Les pratiques de sécurité des fichiers prévues par la norme PCI DSS couvrent l'analyse, le nettoyage et l'évaluation de chaque fichier entrant dans l'environnement de données des titulaires de carte (CDE), quel que soit le canal d'ingestion utilisé, et pas uniquement au niveau des terminaux. La version 4.0.1 de la norme PCI DSS étend la protection anti-malware au Web, à la messagerie électronique, au stockage dans le cloud, aux transferts de fichiers gérés, aux supports amovibles et aux dépendances logicielles.
La plupart des équipes de sécurité chargées de la conformité à la norme PCI DSS (Payment Card Industry Data Security Standard) ont fait le nécessaire. Une solution EDR (Endpoint and Response) est déployée. Un logiciel anti-malware est en service. L'exigence n° 5 est cochée. Il s'agit là de mesures de sécurité essentielles, mais face à l'étendue plus large des exigences réglementaires, les contrôles de sécurité traditionnels peuvent s'avérer insuffisants.
La norme PCI DSS 4.0.1 apporte des précisions sur un point que les versions précédentes laissaient ouvert à l'interprétation : la protection contre les logiciels malveillants s'étend à tous les canaux par lesquels les fichiers entrent, circulent et sortent de l'environnement de données de carte (CDE). Vulnérabilités « zero-day ». Trafic Web. E-mails. Cloud . Transfert de fichiers géré. Supports amovibles. Software .
Les terminaux ne constituent qu'un domaine de couverture parmi tant d'autres. Si les autres n'ont pas été évalués, il existe un risque, et les auditeurs savent où chercher.
Cet article présente l'ensemble des exigences de la norme, afin que vous puissiez évaluer en toute honnêteté votre niveau de conformité. Pour une analyse plus approfondie, exigence par exigence, le « Guide de mise en correspondance PCI DSS » et la « Liste de contrôle pour débutants » détaillent chaque mesure de contrôle et proposent des recommandations concrètes.
Principaux enseignements
La norme PCI DSS 4.0.1 considère la sécurité des fichiers comme une discipline multicanal. La protection contre les logiciels malveillants doit s'étendre au Web, à la messagerie électronique, au cloud, aux transferts de fichiers gérés, aux supports amovibles et aux dépendances logicielles, et ne pas se limiter aux seuls terminaux.
La protectionsur un seul terminalintervient en aval de tous les autres canaux. Lorsqu'un fichier parvient à l'agent installé sur le terminal, il a déjà franchi ou échoué à six autres points de contrôle.
La détection par signature ne suffit pas à elle seule à satisfaire à la norme. L'exigence n° 5 impose la prise en charge de tous les types de logiciels malveillants ainsi que la détection comportementale des menaces « zero-day ».
Les supports amovibles font l'objet d'une obligation explicite. L'exigence 5.3.3 impose l'analyse automatique des supports amovibles dès leur insertion ; les procédures manuelles ne sont pas acceptables.
Software sont prises en compte. L'exigence 6.3.2 stipule que les logiciels sur mesure et personnalisés doivent être développés de manière sécurisée, et qu'un inventaire des composants tiers doit être tenu à jour.
Quelles sont les exigences de la norme PCI DSS 4.0.1 en matière de sécurité des fichiers ?
Avant d'aborder les différents canaux, il convient d'ancrer notre argumentation dans le cahier des charges lui-même.
L'exigence n° 5 décrit clairement la surface d'attaque : « Des logiciels malveillants peuvent s'introduire dans le réseau lors de nombreuses activités autorisées par l'entreprise, notamment par le biais des e-mails des employés (par exemple, via le hameçonnage) et de l'utilisation d'Internet, mobile et de périphériques de stockage, ce qui peut entraîner l'exploitation des vulnérabilités du système. » Il s'agit là du principal modèle de menace pour les attaques par fichier dans les environnements de paiement.
