{"id":3526,"date":"2021-03-03T11:04:53","date_gmt":"2021-03-03T11:04:53","guid":{"rendered":"https:\/\/acinonyxweb.agency\/?p=3526"},"modified":"2021-03-03T11:07:23","modified_gmt":"2021-03-03T11:07:23","slug":"la-conformite-pci-dss-pour-les-administrateurs-de-sites-wordpress","status":"publish","type":"post","link":"https:\/\/acinonyxweb.agency\/fr\/legal\/la-conformite-pci-dss-pour-les-administrateurs-de-sites-wordpress\/","title":{"rendered":"La conformit\u00e9 PCI DSS pour les administrateurs de sites WordPress"},"content":{"rendered":"
\n

Si vous avez un site e-commerce WordPress, vous avez peut-etre d\u00e9j\u00e0 entendu parler de la norme \u00ab\u00a0PCI DSS\u00a0\u00bb et de la conformit\u00e9 PCI.<\/p>\n

En tant que commer\u00e7ant\/vendeur en ligne, votre site WordPress doit \u00eatre conforme \u00e0 la r\u00e9glementation PCI DSS, sinon vous risquez de recevoir une amende. M\u00eame si vous utilisez une passerelle de paiement tiers telle que PayPal ou Stripe, votre site doit respecter certaines exigences r\u00e9glementaires.<\/p>\n

Nous avons pr\u00e9par\u00e9 ce guide d\u00e9finitif de la conformit\u00e9 PCI \u00e0 l’intention des propri\u00e9taires de sites WordPress afin de vous aider \u00e0 construire un site web conforme \u00e0 la norme PCI DSS. Dans ce guide, nous expliquons en d\u00e9tail tout ce que vous devez savoir sur le PCI DSS, la conformit\u00e9 PCI et comment vous pouvez avoir un site WordPress conforme au PCI pour votre entreprise.<\/p>\n

 <\/p>\n

Qu’est-ce que le PCI DSS et la conformit\u00e9 PCI ?<\/h2>\n

PCI DSS est l’acronyme de Norme de s\u00e9curit\u00e9 de l’industrie des cartes de paiement<\/em>. Il s’agit d’un ensemble d’exigences et de r\u00e8glements de s\u00e9curit\u00e9 que les commer\u00e7ants en ligne doivent respecter pour \u00eatre en conformit\u00e9. Les r\u00e9glementations sont maintenues par le Conseil des normes de s\u00e9curit\u00e9 de l’industrie des cartes de paiement, qui est form\u00e9 par les cinq principales soci\u00e9t\u00e9s de cartes de cr\u00e9dit : Visa, MasterCard, American Express, Discover et JCB.<\/p>\n

Chaque commer\u00e7ant, quelle que soit sa taille, le nombre de transactions qu’il traite et ses revenus, rel\u00e8ve du PCI.<\/p>\n

 <\/p>\n

La PCI pour les sites WordPress<\/h2>\n

Comme la plupart des sites WordPress utilisent une passerelle de paiement tiers, le champ d’application de la norme et les exigences sont moins importantes. En fait, la conformit\u00e9 peut tr\u00e8s probablement \u00eatre obtenue en remplissant le questionnaire d’auto-\u00e9valuation de la norme PCI sur la s\u00e9curit\u00e9 des donn\u00e9es (SAQ). Vous devez cependant vous informer des exigences, de sorte que chaque fois que vous apportez des modifications, vous puissiez d\u00e9terminer ce qui est n\u00e9cessaire de faire pour rester conforme.<\/p>\n

Dois-je me soucier de la conformit\u00e9 PCI DSS de mon site WordPress ?<\/h3>\n

En cas de non-respect, vous vous exposez \u00e0 des p\u00e9nalit\u00e9s, des amendes et m\u00eame \u00e0 l’interdiction d’accepter des paiements par carte de cr\u00e9dit \u00e0 l’avenir, sans parler de l’atteinte \u00e0 la r\u00e9putation de votre entreprise et de la perte de confiance des clients.<\/p>\n

Mais vous ne devez pas vous pr\u00e9occuper uniquement de la r\u00e9glementation sur les PCI par peur. La r\u00e9glementation PCI est une bonne recommandation et vous aide \u00e0 s\u00e9curiser votre solution e-commerce WordPress. En les appliquant, vous r\u00e9duisez donc au minimum le risque de voir votre site pirat\u00e9 et de subir des violations de donn\u00e9es.<\/p>\n

