Klaus Schenk est SVP Security and Threat Research chez Verimatrix, où il dirige une équipe de data scientists et dirige VMX Labs, pionnier de la recherche avancée en cybersécurité et développant des solutions innovantes pour protéger les applications, les API et le contenu numérique.

Q1 : Pourquoi la conformité à la norme PCI DSS est-elle essentielle pour les applications mobiles ?

Klaus Schenk : PCI DSS, ou Payment Card Industry Data Security Standard, est un ensemble d'exigences de sécurité conçues pour protéger les informations relatives aux cartes de paiement lors du traitement, du stockage et de la transmission. Elle a été établie par les principales sociétés de cartes de crédit telles que Visa, MasterCard et American Express afin de réduire la fraude sur les paiements et d'améliorer la sécurité des données des titulaires de cartes.

Étant donné que de plus en plus de transactions sont effectuées au moyen d'applications mobiles, la norme PCI DSS doit être au premier plan des préoccupations des développeurs d'applications dès le départ. Il ne s'agit pas seulement de répondre aux exigences réglementaires, mais aussi de préserver la confiance des clients et de sauvegarder la réputation de la marque.

Pour illustrer la portée étendue de la norme PCI DSS, elle s'étend même aux appareils personnels lorsqu'ils sont utilisés comme appareils de point de vente (POS) pour un commerçant. Les lignes directrices du Conseil des normes de sécurité PCI concernent les "applications de paiement qui fonctionnent sur tout appareil électronique portable du consommateur qui n'est pas uniquement dédié au traitement des transactions d'acceptation des paiements". 

Cela illustre la nécessité pour les développeurs de répondre de manière complète et proactive aux exigences de protection au sein d'un vaste écosystème d'appareils et d'utilisations. Après tout, le point de vente n'est qu'un exemple d'application mobile applicable, car presque toutes les applications interagissant avec des données de cartes de crédit doivent répondre aux exigences de la norme PCI DSS.

Q2 : Quelles sont les idées fausses les plus répandues sur la conformité des applications mobiles à la norme PCI DSS ?

Klaus Schenk : L'une des plus grandes idées fausses est l'idée que la conformité équivaut à la sécurité ou que la sécurité équivaut à la conformité. Ce n'est pas parce qu'une application répond aux exigences de la norme PCI DSS qu'elle est entièrement sécurisée, et ce n'est pas parce qu'une application est bien protégée qu'elle répond aux exigences de la norme PCI DSS. PCI est une norme de base conçue pour minimiser les risques, mais elle ne tient pas compte de toutes les menaces possibles.

Les entreprises se laissent souvent bercer par un faux sentiment de sécurité lorsqu'elles se concentrent uniquement sur la conformité, sans voir les menaces plus profondes et évolutives qui se cachent sous la surface. Le respect des normes PCI n'est qu'un début. Elle fixe le plancher, et non le plafond, des mesures de sécurité.

La sécurité est une cible mouvante. En effet, les cybercriminels ne cessent d'évoluer dans leurs tactiques. Les cadres de conformité sont conçus pour faire face aux risques connus, mais ils ne peuvent pas anticiper toutes les menaces émergentes. Pour protéger véritablement les données de paiement sensibles, les entreprises doivent aller au-delà de la conformité et adopter une posture de sécurité délibérément proactive.

Q3 : Quelles sont les menaces de sécurité les plus courantes auxquelles les applications mobiles sont confrontées en ce qui concerne la conformité à la norme PCI DSS ?

Klaus Schenk : Imaginez une application de point de vente utilisée par une chaîne de restaurants populaire. Conçue pour rendre les transactions rapides et transparentes, elle permet aux clients de payer directement à leur table à l'aide d'une tablette ou d'un smartphone. De l'extérieur, cela semble être un mélange parfait de commodité et de technologie. Mais sous la surface, ce type d'application mobile est une mine d'or pour les cybercriminels.

