiers – Code dynamiqueLes solutions d’analyse de code source de pointe utilisent une – Contrôle d’accès et erreurs d’authentificationbase de connaissance de vulnérabilité considérable alimentée – Vulnérabilités de gestion des erreurs et de connexion:par un moteur d’analyse capable d’analyser efficacement de ˚ Gestion des erreurs non sécuriséegrandes quantités de code source. La base de connaissance doit ˚ Identification non sécurisée ou inadéquateinclure non seulement les erreurs de codage classiques qui ˚ Chargement de code natifouvrent les portes aux pirates, mais également l’identification ˚ Vulnérabilité de stockage de donnéesdes erreurs de conception et de politique qui exposent les – Composants non sécurisés:données personnelles au plus grand danger. ˚ Programme malveillant ˚ Méthodes natives risquéesPour se conformer réellement aux exigences de la PCI, ainsi ˚ Méthodes non supportéesque pour se protéger totalement du risque de sécurité logiciel ˚ Cookies personnalisés / champs cachéspour les informations de cartes de crédit, le scanner de codesource doit rechercher les erreurs de codage ainsi que les Quand le code source rencontre la confor-violations de politiques et les défauts de conception. mité à la PCI Comme toujours, le démon est dans les détails. Il existeLes outils IBM Rational® AppScan® Source Edition, par plusieurs réglementations dans les PCI DSS impactées par laexemple, couvrent les deux types de problèmes et leur analyse sécurité du code source. Il est vital que les organisationsinclut : comprennent l’intersection entre le code source et chaque réglementation des applications pour garantir que la revue de• Les vulnérabilités de codage: conformité est complète. Cette section fournit une revue des – Débordement de tampon réglementations de sécurité des applications applicables pour la – Vulnérabilités de formatage de chaînes de caractères PCI et la manière dont l’analyse du code source peut prendre – Situations de compétition en charge la mise en conformité. – Fuite de ressource
    • Building compliance in 9 Exigence de la PCI Actions d’analyse de code source pour mise en conformité 3.2 Ne pas stocker de données d’authentification sensibles ultérieures à l’autorisation. • Identifier les pratiques de stockage de données des titulaires de cartes potentiellement vulnérables ou non conformes. 3.3 Masquer le Numéro de compte primaire (Primary Account Number, PAN) quand • Contrôler l’absence de pratiques de stockage de données des titulaires de cartes non il est affiché. sécurisées. • Identifier tous les points de stockage du PAN et vérifier la cryptographie et la force 3.4 Rendre au minimum le PAN illisible partout où il est enregistré. Utiliser des types cryptographique utilisées. de cryptage appropriés. • Contrôler l’affichage et le masquage du PAN. • Fournir le support technologique pour permettre une évaluation cohérente et mesurable du niveau de sécurité du code source, tout au long de la phase de 6.2 Etablir un processus d’identification des vulnérabilités de sécurité nouvellement développement: découvertes. – Base de connaissance de sécurité complète – Mesures précises 6.3 Développer des applications logicielles à partir des bonnes pratiques de l’industrie et – Interfaces et reporting basés sur les rôles et fournissant les informations assurer la sécurité des informations tout au long du cycle de développement du logiciel. nécessaires de conformité à la PCI à tous les participants – Reporting en profondeur pour audit 6.4.1Documentation des impacts. • Produire des rapports spécifiques à la PCI pour fournir les données de gestion et les données techniques requises par les normes de la PCI: 6.5 Développer toutes les applications web à partir des directives de codage sécurisées – Reporting spécifique sur les impacts du code source sur les pertes de données telles que les directives Open Web Application Security Project (OWASP). Revoir le – Reporting sur la conformité au Top Ten OWASP code des applications personnalisées pour découvrir des vulnérabilités de codage. – Analyser l’historique pour démontrer les efforts de mise en conformité au fil du temps 6.6 S’assurer que toutes les applications exposées au web sont protégées contre les attaques – Reporting à la fois en résumé et en détail pour prendre en charge les corrections de connues. vulnérabilité spécifiques, les prises de décision de gestion et les exigences de reporting pour la mise en conformitéExigence trois : Protéger les données stock- Exigence six : Développer et maintenir desées des titulaires de carte systèmes et des applications sécurisésIl n’existe pas d’exigence plus critique que le besoin de pro- Cette exigence est la réglementation principale traitant dutéger les données des titulaires de carte au niveau de l’enregis- besoin de valider la sécurité des applications sensibles. Elletrement. Les applications jouent un rôle critique dans cette s’adresse directement au fondement des applications sécuriséestache, particulièrement par l’implémentation correcte de : l’introduction de processus de sécurité et de revues tout aucontrôles d’accès et d’une cryptographie appropriés. La long du cycle de développement du logiciel. Planification,conformité avec cette exigence ne peut pas être assurée si les conception, développement et déploiement : toutes les étapesapplications traitant et enregistrant les données n’ont pas été du cycle de vie doivent faire des considérations de sécurité unecomplètement revues. priorité principale pour rendre possible et démontrable la mise en conformité.
