F5 vous aide à répondre aux nouvelles exigences de la norme PCI DSS v4.0

Dans la norme PCI DSS v3.2.1, les organisations avaient la possibilité de protéger les applications Web publiques manuellement ou à l'aide d'outils automatisés d'évaluation de la vulnérabilité des application au moins une fois par an ou après des modifications importantes des application . Ils pourraient également choisir d'installer une solution automatisée devant toute application Web publique pour détecter et prévenir en permanence les attaques Web, configurée pour bloquer ou générer des alertes sur les attaques. Mais la norme PCI DSS v4.x obligera les organisations à déployer une solution devant les applications Web publiques pour détecter, prévenir et générer en permanence une alerte sur les attaques Web (sous-section 6.4.2 de la norme PCI DSS v4.0).

C’est exactement ce que fait un pare-feu application Web (WAF). Un WAF est installé devant les applications publiques pour vérifier le trafic des application , détecter et protéger contre toute attaque Web. Un WAF empêche les attaques de la couche application , y compris les attaques qui peuvent exploiter les vulnérabilités courantes et inconnues des applications et de leur chaîne d'approvisionnement logicielle : le code principal, les bibliothèques tierces, les outils de création et d'autres codes qui composent les applications complexes et sophistiquées d'aujourd'hui. Les WAF protègent également contre les attaques tentant d’exploiter les failles d’implémentation ou de configuration et les attaques automatisées contre les paiements, les informations d’identification et les applications installées.

F5 sécurise n'importe quelle application et API n'importe où. Nos solutions WAF peuvent être déployées devant n'importe quelle application, quel que soit l'endroit où se trouve l' application . Que vous ayez besoin d'un WAF pour protéger les applications sur site, dans des centres de données ou dans le cloud, F5 dispose d'une solution WAF qui offrira une sécurité complète de la couche application et une protection contre les exploits et les attaques. F5 WAF est disponible sous forme d'appliance, de logiciel ou dans le cloud via un service en libre-service ou géré, sécurisant les applications conteneurisées et Kubernetes, et bien plus encore.

Les produits F5 sont certifiés en tant que fournisseur de services PCI DSS de niveau 1 . Un fournisseur de services, tel que défini par PCI SSC , est une organisation qui ne fournit pas de cartes de paiement de marque ou d'autres facteurs de forme, mais qui traite, stocke ou transmet des données de titulaire de carte ou des données d’authentification sensibles pour une autre organisation. Les entreprises fournissant des services de contrôle ou d'impact sur la sécurité des données des titulaires de cartes ou des données d’authentification sensibles, comme F5 via F5 Distributed Cloud Services , sont également classées fournisseurs de services PCI DSS v4.0. Les fonctionnalités du produit F5 aident nos clients à répondre aux exigences PCI DSS en tant que commerçants, définis par le PCI SSC comme toute entité qui accepte les cartes de paiement portant les logos de tout paiement participant marqué comme paiement de biens et/ou de services.

Les services cloud distribués F5 fournissent de nombreux services qui répondent à de nombreuses sections et sous-sections de la norme PCI DSS v4.0 pour les organisations qui stockent, traitent ou transmettent des données de cartes de paiement.

F5 Distributed Cloud WAF sécurise les applications partout : dans les clouds, les centres de données et les emplacements périphériques. En tant que proxy intermédiaire, Distributed Cloud WAF inspecte les demandes et les réponses des application , bloquant et atténuant les risques, y compris les 10 principales catégories OWASP, les campagnes de menaces, les utilisateurs malveillants, les menaces DDoS de couche 7, les robots et les attaques automatisées, pour n'en citer que quelques-uns. Il atténue les attaques et les vulnérabilités des application Web grâce à des contrôles et des politiques de sécurité complets et cohérents, avec une observabilité facile à configurer, déployer, gérer et faire évoluer. F5 Distributed Cloud WAF intègre simplement et de manière transparente la protection dans votre processus de développement d'applications, permettant ainsi des cycles de livraison et de publication application plus rapides et plus sécurisés. En utilisant des techniques de détection basées sur la signature et l'IA avec un réglage automatisé des signatures, F5 Distributed Cloud WAF offre une sécurité de couche application rapide et simple avec une efficacité maximale. Le nouvel assistant IA au sein de Distributed Cloud Services contribue à simplifier la sécurité des applications et des API distribuées grâce à une interface en langage naturel avec des informations en temps réel, des recommandations exploitables et un résumé des rapports de données.

F5 NGINX App Protect est un WAF léger et hautes performances conçu pour protéger les API et les applications modernes dans les architectures distribuées et les environnements hybrides avec une protection cohérente. Indépendant de la plate-forme, NGINX App Protect s'intègre parfaitement à votre processus de développement application , détectant et sécurisant contre les attaques application , y compris les attaques par déni de service (DoS) de couche 7 et les robots. Solution de sécurité des applications puissante et à faible latence, NGINX App Protect vous permet de faire évoluer la sécurité des applications dans les clusters Kubernetes et le cloud, contribuant ainsi à réduire considérablement vos coûts de calcul. Il offre une défense multicouche, atténuant les campagnes de cyberattaques actives et surpassant la protection de catégorie OWASP Top 10.

