6 - Mesures Techniques par Exigence (Version enrichie et complète)
Ce fichier présente les mesures techniques clés à mettre en œuvre pour satisfaire chacune des 12 exigences PCI DSS v4.0.
Exigence 1 – Contrôles réseau
| Élément | Outil recommandé | Vérification |
|---|---|---|
| Pare-feu | pfSense, Fortigate, Checkpoint | Dump des règles, logs de blocage |
| Segmentation | VLAN, SDN | Test Nmap, script segmentation |
Failure
Évitez les règles ANY-ANY, même temporaires.
Exigence 2 – Configurations sécurisées
| Cible | Méthode | Exemple |
|---|---|---|
| OS / Réseau | Benchmark CIS/ANSSI | Lynis, Chef InSpec |
| Application | Configuration durcie | OWASP SecureConfig, audit YAML/INI |
Tip
Automatisez avec Ansible + scripts d’audit réguliers.
Exigence 3 – Données stockées (PAN)
| Élément | Mesure | Outil |
|---|---|---|
| PAN | AES-256 + rotation clé | Hashicorp Vault, LUKS |
| SAD | Suppression après autorisation | Cron wipe, suppression BDD auto |
Danger
Le stockage du CVV est strictement interdit après autorisation.
Exigence 4 – Données transmises
| Protocole | Configuration | Vérification |
|---|---|---|
| TLS | Version ≥ 1.2 | SSL Labs, testssl.sh |
| SSH | Durci (sshd_config) | sshd -T, Lynis |
Tip
Activez HSTS et désactivez TLS 1.0/1.1.
Exigence 5 – Anti-malware
| Poste cible | Outil | Vérification |
|---|---|---|
| Endpoint | Crowdstrike, Wazuh | Console + détection EICAR |
| Serveur Linux | CrowdSec, Falco | Journal syslog, alertes |
Exigence 6 – Développement et correctifs
| Élément | Action | Exemple |
|---|---|---|
| Dev sécurisé | SAST/DAST | SonarQube, ZAP |
| Patch management | Ansible, WSUS | apt list, reports WSUS |
Tip
Intégrer
npm audit,pip-audit,safetydans vos CI/CD.
Exigence 7 – Accès par besoin métier
| Contrôle | Exemple | Outil |
|---|---|---|
| RBAC | Groupes AD, IAM | Keycloak, Azure AD |
| Audit d’accès | Revue trimestrielle | Tableur, audit automatique IAM |
Info
RBAC signifie Role-Based Access Control, ou en français : contrôle d’accès basé sur les rôles.
Définition simple
RBAC est une méthode de gestion des autorisations dans un système informatique.
Plutôt que d’attribuer des droits directement à chaque utilisateur, on leur assigne des rôles (ex. : “comptable”, “admin”, “auditeur”), et chaque rôle possède un ensemble défini de permissions.
Exigence 8 – Authentification forte
| Élément | Mesure | Vérification |
|---|---|---|
| MFA | Duo, TOTP, Yubikey | Logs d’authentification |
| Sessions | Timeout, verrouillage | Captures, scripts test |
Danger
Le MFA par SMS seul est vulnérable (SIM swap).
Exigence 9 – Accès physique
| Contrôle | Exemple | Vérification |
|---|---|---|
| Badge | RFID, double badge | Journal d’accès, vidéos |
| Destruction | Broyeur certifié | PV destruction, enregistrement |
Exigence 10 – Surveillance & logs
| Élément | Mesure | Outil |
|---|---|---|
| Logs centralisés | Syslog, Rsyslog | Wazuh, Graylog |
| SIEM | Corrélation, alertes | Splunk, Sentinel |
Failure
L’absence d’horodatage NTP = non-conformité majeure.
Exigence 11 – Tests de sécurité
| Test | Fréquence | Outil |
|---|---|---|
| Scan vulnérabilité | Trimestriel | OpenVAS, Nessus |
| Pentest | Annuel | Rapport externe ou interne |
Example
Scans internes + externes exigés selon votre SAQ/ROC.
Exigence 12 – Politique et gouvernance
| Élément | Outil | Vérification |
|---|---|---|
| Politique SSI | Markdown, PDF signé | Validation annuelle |
| Sensibilisation | LMS, e-learning | Preuves de suivi |
Tip
Intégrez vos exigences PCI dans votre PSSI centrale.