La norme précise également que la détection des signatures ne suffit pas à elle seule : « L'utilisation de solutions anti-malware capables de lutter contre tous les types de logiciels malveillants contribue à protéger les systèmes contre les menaces actuelles et émergentes. » Les expressions clés sont « tous les types » et « actuelles et émergentes ». Une détection qui ne reconnaît que les menaces connues laisse une faille que la norme identifie explicitement.
L'exigence 5.2.1 va plus loin : ses recommandations de bonnes pratiques indiquent qu'il est « utile que les entités soient conscientes des attaques de type « zero-day » (celles qui exploitent une vulnérabilité jusque-là inconnue) et envisagent des solutions axées sur les caractéristiques comportementales, capables d'alerter et de réagir face à un comportement inattendu ». La norme reconnaît ainsi elle-même que la détection comportementale et heuristique est essentielle pour assurer une couverture complète.
Les exigences 6 et 11 élargissent encore davantage le champ d'application. L'exigence 6.3.2 impose l'identification des failles de sécurité dans les logiciels sur mesure et personnalisés, abordant ainsi directement le risque lié à la chaîne d'approvisionnement logicielle. L'exigence 11.3.1.2 impose la mise en place d'analyses internes authentifiées. Ensemble, elles établissent que la sécurité des fichiers dans un environnement conforme à la norme PCI DSS ne relève pas d'un contrôle isolé, mais d'une discipline appliquée à l'ensemble de l'architecture.
Quels sont les sept canaux d'ingestion de fichiers que la norme PCI DSS vous impose de Secure?
C'est là que de nombreux programmes de conformité présentent une lacune qu'ils n'ont pas encore évaluée.
Canal d'ingestion | Exigence PCI DSS | Pourquoi Endpoint passent à côté de l'essentiel | Ce qui comble le fossé |
Trafic Web | Exigences n° 5 et 6 | Les fichiers transitant par un proxy Web ne passent jamais par un agent de terminal | Analyse multi-processeurs au niveau de la passerelle |
E-mails et pièces jointes | Exigences 1 et 5 | L'analyse de signature à moteur unique ne détecte pas les macros, les fichiers d'archive et les exploits intégrés | Multiscanning, nettoyage des fichiers, prévention des pertes de données |
Stockage Cloud | Exigences n° 5 et 6 | Les téléchargements directs vers SharePoint, OneDrive ou S3 contournent l'inspection au niveau du point de terminaison | Analyse des fichiers au repos + prévention des pertes de données |
Gestion du transfert de fichiers | Exigences n° 5 et 6 | Les fichiers provenant de partenaires de confiance sont déjà intégrés au flux de travail | Analyse des fichiers en transit + nettoyage des fichiers |
Supports amovibles | Exigences n° 1, 5 et 9 | Les politiques de scan manuel ne répondent pas à l'obligation de scan automatique | Analyse automatique dès l'insertion (kiosque) pour empêcher l'introduction de logiciels malveillants provenant de périphériques externes |
Software | Exigence n° 6 | Les vulnérabilités CVE connues présentes dans des composants tiers ne constituent pas des signatures de logiciels malveillants | vulnerability detection des fichiers (artefacts logiciels) vulnerability detection des différentes étapes du cycle de vie du développement logiciel (SDLC) |
Points finaux | Exigence n° 5 | En aval de tous les autres canaux ; intercepte les menaces en dernier | EDR / Antivirus pour terminaux |
- Trafic Web: les fichiers téléchargés ou mis en ligne sur un portail Web via HTTPS transitent par le réseau avant d'atteindre un terminal.
- E-mails et pièces jointes: l'e-mail reste le vecteur de diffusion le plus courant pour les menaces sous forme de fichiers. L'analyse des pièces jointes doit aller au-delà de la simple comparaison de signatures. Les archives compressées, les documents contenant des macros et les fichiers intégrant des exploits sont tous conçus pour contourner ce type de contrôle.
- Cloud local et Cloud : les fichiers sont synchronisés en permanence vers et depuis SharePoint, OneDrive, S3 et d'autres plateformes similaires.