 <\/p>\n

Les exigences du PCI DSS<\/h2>\n

La derni\u00e8re version de la r\u00e9glementation PCI DSS est la 3.2.1 et elle a \u00e9t\u00e9 publi\u00e9e en mai 2018.<\/p>\n

Les normes PCI sont divis\u00e9es en 6 grandes cat\u00e9gories et 12 exigences :<\/p>\n

    \n
  • Construire et maintenir un r\u00e9seau et des syst\u00e8mes s\u00e9curis\u00e9s<\/li>\n
  • Prot\u00e9ger les donn\u00e9es des titulaires de cartes<\/li>\n
  • Maintenir un programme de gestion des vuln\u00e9rabilit\u00e9s<\/li>\n
  • Mettre en \u0153uvre des mesures strictes de contr\u00f4le d’acc\u00e8s<\/li>\n
  • Surveiller et tester r\u00e9guli\u00e8rement les r\u00e9seaux<\/li>\n
  • Maintenir une politique de s\u00e9curit\u00e9 de l’information<\/li>\n<\/ul>\n

    Gestion d’un site WordPress conforme \u00e0 la norme PCI<\/h3>\n

    La liste d’exigences ci-dessus peut \u00eatre intimidante pour une PME. Cependant, il est plus facile que vous ne le pensez de disposer d’un site WordPress et d’un syst\u00e8me commercial conformes aux normes PCI. La plupart des r\u00e9glementations sont bas\u00e9es sur les meilleures pratiques et sont tr\u00e8s faciles \u00e0 mettre en \u0153uvre et \u00e0 respecter.<\/p>\n

     <\/p>\n

    Exigence 1 de la norme PCI DSS : installer et maintenir un pare-feu afin de prot\u00e9ger les donn\u00e9es des titulaires de carte.<\/h2>\n

    Il existe de nombreuses solutions pour WordPress. La plupart d’entre elles font tout le travail pour vous. Par exemple, si vous utilisez une solution de s\u00e9curit\u00e9 et un pare-feu WordPress tels que Malcare ou Sucuri Vous avez une configuration conforme \u00e0 la norme.<\/p>\n

    La PCI DSS ne concerne pas seulement votre site web. Elle couvre \u00e9galement tous les aspects de la s\u00e9curit\u00e9 informatique et physique de votre entreprise. Ainsi, outre la configuration d’un pare-feu pour votre site WordPress, vous devriez \u00e9galement penser \u00e0 configurer et \u00e0 utiliser un pare-feu pour vos r\u00e9seaux de bureau et domestique. La norme PCI DSS exige \u00e9galement que chaque utilisateur qui acc\u00e8de aux donn\u00e9es sensibles, dispose d’un pare-feu personnel sur son ordinateur.<\/p>\n

    Ainsi, si vous avez par exemple un routeur internet WiFi \u00e0 la maison, v\u00e9rifiez sa configuration et configurez le pare-feu. Si vous voulez acc\u00e9der \u00e0 des donn\u00e9es sensibles depuis votre ordinateur portable, si vous n’avez pas de pare-feu personnel, utilisez une configuration de serveur Jump (connectez-vous \u00e0 un serveur plus s\u00e9curis\u00e9 par lequel vous pouvez acc\u00e9der aux donn\u00e9es).<\/p>\n

    Bonnes pratiques et recommandations pour la configuration des pare-feu<\/h3>\n

    Voici quelques bonnes pratiques de s\u00e9curit\u00e9 que vous devez garder \u00e0 l’esprit lorsque vous configurez un pare-feu :<\/p>\n

