Test de pénétration PCI : explication des exigences, du processus et du rapport
En moyenne, seulement 68,8 % des organisations dans le monde ont maintenu la conformité à l'exigence 11.3 de la norme PCI DSS, qui stipule que les organisations doivent effectuer des tests de pénétration annuels.
Les tests de pénétration sont des engagements de simulation d'attaque cybernétique utilisés pour identifier et exploiter des vulnérabilités susceptibles de donner aux cybercriminels un accès non autorisé à des informations.
L'exercice, également appelé test de pénétration, pourrait révéler si votre environnement de données des titulaires de carte est susceptible à une grande variété de vulnérabilités qui pourraient exposer ces données. Il pourrait également révéler les améliorations nécessaires pour protéger ces informations.
Dans cet article, nous expliquons en quoi consistent exactement les tests de pénétration PCI, en quoi ils diffèrent des tests de pénétration réguliers, et les composants et processus des tests que vous devez connaître. Nous fournissons également une liste de contrôle du rapport de test de pénétration pour vous aider à évaluer la qualité d'un rapport.
Qu'est-ce qu'un test de pénétration PCI DSS ?
Un test de pénétration est un exercice où une tierce partie embauchée lance une attaque simulée sur vos systèmes pour découvrir les domaines dans lesquels votre organisation peut améliorer sa sécurité des informations.
Un test de pénétration PCI évalue spécifiquement la sécurité de votre environnement de données des titulaires de carte, de tout réseau ou système connecté à votre environnement de données des titulaires de carte, voire des systèmes ou réseaux isolés de votre infrastructure et de vos applications internes vers les systèmes externes connectés aux réseaux publics.
Les tests de pénétration PCI sont une exigence pour maintenir la conformité à la norme PCI DSS, et le non-respect peut entraîner des sanctions légales ou la perte des privilèges de traitement des cartes de paiement.
Quelle est la différence entre un test de pénétration et une analyse de vulnérabilité ?
Bien que les tests de pénétration PCI puissent inclure des analyses de vulnérabilité, ils ne sont pas la même chose.
Une analyse de vulnérabilité se concentre sur la recherche, la priorisation et la génération de rapports sur les vulnérabilités existantes dans un système à l'aide d'un outil automatisé uniquement. Un test de pénétration PCI pourrait tirer parti d'une analyse de vulnérabilité, mais inclure un véritable hacker éthique dont l'objectif principal est d'exploiter ces vulnérabilités et potentiellement de pivoter dans votre environnement pour découvrir des menaces plus profondes.
Reportez-vous au tableau ci-dessous pour trouver un aperçu des principales différences entre une analyse de vulnérabilité et un test de pénétration.
| Vulnerability Scan | Penetration Test | |
|---|---|---|
| Goal | Find, rank, and report on existing vulnerabilities that may compromise a system through use of a tool | A white hat hacker discovering vulnerabilities, exploiting vulnerabilities, and pivoting through your environment to discover deeper threats |
| Who | An ASV for external scans and qualified personnel or third party for internal scans | Qualified internal personnel (must have a penetration testing methodology and experience) or third party |
| When | Perform every quarter and after significant system changes | Perform every year and after significant system changes |
| How | An automated tool to find and report vulnerabilities | A manual testing process that discovers vulnerabilities, uses vulnerabilities to discover additional threats, and thoroughly reports findings including remediation |
| Reports | Ranking by severity of potential vulnerabilities found including generic publically available description | Description of each vulnerability verified or discovered during testing including a proof of concept and remediation guidance |
| Duration | Lasts several seconds to minutes depending on the scanned host, or hours depending on the network | Lasts days to weeks based on the scope of the test and size of the environment |
Quelle est la différence entre un test de pénétration PCI et un test de pénétration standard ?
Par rapport à un test de pénétration standard, les tests de pénétration PCI ont des directives spécifiques concernant la portée et la fréquence du test. La méthodologie de test exige également spécifiquement des tests contre la couche applicative et tous les systèmes critiques ou systèmes connectés à l'environnement des données des titulaires de carte.
Lectures recommandées
Test de pénétration 101
Exigences de test de pénétration PCI
L'exigence PCI DSS 11 contient des contrôles liés à l'établissement d'un processus de gestion des vulnérabilités. Les contrôles incluent la réalisation de scans de vulnérabilité internes et externes trimestriels et un test de pénétration annuel.
L'exigence PCI DSS 11.3 traite des tests de pénétration et spécifie les exigences suivantes.
- Qui effectue les tests de pénétration : Une ressource interne qualifiée ou un tiers.