    • 10 Building compliance inProuver la conformité méthode la plus efficace et la plus rentable possible. LesDans toutes les exigences citées précédemment, le besoin de avantages de l’analyse du code source en supplément des testsdocumenter les activités de mise en conformité est à la fois d’intrusion pour les applications personnalisées incluent :implicite et explicite. La documentation est nécessaire nonseulement pour suivre les résultats, mais aussi pour prouver Des coûts de correction faibles : Les tests d’intrusion ne peuventqu’un processus est en place, en démontrant la vigilance dans pas être déployés tant que l’application n’est pas terminée.l’effort de mise en conformité et de protection des données. L’analyse du code source peut être utilisée le plus tôt possibleL’adage « vous ne pouvez pas gérer ce que vous ne pouvez pas dans la phase de Build du cycle de développement, réduisantmesurer » est particulièrement vrai dans le domaine de la considérablement le coût de correction des vulnér-abilités. Dessécurité des applications. La pierre angulaire de toute implé- études ont montré que corriger une vulnérabilité après la finmentation d’analyse du code source doit donc être la capacité à du développement peut coûter 100 fois plus que pendant laproduire des rapports spécifiques et détaillés des résultats des phase de développement.analyses et de toutes les activités de correction qui en décou-lent. Chaque composant du processus de mise en conformité, Une couverture complète des risques de sécurité : Les testsdes responsables aux développeurs, à la qualité et aux respon- d’intrusion couvrent un ensemble plus restreint des risquessables de la mise en conformité, doit être capable d’en ressortir logiciels, en se concentrant sur les erreurs de codage sans êtrees données dont ils ont besoin pour jouer leur rôle dans le capables d’identifier les risques plus dangereux découlant desprocessus. erreurs de conception et des violations de politiques. Ceux-ci peuvent inclure des menaces sur les données personnelles tellesAnalyse du code : Le fondement de la que l’absence de cryptage, l’utilisation de mots de passe codés en dur, l’utilisation inappropriée de l’e-mail ou l’enregistre-mise en conformité ment non sécurisé des données privées. Les scanners de codeL’analyse du code source est la base d’une gamme d’options source sophistiqués peuvent fournir une couverture de cettepotentielles disponibles pour les organisations afin de gérer plus large gamme de vulnérabilités pour détecter à la source lesleur sécurité et le degré de conformité de leurs applications. menaces sur la confidentialité et l’intégrité des données.Gartner reconnaît que l’analyse du code source est l’approchela plus efficace, comme cité précédemment. Mais la société de Une identification des vulnérabilités ligne par ligne : Larecherche continue d’affirmer que quand ce n’est « pas connaissance de l’existence d’une vulnérabilité n’est paspossible, les entreprises disposant d’une équipe de sécurité et suffisante. Les développeurs doivent savoir où aller dans lede l’expertise suffisantes peuvent utiliser les produits d’analyse code pour corriger la vulnérabilité, et seule une analyse dudes applications web… pendant les tests terminaux d’assurance code source peut fournir ce niveau de détail et de connaissance.qualité du logiciel. »17 Une analyse de l’infrastructure logicielle dans son ensemble : LesIl existe de nombreux avantages à l’analyse du code source, ce tests d’intrusion sont conçus pour fonctionner exclusive-mentqui en fait le tout meilleur choix pour les organisations sur des applications web. Souvent, les menaces critiques sur lessoucieuses de respecter les normes de vigilance en utilisant la
    • Building compliance in 11données proviennent d’une application middleware ou back- Edition a été conçue « from scratch » pour apporter à vosend, hors d’atteinte du scanner d’application web. Seule une directeurs, analystes, développeurs et auditeurs les réponsesanalyse du code source dans les systèmes interdépendants peut dont ils ont besoin pour gérer les risques des logicielsfournir une vue réellement complète des risques sur les vulnérables :données critiques. • Identifier rapidement les plus sérieux risques de sécurité : LesLes PCI DSS permettent également l’utilisation de firewalls fonctionnalités uniques d’analyse de Rational AppScan Sourceweb applicatifs déployés devant les applications qui n’ont pas Edition identifient les erreurs de codage et les défauts deété testées. Ces produits peuvent être efficaces pour bloquer de conception les plus critiques.nombreuses attaques contre les applications web classiques, • Optimiser l’efficacité de vos participants à la sécurité : Lesmais ils nécessitent un réglage important et un support meilleurs délais avant résultat