      \n
    • Conservez une liste de tous les serveurs, dispositifs de r\u00e9seau et services qui font partie de votre site web et de votre installation informatique. Notez \u00e0 quoi chacun d’eux sert, o\u00f9 il est autoris\u00e9 \u00e0 se connecter et d’o\u00f9 il peut \u00eatre accessible. Cette documentation vous aidera \u00e0 d\u00e9terminer o\u00f9 vous avez besoin de pare-feu et comment les configurer.<\/li>\n
    • Lors de la configuration d’un pare-feu, bloquez \u00e0 la fois les entr\u00e9es et les sorties. N’autorisez alors que ce qui est n\u00e9cessaire. Cela semble \u00eatre une politique restrictive, bien qu’elle soit de loin la plus efficace. Par exemple, si vous avez configur\u00e9 une r\u00e8gle par erreur, il y aura toujours la r\u00e8gle \u00ab\u00a0deny-all\u00a0\u00bb pour interdire tout trafic ind\u00e9sirable.<\/li>\n
    • Si vous avez des doutes sur l’acc\u00e8s \u00e0 un service ou \u00e0 un utilisateur, ou si vous n’\u00eates pas s\u00fbr du type d’acc\u00e8s requis, faites toujours vos propres recherches pour savoir ce qui est r\u00e9ellement requis, ce qui vous \u00e9vitera d’ouvrir un acc\u00e8s inutile.<\/li>\n
    • Documentez toutes les configurations de pare-feu et tenez la documentation \u00e0 jour. Si vous utilisez un pare-feu tel que iptables, il est tr\u00e8s facile de documenter la configuration, puisqu’il s’agit d’un fichier texte, il suffit donc de conserver une copie de la configuration.<\/li>\n<\/ul>\n

       <\/p>\n

      Exigence 2 de la PCI DSS : ne pas utiliser les valeurs par d\u00e9faut fournies par le fournisseur pour les mots de passe syst\u00e8me et autres param\u00e8tres de s\u00e9curit\u00e9.<\/h2>\n

      Commencer par les mots de passe ; toujours changer les mots de passe par d\u00e9faut et appliquer des politiques pour renforcer la s\u00e9curit\u00e9 de WordPress. Il en va de m\u00eame pour les installations et configurations logicielles par d\u00e9faut. Voici quelques \u00e9l\u00e9ments auxquels vous devez penser lorsque vous vous occupez de cette exigence :<\/p>\n

      Isolement des processus<\/h3>\n

      Si le budget le permet, vous devriez avoir un serveur s\u00e9par\u00e9 ou utiliser un service en ligne diff\u00e9rent pour des r\u00f4les diff\u00e9rents, comme le serveur de base de donn\u00e9es, le serveur web, le serveur DNS, etc. \u00c9vitez les recommandations des h\u00e9bergeurs de tout h\u00e9berger chez eux, y compris le domaine, le DNS, les e-mails et le site web. Cela va \u00e0 l’encontre de cette exigence et, ce faisant, votre site et vos activit\u00e9s commerciales ne seront pas conformes.<\/p>\n

      Lors de la mise en place de votre site ou du renouvellement de vos services existants, pensez \u00e0 la s\u00e9gr\u00e9gation. Il est possible de s\u00e9parer les services et les r\u00f4les sans d\u00e9penser beaucoup plus. Vous n’aurez pas de serveur d\u00e9di\u00e9 pour chaque r\u00f4le, mais vous pouvez :<\/p>\n

        \n
      • Acheter et h\u00e9berger votre domaine aupr\u00e8s du bureau d’enregistrement A.<\/li>\n
      • Configurer les serveurs de noms DNS de votre domaine avec un fournisseur DNS B.<\/li>\n
      • H\u00e9berger votre site web chez l’h\u00e9bergeur C.<\/li>\n
      • Votre environnement de test et de mise en sc\u00e8ne doit \u00eatre h\u00e9berg\u00e9 chez un autre h\u00e9bergeur D, ou sur un autre serveur.<\/li>\n
      • Utiliser un service de courrier \u00e9lectronique en ligne du fournisseur de courrier \u00e9lectronique E.<\/li>\n<\/ul>\n

        Plus on grandit, plus on peut justifier la s\u00e9gr\u00e9gation. Vous risquez de passer \u00e0 c\u00f4t\u00e9 de certaines offres sp\u00e9ciales \u00e0 cause de la s\u00e9gr\u00e9gation, et cela vous co\u00fbtera un peu plus cher, mais c’est certainement la voie \u00e0 suivre si vous voulez un site e-commerce WordPress s\u00fbr et conforme.<\/p>\n

        Utiliser le moins de plugins possibles<\/h3>\n

        Du point de vue s\u00e9curit\u00e9 du WordPress, voici les choses \u00e0 respecter :<\/p>\n

          \n
        • N’installez que des plugins et des composants auxquels vous faites confiance et que vous utilisez.<\/li>\n
        • Supprimez tous les plugins d\u00e9sactiv\u00e9s, les th\u00e8mes inutilis\u00e9s et le code personnalis\u00e9 qui n’est pas utilis\u00e9.<\/li>\n
        • D\u00e9sactivez toute fonctionnalit\u00e9 des plugins et des th\u00e8mes dont vous n’avez pas besoin.<\/li>\n<\/ul>\n