- Périmètre : Systèmes critiques et réseaux ou systèmes connectés à l'environnement des données des titulaires de cartes.
- Fréquence : Doit être effectué au moins une fois par an ou après des changements importants. Les fournisseurs de services doivent effectuer des tests de segmentation deux fois par an.
- Méthodologie : Une méthodologie doit être définie, incluant la définition du périmètre, la documentation et les règles d'engagement. La méthodologie de test réelle doit être basée sur les normes de l'industrie et les directives de test définies par PCI.
- Composants : Définition du périmètre, tests de segmentation, tests des couches réseau et applicative.
- Rapports et documentation : La méthodologie des tests de pénétration doit être documentée et le rapport de test de pénétration doit inclure les vulnérabilités assignées avec un score et une description associés.
- Remédiation : Toutes les vulnérabilités externes élevées et moyennes doivent être corrigées ainsi que toutes les vulnérabilités internes élevées. Tous les réseaux définis comme segmentés mais trouvés connectés seraient inclus dans le périmètre PCI DSS, sauf s'ils sont autrement corrigés.
Qui effectue typiquement un test de pénétration PCI DSS ?
Secureframe recommande d'embaucher une société de tests de pénétration tierce pour effectuer le test de pénétration.
PCI DSS permet à une ressource interne de réaliser le test de pénétration. Cette personne doit être organisationnellement indépendante - c'est-à-dire qu'elle ne peut pas être responsable de la gestion, du support ou de la maintenance des systèmes ou de l'environnement cible. Cette personne doit également être qualifiée, ce qui nécessite d'avoir une expérience antérieure en tant que testeur de pénétration ou de détenir une certification de test de pénétration, telle qu'un Offensive Security Certified Professional (OSCP), Certified Ethical Hacker (CEH) ou Global Information Assurance Certification (GIAC).
Méthodologie de test de pénétration PCI
Il existe plusieurs méthodologies pouvant être utilisées pour les tests de pénétration. Celles-ci se réfèrent à des activités et des processus autres que le test lui-même qui peuvent aider à rendre un test de pénétration réussi.
Les méthodologies utilisées dépendent de l'entreprise offrant des services de test de pénétration ainsi que des menaces et des vulnérabilités de l'environnement des données des titulaires de cartes et de la complexité et de la taille de l'organisation en cours de test.
Il existe également différentes méthodologies qui peuvent être utilisées avant, pendant et après un test de pénétration. Par exemple, un testeur de pénétration peut utiliser des techniques d'ingénierie sociale pendant les tests pour identifier et accéder aux serveurs, composants réseau et autres cibles dans l'environnement de données des titulaires de cartes (CDE). D'autres peuvent ne pas incorporer ces techniques dans leur méthodologie de test de pénétration.
Lorsqu'ils envisagent quelles activités et processus à intégrer, les testeurs de pénétration peuvent se référer à plusieurs méthodologies acceptées par l'industrie, notamment :
- Manuel de méthodologie de test de sécurité Open Source (« OSSTMM »)
- Publication spéciale 800-115 de l'Institut national des normes et de la technologie (« NIST »)
- Guide de test OWASP
- Norme d'exécution de tests de pénétration (PTES)
- Cadre de tests de pénétration
Composants de test de pénétration PCI
Ci-dessous, trouvez plus d’informations sur la délimitation, les tests de segmentation, les tests de couche réseau et d’application.
Portée
Lors de l'exécution d'un test de pénétration PCI, les systèmes critiques de l'environnement de données des titulaires de cartes (CDE), le périmètre externe et tous les systèmes connectés à l'environnement de données des titulaires de cartes sont inclus dans la portée du test. Il incombe à l’organisation effectuant le test de pénétration de définir la portée et de s'assurer qu'elle inclut tous les composants suivants :
- Systèmes critiques : Tout système, réseau ou dispositif qui stocke, traite ou transmet des données de titulaires de carte, ou est considéré comme extrêmement impactant pour votre service.
- Systèmes connectés : Tout réseau, système ou dispositif qui se connecte à votre environnement de données des titulaires de carte.
- Périmètre externe du CDE : Tous les services accessibles au public, les points d'accès à distance et les composants systèmes critiques connectés à l'infrastructure réseau publique (par exemple, les applications web).
Tests de couche application et de couche réseau
Un test de pénétration de sécurité des applications et de la couche réseau identifie les failles de sécurité qui résultent d'une conception et d'un codage d'application non sécurisés. Les testeurs de pénétration vérifient également les défauts de cybersécurité provenant d'une configuration, d'une mise en œuvre, d'une utilisation ou d'une maintenance incorrectes des logiciels spécifiques à l'organisation.
