FAQ

C - Les scans externes trimestriels

Pour être conforme à PCI DSS tout acteur doit réaliser des tests de vulnérabilité trimestriels de ses points d’accès sur Internet. Pour cela l’acteur peut choisir parmi les fournisseurs de solutions de sécurité approuvés pour effectuer des scans de vulnérabilité (ASV, Approved Scanning Vendors) disponible sur le site de PCI SSC.
Une adresse IP (Internet Protocol) est un numéro d'identification qui est attribué à chaque branchement d'appareil à un réseau informatique utilisant l'Internet Protocol. En particulier les points d’accès réseau sur Internet sont référencés par une adresse IP.

Lors d’un scan de vulnérabilité le dispositif analyse chaque adresse IP de l’acteur afin de contrôler la vulnérabilité des services disponibles sur cette adresse.
Les services disponibles derrière une adresse IP peuvent dans certains cas présenter des vulnérabilités connues utilisables par des personnes mal intentionnées (hackers) pour pénétrer le système d’information à l’insu de son propriétaire. Si le hacker arrive à prendre la main sur le système d’information il peut retrouver des fichiers ou bases de données contenant des numéros de cartes bancaires. Il est alors en mesure de les voler.

Les scans de vulnérabilité analysent les failles connues et établissent un rapport qui permettra le cas échéant à l’acteur concerné de corriger ces failles.
Un système d’information évolue en permanence avec l’ajout ou la suppression de matériels, avec la mise à jour de logiciels de systèmes d’exploitation ou d’application informatiques, avec la modification du paramétrage des équipements de sécurité et de réseaux.

Même si à un moment donné le rapport de scan ne présente aucune vulnérabilité, les modifications apportées sur le système ou des erreurs de programmation qui ont pu être faites postérieurement à ce scan ont pu ouvrir de nouvelles failles. Par ailleurs, la veille sur les vulnérabilités fait régulièrement apparaître de nouvelles failles qui sont rapidement prises en compte par les outils d’analyse.

Il est donc important de réaliser les scans périodiquement. Il est même conseillé de réaliser des scans immédiatement après une modification majeure du système d’information et ne pas attendre le prochain scan trimestriel.
Les scans s’appliquent à tout système d’information visible depuis Internet (adresse IP accessible depuis Internet). Il peut s’agir d’un site web commerçant mais également de tout autre point d’entrée sur un système d’information de l’acteur concerné (ex : téléphonie IP).
Oui, les scans doivent etre réalisées par des professionnels habilités (ASVs).

Un exemple, les logiciels de scans utilisent couramment des attaques de type ‘PortScan’, qui correspondent à un balayage de ports. Cette activité est considérée comme suspecte par un système de détection d'intrusion (IDS). Un système de détection d'intrusion peut être réglé à différents niveaux de sensibilité. Un niveau de sensibilité élevé génèrera plus de fausses alertes, un niveau de sensibilité bas risque de laisser passer les balayages effectués par des systèmes sophistiqués comme ‘Nmap’ qui disposent de diverses options pour camoufler leurs balayages.

Pour tromper la vigilance des systèmes de détection et des pare-feu, les balayages peuvent se faire dans un ordre aléatoire, avec une vitesse excessivement lente (par exemple sur plusieurs jours), ou à partir de plusieurs adresses IP.

Les balayages de ports se font habituellement sur le protocole TCP ; néanmoins, certains logiciels permettent aussi d'effectuer des balayages UDP. Cette dernière fonctionnalité est beaucoup moins fiable, UDP étant orienté sans connexion, le service ne répondra que si la requête correspond à un modèle précis variant selon le logiciel serveur utilisé.
Un rapport de scan liste, pour chaque adresse IP déclarée dans la portée de l’analyse, la liste des constats effectué par l’outil sur les services visibles derrière cette adresse IP. L’outil se base sur les failles connues en l’état de l’art de la veille sécuritaire.

Le rapport présente généralement un classement par importance des failles de sécurité constatées sur le système analysé. Le rapport doit être analysé par un spécialiste informatique afin de prendre les mesures appropriées pour corriger les failles constatées.
Source : GIE-CB