PCI DSS

PCI DSS – Nouveau guide d’orientation des tests d’intrusions PCI

by  • 

Orientation des tests d'intrusions dans une bulle PCI DSS 3.0

Le PSI SSC vient de publier une nouvelle orientation sur les tests d’intrusions. Ce guide en version 1.0 vient nous éclairer suite aux changements du standard 3.0.

L’objectif du document est de mettre jour le document sur la directive 11.3 (Penetration testing) mise à en jour 2009, une éternité dans notre monde de la sécurité des systèmes d’informations.

Le document propose 4 axes de développements

  1. Test d’intrusion des composants: Comprendre comment on peut faire les tests d’intrusions et comprendre les vulnérabilités qui peuvent être découvertes (Périmètre, applications, réseaux, segmentation (Vlan, isolation des flux, composants) et le social engeneering.
  2. Qualification des personnes qui font les tests d’intrusions: Déterminer le niveau de qualification minimum pour pouvoir faire un test d’intrusion (là je rigole beaucoup quand je vois le nombre de poney sur le marché qui font de la sécurité…).
  3. Méthodologie des tests d’intrusions: Avoir le détail des 3 parties nécessaires pour faire comprendre le test d’intrusion en particulier sur l’aspect pré-intrusion, intrusion et post intrusion (Pre engagement, engagement and Post-Engagement).
  4. Rapport de tests d’intrusions en suivant la Guidelines: Guide d’écriture pour permettre d’écrire un rapport de test d’intrusion compréhensible et qui possède le minimum d’information pour permettre aux entreprises et aux auditeurs de vérifier la pertinence de celui-ci ainsi que du résultat de cet audit.

A qui s’adresse ce guide: RSSO, RSSI, Référent PCI DSS, Consultant Securité et bien entendu QSA.

Un point qui m’a surpris à la lecture du rapport est le niveau de qualification demandée pour les consultants qui viennent faire les tests d’intrusions au chapitre 3.

  • OSCP  (Offensive Security Certified Professional)
  • CEH (Certified Ethical Hacker)
  • CREST (Penetration Testing Certification)
  • CESG
  • GIAC (GEPN, GWAPT, GXPN)

Cela ne courts pas les rues de tel profil…surtout en France. Au chapitre 4 on appréciera la méthodologie et le chapitre 5 explique le contenu d’un rapport de test d’intrusion attendu par un auditeur.

Rien de nouveau mais très clair pour éviter les consultants adepte des rapports de plusieurs dizaines de pages…creuses. La partie 5.4 est vraiment cool en ce sens.

Le chapitre 6 apporte pas mal d’exemples sur des cas pratiques comme le scoping, les tests chez les hébergeurs, etc…

Le source du document (EN) : Le lien de téléchargement

  1 comment for “PCI DSS – Nouveau guide d’orientation des tests d’intrusions PCI

  1. Pingback: PCI DSS – Nouveau guide d’orientation des tests d’intrusions PCI | Marc Frédéric Gomez | Secure Yourself -------- 3831

Comments are closed.