La norme PCI-DSS 4.0 sera disponible plus tôt que vous ne le pensez, et c'est l'occasion d'améliorer la cyberrésilience de votre organisation
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été publiée sur Boulevard de sécurité. Il a été mis à jour et diffusé ici.
Plus tôt cette année, le Conseil des normes de sécurité PCI a dévoilé la version 4.0 de sa norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les entreprises n'auront pas besoin d'être entièrement conformes à la version 4.0 avant mars 2025, mais cette mise à jour est la plus transformatrice à ce jour et obligera la plupart des entreprises à évaluer (et probablement à mettre à niveau) des processus de sécurité complexes et des éléments de leur infrastructure technologique. Cela s'ajoute à la mise en œuvre d'une formation de sensibilisation à la sécurité basée sur les rôles et d'une formation régulière au codage sécurisé pour les développeurs.
Cela représente une occasion en or pour les entreprises de l'espace BFSI d'améliorer sérieusement leurs programmes de sécurité, ouvrant ainsi la voie à une nouvelle ère de cyberrésilience axée sur les personnes.
Quels sont les principaux défis à relever pour se préparer à la norme PCI DSS 4.0 ?
Tout comme le programme de sécurité d'une entreprise est complet, avec des complexités propres à ses besoins commerciaux et aux ressources disponibles, les nouvelles normes PCI DSS couvrent de nombreux domaines. Cependant, ils révèlent une évolution marquée vers la flexibilité dans les approches visant à répondre aux exigences de sécurité, et dans un secteur où les outils, les menaces, la stratégie et les mesures de conformité peuvent changer en un instant, cela est significatif.
La norme PCI DSS 4.0 repose sur le concept selon lequel il existe de nombreuses manières d'atteindre le même objectif en matière de bonnes pratiques de sécurité. C'est vrai, mais cela semble mieux adapté aux organisations ayant une maturité de sécurité avancée et laisse beaucoup de place à l'erreur, en particulier pour celles qui n'ont pas évalué de manière réaliste leur véritable maturité en matière de sécurité interne. En fin de compte, les entreprises doivent être prêtes à s'engager dans la sécurité en tant que processus continu et évolutif, et non en tant qu'exercice ponctuel « à repartir et oublier ». Une solide culture de sécurité est indispensable, avec un engagement à l'échelle de l'organisation en faveur de la sensibilisation à la sécurité.
Et ceux qui utilisent des outils au niveau du code, c'est-à-dire la cohorte de développement, doivent être en mesure de fournir des logiciels conformes et sécurisés dans tout environnement commercial gérant des actifs et des transactions numériques.
Vos développeurs sont-ils prêts à fournir des logiciels conformes ?
Les développeurs jouent un rôle essentiel dans l'atteinte d'un niveau d'excellence en matière de sécurité logicielle, et cela ne se limite pas à la simple conformité à la norme PCI DSS symbolique. Il est essentiel que les développeurs comprennent la vision globale de la norme PCI DSS 4.0 en termes de ce qu'ils peuvent contrôler et intégrer dans le cadre de leur approche par défaut lors de la conception d'un logiciel.
Trois domaines clés représentent les changements les plus pertinents pour l'équipe de développement, et ils peuvent être répartis comme suit :
- Authentification : Un plan viable pour le contrôle d'accès a toujours été un élément clé de la conformité PCI, mais la version 4.0 va encore plus loin, d'une manière qui nécessitera une mise en œuvre minutieuse à la fois en interne et en externe. L'authentification multifactorielle (MFA) deviendra la norme, tout comme le renforcement des règles relatives à la complexité des mots de passe et aux délais d'expiration.
Les problèmes de sécurité liés à l'authentification et au contrôle d'accès étant désormais les problèmes les plus courants auxquels est confronté votre développeur moyen, il est impératif de mettre en place une formation de précision pour l'aider à identifier et à résoudre ces problèmes dans le code réel. - Chiffrement et gestion des clés : Nous opérons dans un monde où nous pouvons accéder à certaines de nos informations les plus sensibles via plusieurs points d'accès, tels que nos services bancaires en ligne. Ces données de grande valeur étant menacées, le cryptage et de solides pratiques de cryptographie sont indispensables. Les développeurs doivent s'assurer de disposer de connaissances à jour sur l'endroit où les informations sont transmises, sur la manière dont les utilisateurs peuvent y accéder et, même si elles tombent entre de mauvaises mains, en veillant à ce qu'elles soient illisibles pour les acteurs de la menace.
- Logiciels malveillants : Dans les directives précédentes, les contrôles de sécurité relatifs à la protection des logiciels contre les codes malveillants étaient qualifiés de « logiciels antivirus », mais cela simplifie à l'extrême ce qui devrait être une approche multicouche protégeant contre bien plus que les seuls virus. Des solutions anti-malware doivent être appliquées chaque fois que cela est nécessaire, et une journalisation et une surveillance continues sont obligatoires.
Il est également essentiel que les développeurs disposent de parcours d'apprentissage qui couvrent l'identification des composants vulnérables, en particulier lorsque la plupart des bases de code s'appuient au moins en partie sur du code tiers.
Qu'est-ce qui constitue une formation « suffisante » pour les développeurs ?
À l'instar des recommandations précédentes, la norme PCI DSS 4.0 propose que les développeurs soient formés « au moins » une fois par an. Cependant, si cela implique qu'une fois par an constitue un point de contact suffisant pour la création sécurisée de logiciels, cela est loin d'être suffisant et il est peu probable qu'il aboutisse à des logiciels plus sûrs et conformes.
La formation des développeurs doit commencer par une formation de base dans le Top 10 de l'OWASP, ainsi que par toute autre vulnérabilité pertinente en termes de langage et critique pour l'entreprise. Cela devrait faire partie d'un programme permanent, dans le but de continuer à développer ces compétences et à intégrer la sécurité non seulement dans le développement des logiciels dès le départ, mais également dans leur état d'esprit et leur approche de leur rôle. En outre, les rôles et les responsabilités doivent être clairement définis pour la cohorte de développement et ses responsables. La sécurité doit être une responsabilité partagée, mais il est juste de documenter les attentes et de s'assurer qu'elles peuvent être satisfaites correctement.
Compte tenu des délais impartis pour se préparer à la conformité à la norme PCI DSS 4.0, il est possible de réaliser des progrès significatifs en matière d'amélioration de la culture de sécurité à l'échelle de l'entreprise, et c'est un terrain fertile pour former la cohorte de développeurs la plus attentive à la sécurité que vous ayez jamais eue.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
