Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

Conformité et test d'intrusion

En dehors des exigences de conformité, les tests d'intrusion représentent un des élements essentiels de tout programme de sécurité. Le contexte de cybersécurité en constante évolution du fait d'une complexité croissante des attaques techniques souligne le besoin des organisations de contrôler et gérer les faiblesses de manière continue.

 
 

Conformité et test d'intrusion

Dans le contexte régulé actuel, de nombreuses organisations recherchent des moyens optimisés leur permettant d’analyser leur niveau de conformité en continu. Diverses réglementations et normes présentent des composants liés à la sécurité et l'audit de systèmes. Elles indiquent que les tests d'intrusion sont nécessaires afin de déterminer si les vulnérabilités identifiées posent un véritable risque pour une organisation.

 

C'est quoi ?

Exigence

  • La norme de sécurité de l’industrie des cartes de paiement (PCI DSS - Payment Card Industry Data Security Standard) a été édictée dans le but d’aider les entreprises à traiter les paiements par carte de crédit en toute sécurité et réduire les fraudes à la carte. Pour ce faire, elle applique des contrôles stricts autour du stockage, de la transmission et du traitement des données des titulaires de carte traitées par les entreprises. La PCI DSS a pour objet de protéger les données sensibles des titulaires de carte.
  • L'exigence 11.3 de la PCI DSS décrit la nécessité d'exécution régulière de tests d'intrusion afin d'identifier les questions de sécurité en instance et de rechercher les réseaux sans fil dévoyés.

En savoir plus

 
  • L'exécution d'un test d'intrusion est un composant essentiel de la conformité ISO 27001 (et potentiellement de l'obtention de la certification). Grâce au test d'intrusion, les organisations identifient efficacement les domaines nécessitant des améliorations du système de gestion de la sécurité de l'information (ISMS). Le test d'intrusion fait également partie d'un régime efficace d'amélioration continue.
  • L'objectif de contrôle de la norme ISO 27001 A12.6 (Gestion de la vulnérabilité technique) énonce que « L'information sur les vulnérabilités techniques des systèmes d'informations utilisés doit être obtenue de manière opportune, l'exposition de l'organisation à ces vulnérabilités être évaluée et les mesures appropriées être prises pour faire face au risque associé ».

En savoir plus

 
  • Le RGPD vous recommande d'évaluer les applications et l'infrastructure stratégique en quête de vulnérabilités de la sécurité et de tester régulièrement l'efficacité de vos contrôles de sécurité. Les services tels que le test d'intrusion ou l'appréciation régulière de la vulnérabilité pourraient contribuer à respecter cette recommandation.
  • Il exige des organisations la mise en œuvre de mesures techniques pour assurer la sécurité des données. L'article 32 indique que les organisations devraient mettre en place « une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».

En savoir plus

 
  • La PSD2 est une évolution significative de la réglementation existante pour le secteur du paiement et les prestataires de services de paiement. Elle tend à accroître la concurrence dans un secteur déjà compétitif, à fomenter de nouveaux types de services de paiement, à rehausser la protection et la sécurité des consommateurs et à étendre la portée de la Directive.
  • La PSD2 impose aux institutions de paiement prospectives de procurer un document de politique de sécurité – incluant une appréciation du risque détaillée – décrivant les mesures prises pour protéger les consommateurs des fraudes et usages illégaux des données à caractère personnel et sensible. Au moins annuellement, les prestataires de services de paiement doivent déclarer à leur autorité nationale compétente : les appréciations du risque de sécurité et opérationnel mises à jour et l'adéquation des mesures de contrôle et de mitigation déployées.

En savoir plus

 

 

Offre de solutions pratiques afin de vous aider à respecter vos impératifs juridiques, réglementaires et contractuels

Notre expertise des normes comme la PCI DSS, le RGPD et ISO 27001 signifie que nous sommes en mesure d'offrir une approche intégrée de vos défis de test mais aussi de développer des solutions adaptées afin que vous réduisiez vos risques tout en assurant votre conformité avec les normes, cadres de travail, législations et autres impératifs de l'entreprise.

 

Parler à un expert

Veuillez nous contacter pour en savoir plus ou afin de discuter avec un expert.

Contact