Les tests de couche application et de couche réseau commencent une fois que la portée est définie, les règles d'engagement sont établies et tout accès est accordé.
L’équipe de tests de pénétration définira probablement les dates auxquelles le test de pénétration aura lieu, y compris les heures auxquelles les tests seront effectués.
Les testeurs de pénétration réaliseront ensuite l'évaluation réelle de l’application et du réseau, découvrant les vulnérabilités qui peuvent exister dans votre environnement.
Tests de segmentation
Les tests de segmentation sont requis annuellement pour les commerçants et semestriellement pour les fournisseurs de services.
Si vous utilisez des contrôles de segmentation tels que des pare-feux ou des VLAN pour segmenter les réseaux hors de portée de votre environnement de données des titulaires de cartes, des tests de segmentation doivent avoir lieu.
Une vérification de segmentation teste que ces contrôles sont opérationnels et isolent efficacement le CDE des autres systèmes. Cette vérification est importante car elle empêche les pirates de pouvoir pivoter dans le CDE s'ils prennent le contrôle d'un autre réseau isolé.
Ingénierie sociale
L’ingénierie sociale, telle que le phishing, est le moyen le plus populaire et le plus efficace par lequel les pirates peuvent pénétrer dans votre environnement. Les tests d'ingénierie sociale visent à identifier les risques qui peuvent découler de l'incapacité des utilisateurs à différencier une demande malveillante d'une demande légitime.
PCI DSS ne nécessite pas de test d'ingénierie sociale mais exige une formation de sensibilisation à la sécurité, qui devrait inclure des modules de phishing.
Le guide ultime pour PCI DSS
Apprenez tout ce que vous devez savoir sur les exigences, le processus et les coûts pour obtenir la certification PCI.
Méthodes de tests de pénétration
Trois méthodes de tests de pénétration existent : boîte noire, boîte blanche et boîte grise. Typiquement, les tests de pénétration PCI DSS incluent ces trois méthodes de test.
- Les évaluations en boîte noire sont effectuées sans aucune authentification préalable ni même informations spécifiques de périmètre fournies par l'organisation au testeur. Cela pourrait consister à fournir au testeur la plage d'IP de la portée uniquement.
- Les évaluations en boîte blanche ont lieu lorsque l'organisation fournit un accès et des informations complètes et détaillées sur le réseau et toutes les applications web avant de tester. Cela pourrait inclure plusieurs rôles d'accès, toutes les fonctions effectuées par une application et chaque adresse IP de chaque appareil dans la portée.
- Les évaluations en boîte grise se situent entre les boîtes noire et blanche. L'organisation pourrait fournir un accès limité aux systèmes et applications et demander au testeur de découvrir lui-même des services supplémentaires.
Le processus de test de pénétration PCI
Un test de pénétration PCI réussi se compose de trois étapes: pré-engagement, engagement et post-engagement. Le pré-engagement consiste en une définition de la portée et une collecte d'informations, l'engagement englobe les étapes d'évaluation, et le post-engagement est composé de la rédaction d’un rapport et des retests. Vous trouverez un aperçu de chaque étape ci-dessous.
1. Pré-engagement
Avant de tester, le testeur et l'organisation identifient la portée du test basé sur les exigences PCI DSS et les réseaux, applications, systèmes et utilisateurs concernés. Le PCI DSS spécifie que la portée d'un test de pénétration PCI doit inclure tous les systèmes critiques, systèmes ou réseaux connectés, systèmes externes ou publics, et tout environnement isolé pour les tests de segmentation.
Le testeur de pénétration obtiendra ensuite l'autorisation pour le test, en indiquant les dates et heures spécifiques auxquelles le test aura lieu en incluant potentiellement les adresses IP de provenance du test de pénétration.
Tous les identifiants et authentifications seront ensuite testés avant le test de pénétration pour s'assurer que l'accès est correctement accordé.
2. Engagement
À ce stade, le testeur de pénétration commencera le test en récupérant des informations sur les systèmes cibles tels que les ports ouverts, les services et la topologie du réseau.
Ensuite, le testeur de pénétration effectuera des scans pour tenter de découvrir des vulnérabilités et des vecteurs d'attaque contre les systèmes concernés. Une fois les vulnérabilités découvertes, l'attaquant tentera ensuite de les exploiter pour essayer de pénétrer dans les systèmes ou réseaux cibles ou d'exfiltrer des données telles que les données des titulaires de carte. Le testeur tentera ensuite d'escalader les privilèges pour obtenir un accès administratif plus approfondi en exploitant des vulnérabilités supplémentaires au sein des systèmes.
