Exigences 6.4.3 et 11.6.1 de la norme PCI DSS : guide complet de la sécurité côté client
Les hackers ciblent de plus en plus les vulnérabilités côté client. C’est pourquoi le Payment Card Industry Security Standards Council (PCI DSS) a introduit de nouvelles exigences dans la version 4.0 de la norme PCI DSS. Les exigences 6.4.3 et 11.6.1 traitent spécifiquement de la menace croissante des attaques côté client. Elles mettent l’accent sur la gestion des scripts et la détection des modifications sur les pages de paiement. À l’approche de l’échéance de conformité en mars 2025, les organisations doivent comprendre et appliquer ces règles efficacement.
Dans cet article, nous allons détailler ce que ces nouvelles exigences signifient pour votre organisation, comment les mettre en œuvre efficacement et quelles étapes pratiques suivre pour atteindre la conformité. Nous examinerons les contrôles spécifiques requis pour la gestion des scripts et la détection des modifications, les défis courants de mise en œuvre, ainsi que les solutions permettant de simplifier votre parcours de conformité.
Points clés
- Les attaques côté client ont évolué au-delà des mesures de cybersécurité traditionnelles. Les attaquants ciblent désormais les scripts exécutés dans les navigateurs des utilisateurs pour voler les données de paiement directement au moment de leur saisie.
- Les exigences 6.4.3 et 11.6.1 imposent une gestion complète des scripts et une surveillance continue des pages de paiement, allant au-delà des protections classiques côté serveur.
- Les organisations doivent mettre en place plusieurs contrôles critiques d’ici mars 2025, notamment :
a. Des méthodes pour autoriser et vérifier l’intégrité des scripts des pages de paiement
b. Un inventaire à jour de tous les scripts avec une justification commerciale
c. Des mécanismes de détection des modifications et des alertes en cas d’altération des pages de paiement - Les outils de cybersécurité traditionnels comme les Web Application Firewalls (WAF) sont insuffisants pour répondre à ces exigences, car ils se concentrent principalement sur la protection côté serveur.
Pourquoi ces exigences sont-elles importantes ?
L’introduction des critères 6.4.3 et 11.6.1 répond à une évolution majeure dans la manière dont les attaquants ciblent les données de cartes de paiement. Plutôt que d’exploiter les vulnérabilités côté serveur, les hackers s’attaquent de plus en plus aux scripts JavaScript et autres éléments exécutés côté client pour intercepter des informations sensibles directement depuis les navigateurs des utilisateurs. Cette approche, illustrée par les attaques Magecart, permet de contourner totalement les mesures de sécurité traditionnelles.
Selon le Rapport mondial sur la sécurité des bots 2024 de DataDome, les attaques côté client sont particulièrement dangereuses, car elles passent souvent inaperçues jusqu’à ce que des dommages importants soient constatés. Le rapport révèle que 65 % des sites web sont vulnérables à des attaques automatisées, même basiques, ce qui souligne l’urgence de renforcer la sécurité côté client.
Analyse de l’exigence 6.4.3 : gestion des scripts
L’exigence 6.4.3 fait partie du critère 6, qui porte sur le développement et la maintenance de systèmes et de logiciels sécurisés. Elle concerne spécifiquement la gestion des scripts des pages de paiement qui sont chargés et exécutés dans les navigateurs des consommateurs.
Composantes essentielles de l’exigence 6.4.3
Cette exigence impose trois contrôles essentiels :
-
- Autorisation des scripts
- Mise en place de méthodes pour confirmer que chaque script est autorisé
- Élaboration de processus d’autorisation clairs pour les scripts internes et tiers
- Documentation des procédures et décisions d’autorisation
- Vérification de l’intégrité des scripts
- Méthodes garantissant l’intégrité de chaque script
- Vérification régulière que les scripts n’ont pas été altérés
- Mise en place de systèmes de surveillance de l’intégrité
- Gestion de l’inventaire des scripts
- Maintien d’un inventaire complet de tous les scripts
- Justification écrite de la nécessité de chaque script
- Révision et mise à jour régulières de l’inventaire
- Autorisation des scripts
Bonnes pratiques de mise en œuvre
Les organisations rencontrent plusieurs défis lors de la mise en œuvre de l’exigence 6.4.3, notamment en ce qui concerne la gestion des scripts tiers et du contenu dynamique.