          Appliquez la m\u00eame id\u00e9ologie \u00e0 votre serveur web et \u00e0 tout autre service que vous g\u00e9rez. Par exemple, un serveur d\u00e9di\u00e9 par d\u00e9faut dispose d’un service Web, FTP, SSH, SMTP, DNS, IMAP et d’autres services. Les comptes chez les h\u00e9bergeurs ont g\u00e9n\u00e9ralement des applications telles que phpMyAdmin et CPanel. Si vous utilisez SSH uniquement pour configurer votre serveur, d\u00e9sactivez les services dont vous n’avez pas besoin.<\/p>\n

          Commencez par une installation nue<\/h3>\n

          Si vous installez un nouveau logiciel ou un nouveau serveur, commencez par une installation minimale. N’activez que ce dont vous avez besoin. Le m\u00eame concept s’applique aux h\u00f4tes web – beaucoup d’entre eux fournissent de nombreuses fonctionnalit\u00e9s, comme leurs propres serveurs de courrier \u00e9lectronique que beaucoup n’utilisent pas. Demandez le compte le plus basique et activez ensuite les fonctionnalit\u00e9s dont vous avez besoin.<\/p>\n

          Configurez vos plugins, services et logiciels<\/h3>\n

          Une fois que vous avez install\u00e9 tous les services et applications pour votre site et votre entreprise WordPress, il est temps de les configurer. Consultez les guides de durcissement de la s\u00e9curit\u00e9 (hardening) des fournisseurs et les meilleures pratiques recommand\u00e9es sur Internet pour s\u00e9curiser votre serveur web, le syst\u00e8me d’exploitation et tout autre service que vous avez sur votre serveur web.<\/p>\n

           <\/p>\n

          Exigence 3 du PCI DSS : prot\u00e9ger les donn\u00e9es des titulaires de cartes.<\/h2>\n

          Si vous utilisez une solution de e-commerce comme WooCommerce ou Easy Digital Downloads pour alimenter votre WordPress, vous utilisez tr\u00e8s probablement une passerelle de paiement tiers comme PayPal ou Stripe pour traiter les paiements en ligne et les donn\u00e9es des titulaires de carte. Il se peut donc que cette exigence ne s’applique pas \u00e0 votre site WordPress.<\/p>\n

          Toutefois, dans le cas d’exceptions comme lorsque les paiements sont trait\u00e9s manuellement ou s’il y a un processus de saisie de donn\u00e9es pour compl\u00e9ter la commande, il est de la plus haute importance de conna\u00eetre les r\u00e8gles de cette exigence, pour s’assurer que le processus est conforme :<\/p>\n

            \n
          • Ne notez jamais les informations relatives aux donn\u00e9es du titulaire de la carte. Ne saisissez les donn\u00e9es que directement dans la passerelle de paiement.<\/li>\n
          • Ne stockez que les donn\u00e9es du titulaire de la carte dont vous avez besoin, m\u00eame si vous utilisez une passerelle de paiement tierce.<\/li>\n
          • Supprimez les donn\u00e9es du titulaire de la carte dont vous n’avez plus besoin et mettez en place des politiques de conservation des donn\u00e9es.<\/li>\n
          • Sensibiliser le personnel qui manipule les donn\u00e9es des titulaires de carte aux dangers d’une mauvaise manipulation de ces donn\u00e9es. Veillez \u00e0 ce qu’ils sachent comment ils doivent traiter les informations sensibles.<\/li>\n<\/ul>\n

             <\/p>\n

            Exigence 4 de la norme PCI DSS : chiffrer la transmission des donn\u00e9es des titulaires de carte sur les r\u00e9seaux publics ouverts.<\/h2>\n

            La meilleure fa\u00e7on de respecter l’exigence 4 de la norme PCI DSS est d’installer et d’utiliser un certificat pour votre site WordPress, afin qu’il soit accessible via HTTPS. Avec un certificat, toute communication entre les visiteurs et votre site web soit chiffr\u00e9e.<\/p>\n

            Si votre site n’est toujours pas en HTTPS, vous pouvez le mettre en place en quelques minutes. De nombreux h\u00e9bergeurs fournissent des certificats SSL\/TLS gratuits via Let’s Encrypt, une autorit\u00e9 de certification gratuite, automatis\u00e9e et ouverte. Il n’y a donc aucune excuse pour que votre site WordPress ne soit pas en HTTPS.<\/p>\n