Lors d'un test de segmentation, le testeur sera placé au sein des systèmes et de l'environnement isolés et tentera d'accéder à l'environnement de données des titulaires de carte. Cela peut se faire en utilisant des techniques de scan puis en essayant d'utiliser les services trouvés pour accéder, ou en essayant d'exploiter des vulnérabilités découvertes ou en utilisant des identifiants découverts pour accéder.
3. Post-engagement
Une fois l'engagement terminé, le testeur documentera dans un rapport la portée du test, la méthodologie utilisée et les vulnérabilités découvertes. Le rapport doit inclure toutes les vulnérabilités trouvées, le score associé concernant la sévérité de la vulnérabilité, la description et une preuve de concept. Le rapport de test de pénétration doit également inclure les détails des tests de segmentation, y compris les réseaux d'origine, l'environnement des données des titulaires de carte et si l'accès a été découvert.
L'organisation aura désormais l'opportunité de remédier aux vulnérabilités trouvées et de demander au testeur de pénétration d'effectuer un nouveau test des vulnérabilités pour s'assurer qu'elles ont été corrigées. Notez qu'il est généralement exigé par la norme PCI DSS que les vulnérabilités critiques et importantes soient corrigées sur le réseau interne et que les vulnérabilités critiques, importantes et moyennes soient corrigées sur tout système accessible de l'extérieur.
Directives de rapport de test de pénétration
Les rapports de test de pénétration peuvent sembler très différents d'une entreprise de test de pénétration à l'autre. Cependant, le PCI SCC énonce un contenu commun pour un test de pénétration standard de l'industrie. Ce contenu est décrit ci-dessous.
- Résumé exécutif : Un aperçu général de la portée et des résultats du test de pénétration
- Déclaration de portée : Une définition détaillée de tous les systèmes et réseaux concernés
- Déclaration de méthodologie : Détails sur les méthodologies utilisées pour les tests
- Déclaration de limitations : Documentation de toutes les restrictions sur les tests, comme les heures de test désignées
- Narratif de test : Détails sur la manière dont les tests ont progressé et sur les problèmes rencontrés
- Résultats des tests de segmentation : Un résumé des tests effectués pour valider les contrôles de segmentation
- Conclusions : Une description des vulnérabilités trouvées, de leur gravité selon un système de notation reconnu par l'industrie, et des cibles qui seraient affectées
- Outils utilisés : Détails sur les outils utilisés lors des tests
- Instructions de nettoyage : Instructions sur la manière de nettoyer l'environnement ciblé et de vérifier que les contrôles de sécurité ont été rétablis après les tests
- Preuves de remédiation : Les résultats montrant quelles vulnérabilités ont été corrigées, si des tests de remédiation ont été effectués
En plus de ce contenu, vous pouvez utiliser la liste de contrôle ci-dessous pour vérifier si le contenu nécessaire est inclus dans votre rapport de test de pénétration.
Outil d'évaluation des rapports de test de pénétration
Selon le Rapport sur la sécurité des paiements de Verizon 2022, seulement 68,8 % des organisations à travers le monde ont maintenu la conformité à l'exigence PCI DSS pour les tests de pénétration annuels. En explorant ce qui a contribué à cette mauvaise performance de cette exigence, ils ont découvert que les organisations effectuaient en fait un test de pénétration mais ne parvenaient pas à atténuer les résultats. Dans certains cas, cela était dû au fait que les organisations ne comprenaient pas ou ne savaient pas par où commencer pour atténuer les vulnérabilités.
C'est pourquoi il est important d'avoir des conseils sur la façon d'interpréter un rapport de test de pénétration et sa qualité. Utilisez la liste de contrôle d'évaluation des rapports de test de pénétration ci-dessous pour aider à évaluer l'exhaustivité et la profondeur de votre rapport.
Comment Secureframe peut aider
Maintenir la conformité PCI DSS est crucial si vous impactez la sécurité des données des titulaires de carte. Remplir les exigences de test de pénétration PCI DSS annuelles et semi-annuelles est une partie essentielle de la conformité continue, mais vous n'avez pas besoin de porter seul le fardeau de l'obtention et du maintien de la certification PCI DSS.
Secureframe simplifie le processus de conformité PCI DSS en intégrant votre pile technologique et en automatisant les contrôles techniques. Nous nous associons également à des prestataires externes de tests de pénétration qui ont été approuvés par notre équipe interne d'experts en sécurité. Vous cherchez à accélérer votre conformité PCI DSS ? Planifiez une démo PCI DSS personnalisée dès aujourd'hui.