L’utilisation intensive de scripts tiers dans les applications web de commerce électronique crée un environnement complexe où il devient de plus en plus difficile de garder un contrôle total sur tous les scripts des pages de paiement. Les entreprises doivent trouver un équilibre délicat entre la mise en œuvre de contrôles de sécurité robustes et le maintien des fonctionnalités essentielles fournies par ces scripts.
Pour relever le défi des scripts tiers, les entreprises doivent mettre en œuvre un programme de gestion complet qui commence par des évaluations approfondies de la sécurité des fournisseurs. Il s’agit d’évaluer les pratiques de sécurité de chaque fournisseur de services tiers et d’établir des processus d’approbation stricts pour les nouveaux scripts.
Les entreprises doivent ensuite surveiller en permanence le comportement des scripts tiers afin de détecter toute activité inhabituelle ou potentiellement malveillante. La mise en œuvre de politiques de sécurité des contenus (CSP) offre un niveau de protection supplémentaire en contrôlant les scripts qui peuvent être exécutés et en limitant leurs capacités.
La nature dynamique des sites web modernes représente un autre défi de taille. Avec le chargement dynamique du contenu et l’injection de scripts en temps réel, il devient de plus en plus complexe de maintenir un inventaire précis de tous les scripts.
La solution réside dans l’utilisation d’outils sophistiqués de détection et de surveillance automatisés capables de s’adapter à cet environnement dynamique. Ces outils doivent rechercher en permanence de nouveaux scripts et suivre les modifications en temps réel, en maintenant automatiquement un inventaire à jour. Lorsque des modifications non autorisées se produisent, le système doit générer des alertes immédiates, permettant aux équipes de sécurité de réagir rapidement aux menaces potentielles.
Analyse de l’exigence 11.6.1 : détection des modifications
L’exigence 11.6.1 impose la mise en place obligatoire de mécanismes de détection des modifications et d’altération des pages de paiement. Elle vise à identifier toute modification non autorisée des en-têtes HTTP et du contenu des pages web.
Composants clés de l’exigence 11.6.1
Cette exigence impose aux organisations de :
-
- Déployer un système de détection des modifications
- Mettre en place des systèmes capables de détecter les modifications non autorisées
- Surveiller à la fois les en-têtes HTTP et le contenu des pages de paiement
- Alerter les équipes en cas de modification suspect
- Déployer un système de détection des modifications
- Assurer une surveillance régulière
- Effectuer des contrôles au moins tous les sept jours
- Ou définir une fréquence de surveillance basée sur une analyse des risques
- Documenter et justifier les intervalles de surveillance
- Réagir aux alertes
- Établir des procédures claires pour enquêter sur les alertes
- Mettre en place des protocoles de réponse en cas de modification détectée
- Conserver une documentation détaillée de toutes les alertes et des actions entreprises
Bonnes pratiques de mise en œuvre
Pour mettre en œuvre efficacement l’exigence 11.6.1, les organisations doivent d’abord établir des configurations de référence détaillées qui documentent les comportements normaux des scripts et définissent les en-têtes HTTP attendus. Cette configuration de référence doit inclure des listes blanches précises des configurations approuvées, créant ainsi une norme claire de sécurité des données permettant d’identifier toute déviation ou modification non autorisée.
Une approche de détection multicouche offre la couverture de sécurité la plus efficace. Les organisations doivent mettre en place plusieurs méthodes de détection complémentaires, combinant des processus de surveillance automatisés et manuels.
Cette stratégie multicouche doit intégrer à la fois des contrôles préventifs, qui empêchent les modifications non autorisées avant qu’elles ne se produisent, et des contrôles de détection, qui identifient les changements ayant réussi à contourner les premières lignes de défense. La combinaison de ces approches assure une posture de sécurité plus robuste qu’une méthode unique et réduit considérablement le risque de violation des données.
Le maintien de procédures de réponse complètes est tout aussi essentiel pour une mise en œuvre efficace de cette norme. Les organisations doivent élaborer des plans de réponse aux incidents clairs et détaillés, définissant les étapes spécifiques à suivre lorsqu’une modification non autorisée est détectée.
Ces plans doivent inclure des procédures d’escalade clairement définies qui identifient les parties prenantes clés et leurs responsabilités. Des tests réguliers et des mises à jour de ces protocoles de réponse garantissent leur efficacité face à l’évolution des menaces et à l’extension de votre surface d’attaque.