            Si vous avez besoin d’acc\u00e9der aux donn\u00e9es des titulaires de cartes sur votre passerelle de paiement, acc\u00e9dez \u00e0 celle-ci par des moyens s\u00e9curis\u00e9s. M\u00eame si vous y acc\u00e9dez par HTTPS, veillez \u00e0 prendre les pr\u00e9cautions n\u00e9cessaires, si par exemple vous \u00eates connect\u00e9 \u00e0 un r\u00e9seau WiFi public. Dans ce cas, vous devez toujours utiliser une connexion VPN.<\/p>\n

             <\/p>\n

            Exigence 5 de la norme PCI DSS : prot\u00e9ger tous les syst\u00e8mes contre les logiciels malveillants et mettre r\u00e9guli\u00e8rement \u00e0 jour les logiciels ou programmes antivirus.<\/h2>\n

            Cette exigence porte sur le maintien d’un programme de gestion des vuln\u00e9rabilit\u00e9s afin que les syst\u00e8mes ne soient pas vuln\u00e9rables \u00e0 des attaques sp\u00e9cifiques et soient bien prot\u00e9g\u00e9s contre tout type de menace de logiciels malveillants. Cela signifie qu’il faut s’assurer que tous les logiciels anti-virus et autres logiciels de protection sont \u00e0 jour et qu’ils analysent activement les syst\u00e8mes.<\/p>\n

            Quant au reste du r\u00e9seau d’entreprise et aux ordinateurs utilis\u00e9s pour acc\u00e9der au site WordPress et aux passerelles de paiement, utilisez une solution qui peut vous aider \u00e0 :<\/p>\n

              \n
            • D\u00e9finir un mot de passe fort – l’ordinateur portable\/ordinateur doit toujours \u00eatre verrouill\u00e9 lorsqu’il n’est pas utilis\u00e9<\/li>\n
            • Chiffrer les donn\u00e9es – les syst\u00e8mes d’exploitation Windows et Mac ont tous deux des utilitaires int\u00e9gr\u00e9s pour chiffrer les lecteurs<\/li>\n
            • Mettre \u00e0 jour un anti-virus qui analyse p\u00e9riodiquement l’ordinateur<\/li>\n
            • Utiliser un pare-feu personnel qui peut bloquer le trafic malveillant et avec lequel vous pouvez voir les connexions sortantes. Il existe sur le march\u00e9 un certain nombre de solutions tierces qui ne co\u00fbtent pas cher. En outre, Windows dispose \u00e9galement d’un pare-feu int\u00e9gr\u00e9.<\/li>\n<\/ul>\n

              Ce qui pr\u00e9c\u00e8de s’applique \u00e0 tout appareil que vous utilisez pour effectuer tout type de transaction commerciale. Ainsi, si vous consultez vos e-mails ou acc\u00e9dez \u00e0 vos pages d’administration WordPress depuis votre smartphone ou votre tablette, elles doivent \u00e9galement \u00eatre s\u00e9curis\u00e9es.<\/p>\n

              Utiliser une connexion VPN<\/h3>\n

              Si vous travaillez \u00e0 partir de diff\u00e9rents endroits \u00e9loign\u00e9s, utilisez VPN personnel. Par mesure de s\u00e9curit\u00e9, je vous recommande de toujours utiliser un VPN lorsque vous travaillez \u00e0 distance, m\u00eame si vous n’utilisez pas les r\u00e9seaux WiFi publics.<\/p>\n

               <\/p>\n

              PCI DSS exigence 6 : d\u00e9velopper et maintenir des syst\u00e8mes et des applications s\u00e9curis\u00e9s.<\/h2>\n

              L’exigence 6 de la norme PCI sur la s\u00e9curit\u00e9 des donn\u00e9es aborde deux probl\u00e8mes diff\u00e9rents mais li\u00e9s :<\/p>\n

                \n
              • Entretenez tous les logiciels et applications que vous utilisez et assurez-vous qu’ils sont s\u00e9curis\u00e9s,<\/li>\n
              • Assurez-vous que les applications et les logiciels que vous d\u00e9veloppez et utilisez sont d\u00e9velopp\u00e9s en toute s\u00e9curit\u00e9 et ne contiennent aucune vuln\u00e9rabilit\u00e9.<\/li>\n<\/ul>\n