Pourquoi ? Parce qu'il traite chaque jour des informations de paiement sensibles - numéros de cartes de crédit, dates d'expiration, CVV et même noms des clients. Si ces données sont compromises, les conséquences peuvent être catastrophiques, non seulement pour les clients concernés, mais aussi pour la réputation de l'entreprise. Et les menaces sont partout :

  • Logiciels malveillants mobiles : Les cybercriminels, qui peuvent également travailler pour le commerçant exploitant le point de vente, peuvent installer des logiciels malveillants conçus pour voler les données de paiement ou les identifiants de connexion. Cela est particulièrement dangereux lorsque les applications des points de vente sont connectées à des réseaux Wi-Fi publics.
  • App App tampering and reverse engineering: Les pirates analysent l'application pour comprendre comment elle fonctionne, ce qui peut permettre d'exposer des mécanismes de sécurité. Une fois qu'ils ont compris le fonctionnement interne, ils peuvent créer des versions malveillantes qui ressemblent à l'application originale et se comportent exactement comme elle, mais qui volent secrètement des données.

La conformité à la norme PCI DSS ne se limite pas au cryptage des données de paiement ; il s'agit de protéger l'ensemble de l'écosystème de l'appareil, depuis l'interface frontale jusqu'aux serveurs dorsaux.

Q4 : Comment les développeurs d'applications mobiles peuvent-ils s'assurer que leurs applications sont conformes à la norme PCI DSS ?

Klaus Schenk : Commencez par comprendre exactement ce que signifie la conformité à la norme PCI DSS pour les applications mobiles. Je vous recommande de lire la documentation officielle PCI DSS, qui détaille les exigences relatives au traitement, au stockage et à la transmission sécurisés des données des cartes de paiement. Vous trouverez les dernières lignes directrices ici : Conseil des normes de sécurité PCI.

Une fois que vous avez compris les exigences, l'étape suivante consiste à réfléchir à la manière dont le code de votre application peut être mieux protégé. N'oubliez pas que la conformité à la norme PCI DSS ne se limite pas au cryptage des données de paiement ; il s'agit de protéger l'ensemble de l'écosystème de l'application contre les menaces potentielles. Cela inclut la protection des API, des intégrations tierces et des mécanismes d'authentification des utilisateurs.

Lorsque vous envisagez de choisir une plateforme de protection des applications, recherchez des caractéristiques telles que

  • Obfuscation du code: Cette technique rend le code source de l'application difficile à comprendre, ce qui empêche les attaquants de procéder à une rétro-ingénierie.
  • Cryptographie en boîte blanche: Elle protège les clés de chiffrement même lorsqu'elles sont utilisées, ce qui garantit la sécurité des données sensibles.
  • Protection des applications mobiles: Protection en temps réel contre les manipulations, les attaques en cours d'exécution et les logiciels malveillants.
  • Autoprotection des applications en cours d'exécution (RASP): Surveille le comportement de l'application en temps réel et réagit automatiquement aux activités suspectes.
  • Protocoles de communication sécurisés: Garantit que les données transmises entre l'application et le serveur sont cryptées et protégées contre les attaques de type "man-in-the-middle" et les attaques cryptographiques, ainsi que contre les attaques sur le protocole.

Je suggère également d'intégrer le provisionnement de la protection dans votre pipeline CI/CD-en ajoutant des tests de pénétration automatisés et manuels périodiques. Cela vous permet de détecter les vulnérabilités à un stade précoce du processus de développement, avant qu'elles n'atteignent la production. En automatisant ces aspects de la sécurité, vous maintenez un cycle de développement rapide sans sacrifier la conformité ou la sécurité.

Enfin, choisissez une solution qui assure une conformité permanente. La norme PCI DSS n'est pas un événement ponctuel ; elle exige une surveillance continue et des mises à jour régulières. Une bonne plateforme de protection des applications vous aidera à maintenir la conformité en offrant une intégration SIEM pour une surveillance centralisée et des rapports de conformité détaillés adaptés aux exigences de la norme PCI DSS.

L'intégration de la sécurité dans votre workflow développement simplifie non seulement la conformité, mais renforce également la position globale de votre produit en matière de sécurité. Il s'agit de protéger votre produit de manière proactive tout en continuant à innover et à offrir de bonnes expériences aux utilisateurs.

Q5 : Quel rôle joue la journalisation dans la conformité à la norme PCI DSS ?

Klaus Schenk : La journalisation est essentielle pour créer une piste d'audit des activités des utilisateurs et du système. La norme PCI DSS v4.0 comporte des exigences strictes en matière de journalisation, notamment en ce qui concerne l'intégrité des journaux, le contrôle de l'accès et la définition de politiques de conservation.

