25/07/2012

Est-il obligatoire d'avoir un Web Application Firewall pour être certifié PCI ?


La réponse est non.

Les Web Application Firewall ou WAF, sont les technologies vendues par F5, Deny-ALL, Beeware ou encore Mod_security. Elles sont très appréciées des DSI et des RSSI car elles permettent d'assurer un niveau de sécurité minimum aux applications web sans recourir à des audits de code et des corrections de code. Elles permettent de protéger les applications web "poubelles". 
Mais, elles ne sont pas la panacée : elles bloquent uniquement les attaques techniques basées sur des expressions régulières dans les URLs, mais elles sont incapables de détecter des attaques de logique (comme un contournement des autorisations, du parameter tampering, etc). De plus, les WAF bloquent souvent des fonctionnalités inoffensives, le réglage du seuil idéal étant dur à obtenir !

Il est souvent compris qu'il est obligatoire d'avoir une telle technologie pour être conforme au PCI DSS. C'est faux. Bien que toutes les exigences, et sous-exigences soient obligatoires avec le PCI DSS, il y a quelques subtilités. L'exigence sur les WAF en est une.

L'exigence PCI DSS 6.6 exige que toutes les applications web exposées sur Internet soient protégées :


PCI DSS 6.6 For public-facing web applications, address new threats and vulnerabilities on an ongoing basis and ensure these applications are protected against known attacks by either of the following methods:
manual or automated application vulnerability security assessment tools or methods, at least annually and after any changes
- Installing a web-application firewall in front of public-facing web applications

Il y donc bien 2 options possibles :

option a) avoir un WAF
option b) recourir à des tests d'intrusion applicatif tous les ans sur toutes les URL et après chaque mise en production d'une nouvelle version.

Bien sûr, le mieux est d'avoir les deux ! Il existe des WAF Open-Source (Mod_Secuirty ou Nasxi) qui remplissent très bien cette fonction et vous permettent de garder du budget pour faire faire des tests par des vrais pentesters.


Aucun commentaire:

Enregistrer un commentaire