F5 BIG-IP Advanced WAF est le pare-feu application Web phare de F5. La détection et l’atténuation dans le Advanced WAF primé servent de moteur pour Distributed Cloud WAF et NGINX App Protect. Grâce à l'analyse comportementale, à l'atténuation des attaques DoS de couche 7, au cryptage de la couche application des données sensibles et aux services de renseignement sur les menaces, BIG-IP Advanced WAF protège les applications dans les environnements hybrides distribués contre un éventail d'attaques application . BIG-IP Advanced WAF fournit un tableau de bord dédié et dynamique qui garantit rapidement et simplement la sécurité contre les menaces répertoriées dans le Top 10 de l'OWASP. BIG-IP Advanced WAF inclut des configurations guidées pour les cas d'utilisation WAF courants, un moteur d'apprentissage et permet une personnalisation granulaire des politiques de sécurité. 

De plus, F5 peut traiter davantage de domaines applicables à la norme PCI DSS v4.0.

• Les API sont un élément clé de presque toutes les transactions dans tous les secteurs et organisations. La norme PCI DSS v4.0.1 introduit plusieurs nouvelles exigences destinées à protéger et sécuriser les API dans le cadre de logiciels personnalisés et sur mesure. F5 Distributed Cloud API Security permet de répondre à bon nombre de ces nouvelles exigences, en fournissant des contrôles protégeant les API qui aident également à prévenir ou à atténuer les attaques et vulnérabilités logicielles courantes. Pour plus d'informations sur les exigences de sécurité des API trouvées dans PCI DSS v4.0.1, veuillez lire le blog d'Ian Dinno, PCI DSS 4.0.1 Update : De nouvelles mises à niveau majeures de sécurité des API sont requises pour les processeurs de paiement des clients et recherchez un nouveau blog début 2025 avec des détails supplémentaires.
• F5 Distributed Cloud Web App Scanning analyse de manière dynamique et continue votre surface d'attaque externe, découvrant les applications Web et les API exposées. Grâce à ses capacités de tests de pénétration automatisés, Distributed Cloud Web App Scanning identifie et signale les vulnérabilités potentiellement exploitables, même celles situées au plus profond de votre chaîne d'approvisionnement logicielle. Il vous aide à mieux sécuriser vos applications et API contre les attaques et les exploitations. L'analyse des applications Web Cloud distribuées vous aide également à respecter la sous-section 6.3.2 de la norme PCI DSS v4.0.
• F5 Distributed Cloud Mobile App Shield protège de manière transparente vos applications mobiles contre les logiciels malveillants, les robots, les fuites de données, les accès non autorisé et les attaques de l'homme du milieu (MiTM) qui entraînent des violations de conformité, des pertes financières, une perte de clientèle et une atteinte à la réputation. Distributed Cloud Mobile App Shield offre une protection inégalée au moment de l'exécution et au repos pour renforcer de manière proactive vos applications mobiles, empêcher toute falsification, bloquer les robots malveillants, exfiltration de données et l'abus d'API.
• La sous-section 8.4.2 de la norme PCI DSS v4.0 exige que l'authentification multifacteur (MFA) soit mise en œuvre pour tous les accès à l'environnement de données du titulaire de carte (CDE), qui peut être composé de composants système qui stockent, traitent ou transmettent des données du titulaire de carte ou des données d’authentification sensibles, ou qui ont une connectivité illimitée à ces systèmes. F5 BIG-IP Access Policy Manager (BIG-IP APM) permet un accès aux application Zero Trust, qui inclut la limitation de l'accès aux applications et aux données en fonction des privilèges basés sur un certain nombre de facteurs, notamment la date et l'heure. BIG-IP APM peut sécuriser les données des titulaires de cartes et les données d’authentification sensibles en transit. Il permet également une authentification renforcée, qui obligerait les utilisateurs définis, tels que ceux accédant au CDE ou les utilisateurs distants, à saisir un ensemble d’informations d’identification d’authentification différent de celui qu’ils ont utilisé pour l’accès initial, y compris des informations d’identification MFA différentes.
• Pour détecter et résoudre rapidement les défaillances des systèmes de contrôle de sécurité critiques, y compris les solutions IDS / IPS et anti-malware, il existe F5 BIG-IP SSL Orchestrator . BIG-IP SSL Orchestrator fournit une protection contre les menaces cryptées en décryptant le trafic crypté et en dirigeant le trafic décrypté via votre pile de sécurité existante via des chaînes de services dynamiques personnalisables. Il équilibre également la charge du trafic vers les solutions de votre pile de sécurité, surveille l'état de toutes les solutions de votre pile de sécurité et peut gérer la mise à jour des chiffrements pour vos solutions de sécurité. De plus, si l'une de vos solutions de sécurité est hors ligne, vous pouvez rapidement atténuer le danger via les chaînes de services dynamiques de BIG-IP SSL Orchestrator, vous permettant de contourner la solution hors ligne et d'atténuer tout impact négatif, comme le contournement involontaire du trafic. Et lorsque vous devez remplacer une solution de sécurité, BIG-IP SSL Orchestrator gère efficacement les modifications et les insertions de services de sécurité, en transférant de manière transparente le trafic déchiffré pour inspection sans interrompre le flux de trafic. BIG-IP SSL Orchestrator vous aidera à répondre aux sous-sections 10.7.2, 10.7.3 et 11.5.1.1 de la norme PCI DSS v4.0.