Comment intégrer ces exigences aux contrôles de sécurité existants
Les organisations doivent intégrer ces nouvelles exigences de manière réfléchie à leur infrastructure de sécurité existante afin de créer un système de protection cohérent et efficace. Ce processus d’intégration nécessite une analyse approfondie pour s’assurer que les nouveaux contrôles viennent compléter et renforcer les mesures de sécurité en place, tout en évitant les redondances ou les conflits.
Les nouveaux contrôles de sécurité côté client doivent fonctionner en complément des protections existantes, notamment les pare-feu applicatifs web (WAF) et autres solutions de défense côté serveur. Si les WAF offrent une certaine protection contre les attaques côté serveur, les nouveaux contrôles côté client comblent une lacune essentielle en surveillant et en protégeant l’environnement du navigateur contre les menaces spécifiques. Les organisations doivent analyser leurs politiques et procédures de sécurité actuelles afin de garantir que ces nouveaux contrôles s’intègrent bien, tout en maintenant une cohérence dans leur cadre de cybersécurité.
L’automatisation joue un rôle clé dans une intégration réussie. Les organisations doivent mettre en place des systèmes automatisés d’analyse et de détection capables de traiter l’énorme volume de données généré par la surveillance côté client. Les outils d’analyse basés sur l’IA permettent d’identifier des schémas et des menaces potentielles qui pourraient échapper aux systèmes traditionnels basés sur des règles. De plus, l’automatisation des tâches de conformité réduit la charge de travail des équipes de sécurité et garantit une application uniforme des mesures de protection.
Des capacités complètes de reporting de conformité doivent être intégrées au système de sécurité global. La solution doit pouvoir générer automatiquement des rapports détaillés démontrant la conformité aux exigences nouvelles et existantes. Cela comprend le maintien de pistes d’audit complètes, documentant tous les événements et changements liés à la sécurité. Les organisations doivent veiller à ce que leurs procédures de documentation intègrent toutes les informations nécessaires sur les mesures de sécurité, y compris les modifications de configuration, les réponses aux incidents et les activités de maintenance régulières.
Votre plan d’action pour la conformité d’ici mars 2025
Les organisations doivent suivre une approche structurée pour atteindre la conformité :
-
- Phase d’évaluation
- Recenser les scripts et contrôles existants
- Identifier les écarts de conformité
- Évaluer les outils de sécurité actuels
- Phase de planification
- Sélectionner les solutions de sécurité adaptées
- Définir un calendrier de mise en œuvre
- Allouer les ressources nécessaires
- Phase de mise en œuvre
- Déployer les solutions choisies
- Configurer les systèmes de surveillance
- Former le personnel
- Phase de test
- Valider les contrôles
- Réaliser des tests d’intrusion
- Effectuer des audits de conformité
- Phase d’évaluation
Atteindre la conformité PCI DSS : Le Partenariat DataDome + Source Defense
Répondre aux exigences PCI DSS 6.4.3 et 11.6.1 nécessite une expertise spécialisée en sécurité côté client et protection des pages de paiement. DataDome s’associe à Source Defense, leader du secteur dans ce domaine, pour fournir à ses clients des capacités de conformité conçues à cet effet. Source Defense assure une découverte et une surveillance continues qui automatisent les exigences de gestion des scripts de la norme 6.4.3, en maintenant un inventaire toujours à jour des scripts côté client et en éliminant les efforts de suivi manuel. Cette approche automatisée garantit que les organisations maintiennent des registres précis de tous les scripts opérant sur leurs pages de paiement, incluant des informations détaillées sur l’objectif et le statut d’autorisation de chaque script.
Détectez les changements en temps réel
Pour répondre à la norme PCI 11.6.1, Source Defense met en œuvre des mécanismes sophistiqués de détection de changements et de falsifications qui surveillent les pages de paiement en temps réel. Le système signale automatiquement les modifications non autorisées, y compris les changements subtils qui pourraient indiquer une compromission ou un script malveillant. Cette surveillance continue s’étend aux en-têtes HTTP et au contenu des scripts, offrant une couverture complète des vecteurs d’attaque potentiels.
