Maintenir la conformité PCI DSS au sein du SILe véritable challenge après avoir atteint le nirvana de la Conformité PCI DSS est de la maintenir dans le SI existant qui lui continuera à évoluer dans le cadre de son exploitation. Il faut s’assurer que l’ensemble des contrôles sur les composants PCI DSS soient correctement mise…
Suite à l’installation de NMAP dans notre infrastructure PCI, J’ai décidé de faire un Scan sur la faille Heartbleed en particulier. Bien entendu les sondes type Qualys avaient déjà remontés l’information lors des scans trimestrielles mais on n’est jamais à l’abri d’un oubli sur un réseau de taille importante et multi-sites. Je vous propose via…
Les auditeurs QSA demandent à récupérer l’ensemble des versions de SSL de nos composants (Cipher Suite) et quand à plusieurs centaines d’équipements aussi bien réseaux, qu’applicatifs et autres consoles d’administrations, nous sommes vite confronté à une véritable problématique de temps. Les preuves ne sont valables que trois mois… Le parc étant vraiment hétérogène. J’ai demandé…
PCI DSS nous demande de conserver à jour l’ensemble des composants dont nos bibliothèques SSL. Nous avons tous subi la faille OpenSSL Heartbleed et j’ai constaté lors de l’audit d’un socle Linux que malgré une mise à jour régulière de celui-ci, aucune mise à jour de la librairie SSL n’était disponible lors de la commande…
La majorité des systèmes d’informations hébergent des systèmes dit Open (Unix, Unix-Like) et la méthode d’administration se fait via (Open)SSH. Un excellent protocole chiffré qui permet d’avoir accès à son serveur de façon sécurisé si on respecte quelques règles de bases. Pour PCI DSS, l’auditeur vérifiera que les serveurs SSH installés soient bien conformes à la…
Lors de notre audit PCI DSS, les QSA vont prendre un certains nombres de preuves confidentielles de l’entreprise. Cette obligation de communiquer les preuves aux formats électroniques posent bien entendu les problèmes de confidentialité ainsi que la façon dont celles-ci vont être sauvegardés.
Durcir son serveur Mysql en 6 étapesDans la continuité de notre certification, nous constatons que le durcissement des composants des bases de données Open Source soulève des difficultés aux équipes de prod. MySQL n’échappe pas à la règle. Il faut durcir ce composant tout en permettant la continuité de la production. Ce guide de durcissement…
Pour répondre aux exigences PCI DSS du chapitre 2 et en particulier la 2.2.2, nous devons savoir quel sont les ports TCP/UDP ouverts sur nos serveurs. Je vous propose le billet suivant pour vos plateformes Linux. L’auditeur appréciera la concordance des résultats avec votre documentation.
Durcissement du composant Postfix pour répondre aux exigencesLe durcissement des composants Open Source est aussi une obligation dans une démarche PCI DSS. Je vous propose ce billet pour commencer votre guide de durcissement (Hardening) pour le composant Postfix (SMTP). Ce billet est à destination des équipes techniques et responsables de ceux-ci. Il arrive qu’une solution…
Le guide de durcissement d’un système Linux peut contenir plusieurs centaines de pages suivant l’exposition de celui-ci aux risques. Je vais aborder le durcissement de son serveur Linux en quelques minutes du coté des services réseaux. Attention cela ne vous dispense pas de faire le reste (WAF, Patch Management, Anti-virus….). Avant de modifier votre configuration,…