                Dans cet article, nous nous concentrerons sur la premi\u00e8re, car la seconde s’applique aux d\u00e9veloppeurs et explique comment \u00e9viter des vuln\u00e9rabilit\u00e9s telles que les Injection SQL et les failles XSS.<\/p>\n

                Maintien de la s\u00e9curit\u00e9 des applications existantes<\/h3>\n

                Commen\u00e7ons par les logiciels et les applications que vous utilisez d\u00e9j\u00e0. Installez toujours les correctifs et les mises \u00e0 jour des versions du fournisseur en temps utile. Les mises \u00e0 jour \u00e9tant essentielles, assurez-vous lors du choix de votre logiciel que :<\/p>\n

                  \n
                • Le logiciel est d\u00e9velopp\u00e9 par un vendeur r\u00e9actif. Les logiciels libres sont gratuits, mais il n’est pas toujours bien entretenu.<\/li>\n
                • Il est fr\u00e9quemment mis \u00e0 jour, le fournisseur traite les bogues et les probl\u00e8mes de s\u00e9curit\u00e9 signal\u00e9s en temps utile.<\/li>\n
                • Il a une licence pour garantir que vous recevez tous les correctifs et mises \u00e0 jour de s\u00e9curit\u00e9.<\/li>\n<\/ul>\n

                  Introduire de nouvelles applications dans votre entreprise et vos processus<\/h3>\n

                  \u00c0 mesure que votre entreprise et votre site e-commerce WordPress se d\u00e9veloppent et \u00e9voluent, vous devrez utiliser de nouveaux logiciels, services en ligne, scripts ou plugins WordPress. Et \u00e0 qhaque fois que vous en aurez besoin :<\/p>\n

                    \n
                  • Recherchez la solution et lisez les critiques pour voir ce que les autres utilisateurs en disent.<\/li>\n
                  • Une fois install\u00e9, modifiez tous les param\u00e8tres et mots de passe par d\u00e9faut.<\/li>\n
                  • Suivez les directives de s\u00e9curit\u00e9 et les meilleures pratiques des fournisseurs pour configurer et utiliser la solution en toute s\u00e9curit\u00e9.<\/li>\n
                  • Abonnez-vous au bulletin d’information sur la s\u00e9curit\u00e9 des fournisseurs ou au service de mise \u00e0 jour.<\/li>\n<\/ul>\n

                    Maintenir un programme de gestion de vuln\u00e9rabilit\u00e9<\/h3>\n

                    Il existe plusieurs approches que vous pouvez adopter pour une gestion efficace de la vuln\u00e9rabilit\u00e9. Toutefois, cela d\u00e9pend du type d’h\u00f4te web, de syst\u00e8mes d’exploitation et de p\u00e9riph\u00e9riques que vous utilisez.<\/p>\n

                    Dans le cas de WordPress, si vous utilisez un h\u00e9bergeur web tel que Kintsa ou Moteur WP, ils g\u00e8rent pour vous toute la gestion des patchs WordPress. Ils vous alertent \u00e9galement si vous utilisez un plugin ou un th\u00e8me dont la vuln\u00e9rabilit\u00e9 est connue.<\/p>\n

                     <\/p>\n

                    Exigence 7 du PCI DSS : restreindre l’acc\u00e8s aux donn\u00e9es des titulaires de cartes en fonction des besoins des entreprises<\/h2>\n

                    Sur votre site, vous pouvez utiliser le R\u00f4les des utilisateurs de WordPress pour g\u00e9rer les privil\u00e8ges des utilisateurs. Si n\u00e9cessaire, vous pouvez utiliser des plugins tiers pour cr\u00e9er des r\u00f4les personnalis\u00e9s et affiner les privil\u00e8ges.<\/p>\n

                    V\u00e9rifiez et limitez \u00e9galement l’acc\u00e8s de tous les utilisateurs \u00e0 tous les syst\u00e8mes, y compris les syst\u00e8mes d’exploitation des serveurs, tous les services en ligne et les composants du r\u00e9seau, tels que les pare-feu, les commutateurs et les routeurs.<\/p>\n