Simplifiez la documentation de conformité
L’un des principaux défis pour maintenir la conformité PCI est de fournir une documentation adéquate lors des audits. Source Defense simplifie ce processus avec :
- Une visibilité au niveau du tableau de bord qui fournit un accès instantané à l’inventaire et à l’activité des scripts
- Des rapports à la demande pour la documentation de conformité
- Un suivi automatisé des changements de scripts et du statut d’autorisation
- Des pistes d’audit claires pour tous les événements liés à la sécurité
Contrôles de sécurité proactifs
Au-delà des exigences de conformité de base, Source Defense ajoute des mesures de sécurité proactives telles que :
- Analyse des scripts côté client et détection d’anomalies
- Découverte automatisée de nouveaux scripts et changements
- Intégration avec l’infrastructure de sécurité existante
- Alertes en temps réel pour les modifications non autorisées
Pourquoi le partenariat DataDome + Source Defense est important :
Ce partenariat offre une sécurité en profondeur sur l’ensemble de votre écosystème digital. DataDome protège contre les attaques de bots, la prise de contrôle de comptes et la fraude sur votre trafic web, mobile et API, tandis que Source Defense se spécialise dans la sécurité des pages de paiement et la conformité PCI DSS. Ensemble, ils fournissent une protection complète sans lacunes de couverture, et les clients utilisant les deux solutions bénéficient d’une remise partenaire privilégié de 10 %.
En automatisant des aspects critiques de la conformité PCI, cette approche partenariale aide les organisations à répondre aux obligations réglementaires tout en maintenant une posture de sécurité solide et en réduisant la charge opérationnelle.
En conclusion
Les exigences 6.4.3 et 11.6.1 de la norme PCI DSS marquent un tournant majeur dans la sécurité des paiements par carte, en reconnaissant l’importance croissante des protections côté client. Les organisations doivent aller au-delà des mesures de sécurité traditionnelles côté serveur pour mettre en place des systèmes complets de gestion des scripts et de détection des modifications.
En adoptant une approche structurée et en mettant l’accent sur l’amélioration continue, les organisations peuvent non seulement se rendre conforme à la norme, mais aussi renforcer durablement la protection des données des titulaires de carte.
Réussir la mise en œuvre de ces exigences nécessite une combinaison d’outils adaptés, de processus bien définis et d’un engagement constant en matière de cybersécurité. Il est essentiel de démarrer dès maintenant les efforts de mise en conformité pour respecter l’échéance de mars 2025 tout en posant les bases d’une sécurité renforcée face aux défis futurs.
Vous souhaitez simplifier votre conformité à la norme PCI DSS v4.0 ? Demandez une démonstration de DataDome Page Protect dès aujourd’hui et découvrez comment notre solution automatisée peut vous aider à respecter les exigences PCI DSS 6.4.3 et 11.6.1 tout en protégeant les données de paiement de vos clients.
FAQ
Le PCI Niveau 1 représente le niveau le plus élevé et le plus strict de conformité au PCI DSS, requis pour les commerçants traitant plus de 6 millions de transactions par carte de crédit par an. Ces organisations doivent se soumettre à un audit annuel sur site réalisé par un évaluateur de sécurité qualifié (QSA) et à des analyses trimestrielles du réseau effectuées par un fournisseur de tests d’analyse agréé (ASV). Les commerçants de Niveau 1 doivent également remplir un rapport de conformité (ROC) détaillé afin de démontrer leur adhésion à toutes les exigences de la norme PCI DSS.
Le PCI Niveau 3 s’applique aux commerçants traitant entre 20 000 et 1 million de transactions e-commerce par an. Ces commerçants doivent remplir un questionnaire d’auto-évaluation annuel (SAQ), effectuer des analyses trimestrielles du réseau avec un fournisseur de tests d’analyse agréé (ASV) et soumettre un formulaire d’attestation de conformité. Bien que les exigences du Niveau 3 soient moins strictes que celles des Niveaux 1 et 2, ces commerçants doivent tout de même assurer une conformité totale avec toutes les exigences applicables de la norme PCI DSS afin de protéger les données des titulaires de carte.
La norme PCI DSS s’applique à toutes les données des titulaires de carte (CHD) et aux données d’authentification sensibles qui sont stockées, traitées ou transmises par les organisations. Cela inclut le numéro de compte principal (PAN), le nom du titulaire de la carte, la date d’expiration et le code de service. Il couvre également les données d’authentification sensibles telles que les données complètes de la piste magnétique, les numéros CAV2/CVC2/CVV2/CID et les codes PIN/blocs PIN. Ces exigences s’appliquent à ces données, qu’elles soient sous forme électronique ou papier.