Maintenir la conformité PCI DSS au sein du SILe véritable challenge après avoir atteint le nirvana de la Conformité PCI DSS est de la maintenir dans le SI existant qui lui continuera à évoluer dans le cadre de son exploitation. Il faut s’assurer que l’ensemble des contrôles sur les composants PCI DSS soient correctement mise…
Suite à l’installation de NMAP dans notre infrastructure PCI, J’ai décidé de faire un Scan sur la faille Heartbleed en particulier. Bien entendu les sondes type Qualys avaient déjà remontés l’information lors des scans trimestrielles mais on n’est jamais à l’abri d’un oubli sur un réseau de taille importante et multi-sites. Je vous propose via…
Les auditeurs QSA demandent à récupérer l’ensemble des versions de SSL de nos composants (Cipher Suite) et quand à plusieurs centaines d’équipements aussi bien réseaux, qu’applicatifs et autres consoles d’administrations, nous sommes vite confronté à une véritable problématique de temps. Les preuves ne sont valables que trois mois… Le parc étant vraiment hétérogène. J’ai demandé…
PCI DSS nous demande de conserver à jour l’ensemble des composants dont nos bibliothèques SSL. Nous avons tous subi la faille OpenSSL Heartbleed et j’ai constaté lors de l’audit d’un socle Linux que malgré une mise à jour régulière de celui-ci, aucune mise à jour de la librairie SSL n’était disponible lors de la commande…
La majorité des systèmes d’informations hébergent des systèmes dit Open (Unix, Unix-Like) et la méthode d’administration se fait via (Open)SSH. Un excellent protocole chiffré qui permet d’avoir accès à son serveur de façon sécurisé si on respecte quelques règles de bases. Pour PCI DSS, l’auditeur vérifiera que les serveurs SSH installés soient bien conformes à la…
Comment effacer un fichier de façon sécurisé sur une plateforme AIX et LinuxL’effacement des données en mode console (ssh, script…) ne doit pas être pris à la légère dans le contexte PCI DSS. Si vos équipements hébergent du PAN, il faut durcir certaines commandes de base et surtout la commande rm sur les systèmes Unix…
Suite à notre mise en conformité PCI DSS, je vous propose le guide de durcissement suivant sur le composant Apache hébergé sur un socle Linux. Ce billet permet de durcir votre composant à un niveau acceptable. N’oublions pas que le durcissement dépend énormément de la surface d’attaque que l’on souhaite exposer et surtout de la…
Lors de notre audit PCI DSS, les QSA vont prendre un certains nombres de preuves confidentielles de l’entreprise. Cette obligation de communiquer les preuves aux formats électroniques posent bien entendu les problèmes de confidentialité ainsi que la façon dont celles-ci vont être sauvegardés.
Durcir son serveur Mysql en 6 étapesDans la continuité de notre certification, nous constatons que le durcissement des composants des bases de données Open Source soulève des difficultés aux équipes de prod. MySQL n’échappe pas à la règle. Il faut durcir ce composant tout en permettant la continuité de la production. Ce guide de durcissement…
Pour répondre aux exigences PCI DSS du chapitre 2 et en particulier la 2.2.2, nous devons savoir quel sont les ports TCP/UDP ouverts sur nos serveurs. Je vous propose le billet suivant pour vos plateformes Linux. L’auditeur appréciera la concordance des résultats avec votre documentation.