                    La fa\u00e7on la plus simple de mettre en \u0153uvre un syst\u00e8me de contr\u00f4le d’acc\u00e8s solide comme le roc est d’utiliser le nier tout<\/em> et le principe des moindres privil\u00e8ges. Commencez par refuser l’acc\u00e8s \u00e0 tout le monde, et n’attribuez que les privil\u00e8ges dont les utilisateurs ont besoin. Ne donnez pas l’acc\u00e8s \u00e0 l’administration d’un site WordPress ou d’un composant r\u00e9seau \u00e0 quelqu’un pour lui faire gagner quelques minutes de travail. Faites des recherches et apprenez quel acc\u00e8s chaque utilisateur a besoin au site WordPress, \u00e0 la base de donn\u00e9es MySQL, au NAS ou \u00e0 tout autre appareil.<\/p>\n

                     <\/p>\n

                    Exigence 8 du PCI DSS : identifier et authentifier l’acc\u00e8s aux composants du syst\u00e8me<\/h2>\n

                    Cette exigence porte sur les m\u00e9thodes d’authentification et l’acc\u00e8s authentifi\u00e9. En bref, les utilisateurs doivent toujours \u00eatre authentifi\u00e9s lorsqu’ils acc\u00e8dent \u00e0 des informations sensibles telles que les donn\u00e9es des titulaires de cartes.<\/p>\n

                    M\u00e9thodes d’authentification<\/h3>\n

                    Toutes les donn\u00e9es commerciales sensibles, les consoles d’administration, les pages de comptes utilisateurs et les autres points d’entr\u00e9e doivent \u00eatre prot\u00e9g\u00e9s par des m\u00e9canismes d’authentification forte. Si l’on peut mettre en place l’authentification \u00e0 deux facteurs (2FA), alors il faut le faire.<\/p>\n

                    Utiliser des r\u00e9f\u00e9rences uniques<\/h3>\n

                    Chaque personne qui a besoin d’acc\u00e9der \u00e0 votre site WordPress, aux portails d’administration, aux portails clients, aux p\u00e9riph\u00e9riques r\u00e9seau et aux donn\u00e9es commerciales, y compris les donn\u00e9es des titulaires de cartes, doit disposer d’un identifiant unique. Ceci est tr\u00e8s important, sinon vous ne pourrez pas suivre l’activit\u00e9 des utilisateurs dans le journal d’activit\u00e9.<\/p>\n

                    En outre, les justificatifs d’identit\u00e9 ne devraient jamais \u00eatre partag\u00e9s car ils entra\u00eenent un certain nombre de probl\u00e8mes de s\u00e9curit\u00e9 et encouragent l’utilisation de mots de passe faciles.<\/p>\n

                    Apprenez \u00e0 vos utilisateurs \u00e0 utiliser des mots de passe forts<\/h3>\n

                    Apprenez \u00e0 vos utilisateurs \u00e0 utiliser des mots de passe forts, m\u00eame si vous avez mis en place la 2FA. Vous pouvez \u00e9duquer vos utilisateurs en :<\/p>\n

                      \n
                    • Configurer les politiques pour obliger les utilisateurs de WordPress \u00e0 utiliser un mot de passe fort<\/li>\n
                    • Expliquez-leur quelles sont les r\u00e9percussions de l’utilisation de mots de passe faibles<\/li>\n
                    • Montrez-leur comment utiliser un gestionnaire de mots de passe tel que KeePass<\/li>\n<\/ul>\n

                      Examiner l’infrastructure existante<\/h3>\n

                      Mettre en \u0153uvre des politiques de s\u00e9curit\u00e9 pour garantir que tous les \u00e9l\u00e9ments de l’infrastructure informatique, y compris votre site WordPress, fonctionnent et sont s\u00e9curis\u00e9s. Tous les quelques mois, v\u00e9rifiez l’infrastructure informatique existante et confirmez que les politiques sont appliqu\u00e9es, garantissant ainsi la s\u00e9curit\u00e9 des donn\u00e9es sensibles de l’entreprise et des titulaires de cartes.<\/p>\n

                       <\/p>\n

                      Exigence 9 du PCI DSS : restreindre l’acc\u00e8s physique aux donn\u00e9es du titulaire de la carte<\/h2>\n

                      Cette exigence est assez simple : limitez l’acc\u00e8s physique \u00e0 vos serveurs, ordinateurs portables et smartphones professionnels aux seules personnes qui en ont besoin. Il existe plusieurs moyens et fa\u00e7ons de proc\u00e9der, et tout d\u00e9pend de la taille de votre installation.<\/p>\n

                      Voici quelques conseils de haut niveau qui peuvent vous aider \u00e0 vous familiariser avec l’exigence 9 du PCI DSS :<\/p>\n

