Tests d’intrusion PCI DSS

Une mise en perspective des risques réels liés au vol de données de cartes bancaires

Tests internes et externes

XMCO propose de réaliser les tests d’intrusion externes et internes exigés par le standard PCI DSS (exigences 11.3.x).

Réalisés par la cellule d’audit de notre cabinet, ces tests seront conduits par des consultants expérimentés.

Ces tests seront menés en boite noire et en boite grise afin de simuler les différents types de populations possédant un accès à l’environnement (attaquant non authentifié sur Internet, client externe, employé interne, administrateur de la plateforme).

Ils auront pour but de dresser la liste des vulnérabilités et des scénarios pouvant mettre en péril les données de carte transitant sur la plateforme ciblée.

Les tests réalisés au niveau applicatif comprendront à minima la détection des vulnérabilités listées au chapitre §6.5 du standard PCI DSS.

Chaque vulnérabilité sera accompagnée d’un lien vers l’exigence du standard associée (faille applicative, mots de passe faibles, mots de passe par défaut, erreur de configuration, etc).

Notre approche complémentaire, constituée de tests d’intrusion externes et de tests d’intrusion internes, nous permet d’identifier des scénarii d’intrusion de bout en bout.

Nous serons ainsi en mesure de déterminer les éventuelles attaques exploitables depuis Internet qui, conjuguées à des failles internes, permettraient à un pirate de s’introduire sur votre Système d’Information et d’accéder à l’environnement traitant des données de cartes (CDE).

 

Tests de segmentation

Les tests d’intrusion internes d’une infrastructure PCI DSS débuteront par l’évaluation de la segmentation mise en œuvre, afin de satisfaire l’exigence 11.3.4.

L’objectif des tests de segmentation est de démontrer l’efficacité du ou des mécanismes d’isolation et de filtrage mis en place afin de séparer les équipements du CDE (Cardholder Data Environment) des autres réseaux internes. XMCO réalisera ces tests selon différentes localisations (hors CDE, depuis les serveurs connectés au CDE, depuis le VLAN des administrateurs, etc).

L’avis d’un QSA tout au long des tests

Les consultants en charge de la réalisation des tests seront accompagnés  par un QSA qui donnera un avis pertinent sur le périmètre des tests et les étapes essentielles à réaliser pendant les tests internes (définition des points d’accroche pour les tests de segmentation, points d’attention dans le contexte du traitement des cartes bancaires, etc).

Le QSA validera également le rapport afin d’ajouter des conseils et avis pertinents relatifs au contexte du périmètre audité.

Pourquoi choisir XMCO pour vos tests d’intrusion PCI DSS ?

  • Experts en intrusion habitués aux environnements PCI DSS
  • Expérience significative sur ce type de projets (40 tests PCI DSS réalisés par an)
  • Suivi d’un QSA tout au long du projet
  • Mise en perspective des risques vis-à-vis du vol des données de cartes bancaires
  • Mise en évidence des exigences du standard par rapport aux vulnérabilités identifiées