Une journalisation efficace permet d'identifier en temps réel les activités suspectes, les accès non autorisés ou les violations potentielles. Il ne s'agit pas seulement de collecter des journaux, mais aussi de les analyser pour y déceler des anomalies.

La surveillance centralisée peut réduire considérablement les délais de détection et de réaction. Il s'agit de maintenir la visibilité sur le comportement de l'application et de pouvoir réagir rapidement aux menaces potentielles.

Q6 : Comment les entreprises doivent-elles traiter les données de connexion pour répondre aux exigences de la norme PCI DSS ?

Klaus Schenk : Selon la section 10 de la norme PCI DSS v4.0, toutes les organisations qui traitent, stockent ou transmettent des données de cartes de paiement doivent :

  • Enregistrer tous les accès aux données des titulaires de cartes afin de créer une piste d'audit.
  • Sécuriser les fichiers journaux pour éviter les modifications non autorisées et garantir l'intégrité.
  • Examinez quotidiennement les journaux pour détecter les événements de sécurité et conservez-les pendant au moins 12 mois.
  • Limiter l'accès aux journaux aux seules personnes autorisées.
  • Utiliser une technologie de synchronisation du temps pour garantir des horodatages cohérents.

Ces exigences s'appliquent universellement, mais leur mise en œuvre peut varier d'un secteur à l'autre. Par exemple, les détaillants sont fortement ciblés par les attaques par vol de données d'identification et la fraude aux paiements, en particulier avec l'augmentation des achats en ligne et des paiements mobiles. La norme PCI DSS exige l'enregistrement de toutes les tentatives d'authentification, y compris les échecs de connexion, afin de détecter les accès non autorisés et les activités suspectes.

Si un système de point de vente au détail voit plusieurs tentatives de connexion échouées en succession rapide, cela peut indiquer une attaque par saturation des informations d'identification, où des robots automatisés essaient de voler des mots de passe. En enregistrant et en surveillant ces événements, les détaillants peuvent détecter et bloquer les activités malveillantes avant qu'une brèche ne se produise.

Q7 : Quelles tendances observez-vous en matière de conformité PCI DSS pour les applications mobiles ?

Klaus Schenk : L'une des principales tendances est le passage à une conformité continue. Les organisations abandonnent les audits annuels au profit d'un contrôle et d'une validation continus. Cette approche proactive les aide à garder une longueur d'avance sur les menaces émergentes.

L'accent est également mis de plus en plus sur la sécurisation des API, qui sont de plus en plus ciblées par les attaquants. Comme de plus en plus d'applications s'appuient sur les API pour la communication et l'échange de données, leur sécurisation devient essentielle pour la conformité à la norme PCI DSS.

Je suis également enthousiasmé par le rôle de l'intelligence artificielle et de l'apprentissage automatique dans la détection des menaces et le contrôle de la conformité. Ces technologies améliorent les connaissances en matière de sécurité en temps réel, aidant les organisations à détecter les anomalies plus rapidement et à réagir plus efficacement.

Q8 : Un dernier conseil aux développeurs d'applications mobiles pour améliorer la conformité de leurs applications à la norme PCI DSS ?

Klaus Schenk : Bien trop souvent, mon équipe et moi-même sommes confrontés à des scénarios dans lesquels les développeurs d'applications mobiles savent qu'ils vont devoir faire face à un audit, alors ils cherchent rapidement une solution de sécurité et finissent par choisir ce qui peut sembler être le choix le plus simple, mais qui finit par causer d'importants maux de tête à l'avenir.

Malgré les avantages considérables d'une approche de protection complète et stratifiée, les développeurs peuvent se focaliser sur le prix. Cela se traduit presque toujours par une solution basique, de type "check-the-box", qui n'est pas à la hauteur. Et cela peut même se traduire par une absence de certification de la part de la banque. 

Leçon apprise - faire des économies sur la sécurité peut finir par coûter beaucoup plus cher à long terme. Ce qui semble être une bonne affaire finit par retarder un lancement et par nuire à la crédibilité de l'entreprise auprès de la banque. La conformité ne consiste pas seulement à réussir un audit ; il s'agit de protéger les utilisateurs et la réputation de l'entreprise.