Test d'intrusion en tant que service

Assez fréquemment, chez Cycuri, on nous demande si nous proposons des tests d’intrusion en tant que service. Généralement, ces demandes sont faites lorsqu’une organisation cherche à obtenir une cote de conformité certifiée pour une norme industrielle pertinente, ou qu’elle est sur le point de faire face à un audit qui nécessite des preuves de tests de contrôles de sécurité. Trois des demandes de conformité les plus courantes reçues par Cycuri concernent les domaines suivants :

  • Tests de pénétration de conformité PCI-DSS
  • Tests de pénétration de
    conformité HIPAA
  • Tests de pénétration de conformité SOC 2

Tests d’intrusion pour la conformité PCI-DSS

La conformité PCI-DSS 3.2 est une exigence pour l’industrie des cartes de paiement (c’est-à-dire les processeurs de cartes de crédit). Cependant, des règles différentes s’appliquent selon que vous êtes considéré comme un commerçant ou un fournisseur de services.

Un marchand PCI est défini comme suit :
Aux fins de la norme PCI DSS, un marchand est défini comme toute entité qui accepte les cartes de paiement portant les logos de l’un des cinq membres du PCI SSC (American Express, Discover, JCB, MasterCard ou Visa ) en paiement de biens et/ou de services.

Un fournisseur de services PCI est défini comme suit :
entité commerciale qui n’est pas une marque de paiement, directement impliquée dans le traitement, le stockage ou la transmission des données de titulaire de carte. Cela inclut également les entreprises qui fournissent des services qui contrôlent ou pourraient avoir un impact sur la sécurité des données des titulaires de carte.

Une entreprise qui est à la fois commerçant et fournisseur de services est définie de la manière suivante :
Notez qu’un commerçant qui accepte les cartes de paiement pour le paiement de biens et/ou de services peut également être un fournisseur de services, si les services vendus entraînent le stockage, le traitement ou la transmission par le titulaire de la carte données pour le compte d’autres commerçants ou prestataires de services. Par exemple, un FAI est un commerçant qui accepte les cartes de paiement pour la facturation mensuelle, mais est également un fournisseur de services s’il héberge des commerçants en tant que clients.

Comprendre si votre entreprise est considérée ou non comme un fournisseur de services est extrêmement important. Évidemment, si vous traitez, stockez ou transmettez des données de titulaire de carte, vous tombez dans la catégorie de fournisseur de services. De plus, si vous fournissez des services de sécurité gérés tels que des pare-feu pour protéger et segmenter un environnement de données de titulaire de carte (CDE) qui contient des éléments tels que des systèmes de point de vente et d’autres systèmes de back-office, vous êtes également très probablement un fournisseur de services. D’autres exemples d’organisations entrant dans cette catégorie sont les sociétés d’hébergement, les fournisseurs de colocation, les sociétés de services de back-office et les sociétés de gestion de comptes de facturation.


Alors, qu’est-ce que cela signifie pour les fournisseurs de services PCI ?

Les fournisseurs de services sont tenus d’effectuer un test d’intrusion ANNUEL qui « aborde en profondeur la sécurité de l’environnement », y compris un test des contrôles de segmentation CDE . Six mois après le test d’intrusion annuel, un autre test d’intrusion (portée réduite) doit être effectué, uniquement axé sur les contrôles de segmentation CDE (c’est-à-dire la connectivité entre les réseaux couverts et hors champ).

L’horloge de six mois démarre après la fin du test initial.
La correction des vulnérabilités exploitables de gravité élevée doit être terminée dans les 60 jours en cas de problèmes de segmentation. Ils doivent être immédiatement retestés lorsqu’ils sont prêts.

Alors, qu’est-ce que cela signifie pour les marchands PCI ?

Les commerçants doivent comprendre qui sont leurs fournisseurs de services et s’assurer qu’ils ont des accords appropriés avec eux. Les accords doivent indiquer les exigences PCI-DSS spécifiques qu’un fournisseur de services doit respecter (par exemple 11.2, 11.3, 11.3.4.1, etc.).

Test de pénétration pour la conformité HIPAA

La règle de sécurité HIPAA exige que certaines organisations traitant des informations de santé électroniques protégées (EPHI) effectuent une analyse des risques qui, en fait, oblige ces entités couvertes à tester leurs contrôles de sécurité. Deux méthodes significatives et importantes pour tester les contrôles de sécurité (c’est-à-dire selon les garanties administratives – 4.8 Évaluation (§ 164.308 (a) (8))) sont l’analyse des vulnérabilités et les tests de pénétration, comme décrit dans les procédures d’évaluation des contrôles de sécurité trouvées dans NIST SP 800-53A, Guide d’évaluation des contrôles de sécurité dans les systèmes d’information fédéraux.

Sans avoir procédé à ces mesures opérationnelles, il est possible qu’un auditeur ou un juge de droit administratif rende un jugement contre une entité visée.