- Transfert de fichiers géré: les échanges avec les fournisseurs, les intégrations avec les partenaires et les soumissions de fichiers par les clients génèrent des flux de fichiers entrants qui présentent chacun leur propre profil de risque.
- Supports amovibles: l'exigence 5.3.3 est l'une des obligations les plus précises de la norme : le logiciel anti-malware doit analyser automatiquement les supports amovibles dès leur insertion. USB constituent un vecteur d'attaque actif dans les environnements de paiement, y compris dans les systèmes isolés (air-gapped), où ils représentent souvent la seule voie d'accès externe aux données.
- Software et dépendances. L'exigence 6.3.2 a été introduite car les bibliothèques tierces et les composants intégrés constituent une source importante d'exposition aux CDE. Un binaire fourni avec une Software CVE (Common Vulnerability and Exposure) connue dans l'une de ses dépendances présente un risque que la détection de logiciels malveillants basée sur les signatures ne permettra pas de détecter. Il s'agit d'une vulnérabilité susceptible d'être exploitée, et non d'un logiciel malveillant au sens traditionnel du terme.
- Terminaux. Il s'agit du canal que la plupart des équipes ont déjà couvert. Endpoint analysent tout ce qui arrive, s'exécute ou persiste sur un appareil. Cette couverture est nécessaire, mais elle intervient en aval de tous les autres canaux de cette liste. Au moment où un fichier atteint un terminal, six autres points de contrôle ont déjà été franchis ou ont échoué.
Pourquoi Endpoint assurée par un seul antivirus ne suffit pas
L'EDR et les antivirus pour terminaux individuels sont d'excellents outils, mais leur champ d'application est limité de par leur conception.
Endpoint protègent les appareils en surveillant ce qui se passe sur la machine : les fichiers enregistrés sur le disque, les processus exécutés, les connexions réseau établies. Ils n'inspectent pas les fichiers transitant par un proxy Web, une passerelle de messagerie, une API de synchronisation dans le cloud ou une USB . Il s'agit là d'une question de champ d'application, et non d'une lacune du produit.
La norme PCI DSS 4.0.1 apporte une réponse définitive à cette question relative au champ d'application. La norme définit la surface d'exposition aux menaces comme l'ensemble des canaux par lesquels les fichiers pénètrent dans le réseau. Endpoint sécurise ce qui se trouve déjà à l'intérieur de l'environnement de données confidentiel (CDE). La sécurité des fichiers sécurise le passage.
Cette faille n'est pas purement théorique. Un pirate qui injecte une charge malveillante via une pièce jointe de phishing analysée uniquement par une passerelle à moteur unique, via une dépendance malveillante dans un progiciel fourni par un éditeur, ou via un USB branché pendant une fenêtre de maintenance : aucun de ces vecteurs ne passe par un agent de terminal avant qu'il ne soit trop tard. Ce sont là les vecteurs que la norme vous invite à bloquer.
À quoi ressemble une sécurité complète des fichiers selon la norme PCI DSS 4.0.1 ?
Les organisations ayant obtenu une note « sans réserve » lors des audits de sécurité des fichiers 4.0.1 partagent une architecture commune : un contrôle à chaque point d'entrée des données, avec plusieurs niveaux de protection.
Cela implique une analyse multi-moteurs au niveau de la passerelle. L’analyse simultanée des fichiers par plusieurs moteurs antivirus augmente considérablement les taux de détection et offre la profondeur de couverture exigée par la formulation « tous types » de la norme. Cela implique également une assainissement des fichiers qui neutralise ce que les antivirus ne peuvent pas détecter : la technologie Deep CDR™ reconstitue les fichiers dans des formats sûrs et utilisables en supprimant tout contenu potentiellement malveillant, y compris les exploits « zero-day » qui n’ont pas encore été répertoriés. Cela implique une évaluation des vulnérabilités au niveau des fichiers par rapport aux CVE connues pour les progiciels et les fichiers binaires avant qu’ils n’atteignent les systèmes de production. Et cela implique une journalisation centralisée sur tous les canaux, et pas seulement la télémétrie des terminaux, afin que les exigences d’audit de la condition n° 11 puissent être réellement satisfaites.