rationalisent les efforts ded’administration. Gartner recommande que « les entreprises sécurité tout au long du cycle de vie du développementutilisent des firewalls web applicatifs en dernier recours ou, logiciel, pour tous les participants.quand le budget le permet, en tant que précaution de sécurité • Gérer les risques dans tout votre portefeuille d’entreprise :supplémentaire. »18 Les tableaux de bord centralisés et les fonctionnalités de gestion de politiques permettent de disposer d’informationsMême si les tests d’intrusion et les firewalls web applicatifs instantanées de vos risques logiciels, ceci dans l’ensemble depeuvent tous deux être des outils utiles juste avant ou après le l’entreprise.déploiement, c’est l’analyse du code source qui représente latechnologie de base la plus efficace et complète pour identifier Avec une solution telle que Rational AppScan Source Edition,et éliminer les vulnérabilités qui menacent la confidentialité les organisations financières peuvent suivre une approchedes données et la conformité aux réglementations. réellement systématique et mesurable de la mise en conformité avec la PCI en analysant les vulnérabilités des logiciels criti-Conformité à la PCI et Rational AppScan ques tout au long du cycle de développement, en évaluant leSource Edition travail des développeurs externes et en fournissant les résultatsRational AppScan Source Edition a été l’une des solutions des efforts de mise en conformité aux dirigeants et aux régulateurs.d’analyse de code source de pointe à fournir des fonctionnalitésspécifiques à la PCI dans ses outils. Le produit utilise une « Pour plus d’informationslentille » spécifique à la PCI pour voir les résultats de l’analyse Pour en savoir plus sur IBM Rational AppScan Source Edition,du code source concernant les réglementations spécifiques à la contactez votre représentant IBM ou visitez le site :PCI, y compris l’audit de conformité avec le Top Ten OWASP. ibm.com/rational/products/appscan/sourceAvec le rapport « SmartAudit » PCI d’IBM, les clients peuventautomatiser l’évaluation du degré de vulnérabilité de leursapplications critiques. La solution Rational AppScan Source
    • © Copyright IBM Corporation 2010IBM Global ServicesRoute 100Somers, NY 10589U.S.A.Produit aux Etats-Unis d’AmériqueNovembre 2010Tous droits réservésIBM, le logo IBM et ibm.com sont des marques déposées d’International Business MachinesCorporation aux Etats-Unis et/ou dans certains autres pays. Si ces marques et d’autresmarques d’IBM sont accompagnées d’un symbole de marque (® ou ™), ces symboles signalentdes marques d’IBM aux Etats-Unis à la date de publication de ce document. Ces marquespeuvent également exister et éventuellement avoir été enregistrées dans d’autres pays. La listedes marques IBM actualisée est disponible sur Internet, dans la rubrique consacrée aucopyright et aux marques du site ibm.com/legal/copytrade.shtml.Les autres noms de société, de produit et de service peuvent appartenir à des tiers.Dans cette publication, les références à des produits et des services IBM n’impliquent pasqu’IBM prévoie de les commercialiser dans tous les pays où IBM est implantée.1 PCI Security Standards Council, Communiqué de presse, 18 janvier 2007.2 Privacy Rights Clearinghouse, www.privacyrights.org, 7 novembre 2007.3 Payment Card Industry Data Security Standard version 1.1, PCI Security Standards Council, septembre 2006.4 «Visa USA Pledges $20 Million in Incentives to Protect Cardholder Data », Communiqué de presse Visa, 12 décembre 2006.5 Khalid Kark et Chris McClean, « The Top 10 Things You Should Know About PCI Compliance, » Forrester Research, 23 mars 2007.6 Ibid.7 John Pescatore et Avivah Litan, « Answers to Common Questions about PCI Compliance, » Gartner Research, 7 décembre 2006.8 John Pescatore et Avivah Litan, « PCI Questions are Often Clearer than their Answers, » Gartner, 7 août 2007.9 Jericho Forum et Qualys, « 74% of Security Executives Concerned About Impact of Payment Card Data Loss, » communiqué de presse, 26 avril 2007.10 Tom Espiner, « Encryption Market is Taking Off, » zdnet.co.uk, 29 septembre 2006.11 James DeLuccia IV, pcidss.wordpress.com, « Payment Card Security and IT Controls Explained, » blog, 11 mai 2007, http://pcidss.wordpress.com/category/pci-dss/.12 Steven Marlin, « Customer Data Losses Blamed On Merchants And Software, » InformationWeek, 28 avril 2005.13 Ibid.14 Shawna McAlearney, « BJ’s Settlement with FTC Bodes Ill for Others, » searchsecu- rity.com juin 2005.15 Colleen Frye, «PCI Council Formed; Revised Standard Includes App Security Requirement », searchsoftwarequality.com, 8 septembre 2006.16 John Pescatore et Avivah Litan, « Answers to Common Questions about PCI Compliance, » Gartner Research, 7 décembre 2006.17 Ibid.18 Ibid. Please RecycleWGW03001-USEN-00