La règle de sécurité de l’HIPAA se concentre spécifiquement sur la sauvegarde de l’EPHI. Bien que la loi fédérale sur la gestion de la sécurité de l’information (FISMA) s’applique à toutes les agences fédérales et à tous les types d’informations, seul un sous-ensemble d’agences est soumis à la règle de sécurité HIPAA en fonction de leurs fonctions et de l’utilisation de l’EPHI. Toutes les entités couvertes par HIPAA doivent se conformer à la règle de sécurité. La règle de sécurité se concentre spécifiquement sur la protection de la confidentialité, de l’intégrité et de la disponibilité d’EPHI, telles que définies dans la règle de sécurité. L’EPHI qu’une entité couverte crée, reçoit, maintient ou transmet doit être protégée contre les menaces, les dangers et les utilisations et/ou divulgations non autorisées raisonnablement prévisibles. En général, les exigences, les normes et les spécifications de mise en œuvre de la règle de sécurité s’appliquent aux entités couvertes suivantes :

  • Prestataires de soins de santé couverts— Tout prestataire de services médicaux ou autres services de santé, ou de fournitures, qui transmet des informations de santé sous forme électronique dans le cadre d’une transaction pour laquelle le HHS a adopté une norme.
  • Plans de santé— Tout plan individuel ou collectif qui fournit ou paie le coût des soins médicaux (par exemple, un émetteur d’assurance maladie et les programmes Medicare et Medicaid).
  • Centres de compensation des soins de santé— Une entité publique ou privée qui traite les transactions de soins de santé d’une autre entité d’un format standard à un format non standard, ou vice versa.
  • Sponsors de la carte de médicaments sur ordonnance Medicare – Une entité non gouvernementale qui propose un programme de médicaments à prix réduits approuvé en vertu de la loi sur la modernisation de l’assurance-maladie.

Qu’est-ce que cela signifie pour les exigences du service de test d’intrusion ?

Les entités couvertes relevant d’une exigence de conformité HIPAA doivent effectuer une « évaluation continue » des aspects techniques et non techniques du programme de sécurité. En termes de fréquence des tests d’intrusion, cela a généralement été interprété comme un test annuel au minimum.

Test de pénétration pour la conformité SOC 2

Les organisations appartenant à la catégorie des fournisseurs de services technologiques sont invitées à se conformer à la norme SOC 2 . Afin d’atteindre cette conformité, ils doivent réussir un audit qui couvre cinq grands principes de sécurité (connus sous le nom de Trust Service Principles – TSP). Il s’agit de vérifications par rapport à des contrôles qui évaluent la sécurité, la disponibilité, l’intégrité, la confidentialité et la vie privée.

Les audits SOC 2 ont deux types principaux (SOC 2 Type I et SOC 2 Type II). En gros, un audit de type I est un examen de la documentation et de la conception, tandis qu’un audit de type II est un test de l’efficacité des contrôles conçus. Les tests d’intrusion entreraient dans la catégorie des tests d’efficacité des contrôles de sécurité. Mais est-ce obligatoire ? Techniquement parlant, il n’y a pas de critères spécifiques dans SOC 2 qui obligent à avoir un test d’intrusion.

Cependant, SOC 2 Common Criteria (Security) CC4.1 (COSO Principle 16) stipule :

L’entité sélectionne, développe et réalise des évaluations continues et/ou séparées pour vérifier si les composants du contrôle interne sont présents et fonctionnent.

Donc, fondamentalement, un test d’intrusion n’est pas requis SI l’organisation peut démontrer qu’une autre évaluation de sécurité d’une couverture et d’une rigueur équivalentes est effectuée régulièrement (par exemple, les évaluations de sécurité et de confidentialité HIPAA). De plus, comme pour de nombreuses normes, l’interprétation d’un auditeur à l’autre peut varier. En tant que tel, il est tout à fait possible (et de l’avis de Cycuri, très probable) qu’un auditeur se sente mal à l’aise d’émettre un rapport SOC 2 pour toute organisation qui ne souhaite pas effectuer un test d’intrusion. Évidemment, si cela se produit, vous devez trouver une nouvelle société d’audit ou faire effectuer les tests d’intrusion. Dans les deux cas, nous recommandons fortement les tests d’intrusion dans le cadre de cet exercice.

Qu’est-ce que cela signifie pour les exigences du service de test d’intrusion ?

Si vous ne disposez pas d’une évaluation de sécurité équivalente (pas seulement une analyse de vulnérabilité) effectuée régulièrement, une entité cherchant à obtenir un rapport SOC 2 doit effectuer un test d’intrusion tous les 6 à 12 mois.

Pourquoi les tests d’intrusion en tant que service sont importants

Cycuri propose des tests d’intrusion en tant que service pour les audits PCI-DSS, HIPAA et SOC 2. En fin de compte, choisir un fournisseur de tests d’intrusion en tant que partenaire de service vous procurera des avantages tels que :

  • Testeur de continuité. Nous saurons connaître votre environnement et vos besoins spécifiques.
  • Réduction des coûts pour les tests ultérieurs. La familiarité avec l’environnement et les applications permet un test plus efficace et approfondi à chaque point ultérieur.
  • Dans l’ensemble, un partenaire de service de test d’intrusion comme Cycuri vous fournira la confiance et l’opinion d’un expert pour vous guider tout au long de ces processus.

Rapports et livrables :

Rapport détaillé du pentest

Preuve de concept d'exploitation

Test de remédiation ciblé