MetaDefender™ est la plateforme de sécurité des fichiers OPSWAT, conçue pour analyser, nettoyer et évaluer les fichiers provenant de tous les canaux d'acquisition avant qu'ils n'atteignent le CDE.
Comme l'indique le guide de conformité OPSWAT: «OPSWAT MetaDefender certaines des fonctionnalités les plus performantes du secteur pour répondre à l'exigence n° 5. Multiscanning Metascan™ Multiscanning plus de 30 moteurs antivirus commerciaux pour détecter les logiciels malveillants connus avec une précision exceptionnelle, tandis que la technologie Deep CDR™ neutralise de manière proactive les menaces « zero-day » et les menaces intégrées en reconstruisant les fichiers dans des formats sûrs et exploitables. »
Cette lacune n'est pas due à un manque d'attention de la part des équipes de sécurité, mais au fait que la norme PCI DSS 4.0.1 impose des exigences plus larges. Les équipes qui comblent cette lacune avant un audit ne font rien de plus que ce qu'exige la norme. Elles se contentent simplement de respecter l'intégralité de celle-ci.
Prochaines étapes
Êtes-vous prêt à évaluer votre couverture actuelle par rapport à l'ensemble des exigences de la version 4.0.1 ?
Téléchargez le guide de mise en correspondance PCI DSS + la liste de contrôle pour débutants PCI DSS pour mettre en correspondance vos contrôles existants avec chacun des sept canaux d'ingestion de fichiers et identifier les lacunes éventuelles.
Questions fréquemment posées
Une protection sur un seul terminal suffit-elle pour se conformer à la norme PCI DSS 4.0.1 ?
Non. La norme PCI DSS 4.0.1 étend la protection contre les logiciels malveillants à tous les canaux par lesquels les fichiers pénètrent dans l'environnement CDE. Les solutions traditionnelles de protection des terminaux sécurisent les appareils, mais n'inspectent pas les fichiers transitant par des proxys Web, des passerelles de messagerie, des services de synchronisation dans le cloud ou des supports amovibles. OPSWAT MetaDefender s'intègre à des technologies multicouches afin de combler cette lacune.
La norme PCI DSS impose-t-elle la recherche de logiciels malveillants sur les supports amovibles ?
Oui. Lorsqu'un support amovible est inséré, connecté ou monté logiquement, l'exigence 5.3.3 impose soit des analyses automatiques, soit une analyse comportementale continue des systèmes ou des processus. Les politiques d'analyse manuelle ne satisfont pas à cette exigence.
Quels sont les canaux d'ingestion de fichiersliés à la norme PCI DSS 4.0.1 ?
Trafic Web, e-mails et pièces jointes, stockage dans le cloud, transfert de fichiers géré, supports amovibles, dépendances logicielles et terminaux.
La norme PCI DSS 4.0.1 traite-t-elle des risques liés à la chaîne d'approvisionnement logicielle ?
Oui. L'exigence 6.3.2 stipule que les logiciels sur mesure et personnalisés doivent être développés de manière sécurisée, que les failles de sécurité doivent être identifiées et corrigées, et qu'un inventaire des composants logiciels tiers doit être tenu à jour afin de faciliter la gestion des failles et des correctifs.
Qu'est-ce que l'environnement de données des titulaires de carte (CDE) ?
Le CDE désigne l'ensemble des personnes, des processus et des technologies qui stockent, traitent ou transmettent les données des titulaires de carte, ainsi que tous les systèmes qui y sont connectés. Les mesures de sécurité relatives aux fichiers prévues par la norme PCI DSS s'appliquent aux fichiers entrant, transitant et sortant de ce CDE.