                        \n
                      • Limitez l’acc\u00e8s \u00e0 votre r\u00e9seau – n’exposez pas les prises r\u00e9seau et prot\u00e9gez tous les r\u00e9seaux WiFi par un mot de passe,<\/li>\n
                      • Ne laissez pas les visiteurs ou tout autre personnel non autoris\u00e9 circuler librement dans l’immeuble de bureaux,<\/li>\n
                      • Verrouillez toujours les ordinateurs portables, les ordinateurs, les serveurs et les appareils portables tels que les smartphones sans surveillance,<\/li>\n
                      • D\u00e9truire toute preuve physique des donn\u00e9es du titulaire de la carte.<\/li>\n<\/ul>\n

                        M\u00eame un morceau de papier peut constituer une preuve, alors d\u00e9chiquetez toujours le papier dont vous n’avez pas besoin. Il en va de m\u00eame pour le mat\u00e9riel qui stocke des donn\u00e9es sensibles. Les donn\u00e9es doivent toujours \u00eatre crypt\u00e9es, et si le mat\u00e9riel n’est plus n\u00e9cessaire, il doit \u00eatre d\u00e9truit.<\/p>\n

                         <\/p>\n

                        Exigence 10 de la norme PCI DSS : suivre et contr\u00f4ler tous les acc\u00e8s aux ressources du r\u00e9seau et aux donn\u00e9es des titulaires de carte<\/h2>\n

                        Cette exigence 10 du PCI DSS vous oblige \u00e0 conserver l’historique de la piste d’audit pendant au moins un an, avec un minimum de trois mois imm\u00e9diatement disponibles pour l’analyse<\/em>.<\/p>\n

                        Note :<\/strong> Cette section relative \u00e0 l’exigence 10 est un r\u00e9sum\u00e9<\/em>.<\/p>\n

                        Les journaux d’activit\u00e9, la piste d’audit, les journaux de s\u00e9curit\u00e9 ou simplement les journaux, sont tous essentiels pour mieux g\u00e9rer et maintenir la s\u00e9curit\u00e9 de votre infrastructure informatique, de votre ferme web et de vos sites WordPress. Vous devez les mettre en \u0153uvre non seulement en raison de la norme PCI DSS, mais aussi parce que les journaux vous permettent de voir ce qui s’est pass\u00e9 sur votre WordPress et vous renseignent sur \u00ab\u00a0l’agresseur\u00a0\u00bb afin de mieux prot\u00e9ger votre installation.<\/p>\n

                        Tous les dispositifs de r\u00e9seau tels que les commutateurs et les routeurs, et les services de r\u00e9seau tels que le SMTP et le serveur web Apache, ont des capacit\u00e9s de journalisation. Ainsi, chaque fois que vous configurez un nouvel appareil, un nouveau service ou que vous installez un nouveau logiciel qui poss\u00e8de des capacit\u00e9s de journalisation, celles-ci sont activ\u00e9es.<\/p>\n

                         <\/p>\n

                        Exigence 11 de la norme PCI DSS : tester r\u00e9guli\u00e8rement les syst\u00e8mes et les processus de s\u00e9curit\u00e9<\/h2>\n

                        La s\u00e9curit\u00e9 informatique et WordPress n’est pas une solution ponctuelle, mais un processus continu. En fait, durcir vos syst\u00e8mes informatiques et vos sites WordPress n’est qu’une partie du jeu. Vous devez \u00e9galement les s\u00e9curiser tant qu’ils sont en ligne.<\/p>\n

                        Vous devez donc tester r\u00e9guli\u00e8rement vos syst\u00e8mes et vos processus en les faisant fonctionner fr\u00e9quemment :<\/p>\n

                          \n
                        • Tests de p\u00e9n\u00e9tration sur votre r\u00e9seau, vos serveurs web, etc,<\/li>\n
                        • Balayage du r\u00e9seau p\u00e9rim\u00e9trique,<\/li>\n
                        • S\u00e9curit\u00e9 interne\/analyses de vuln\u00e9rabilit\u00e9 et audits de s\u00e9curit\u00e9 sur vos r\u00e9seaux internes,<\/li>\n
                        • Analyse de la vuln\u00e9rabilit\u00e9 de WordPress avec des outils tels que WPScan sur tous vos sites WordPress.<\/li>\n<\/ul>\n

                          Utiliser des outils pour d\u00e9tecter et amortir et ainsi pr\u00e9venir les intrusions<\/h3>\n

                          Pour r\u00e9pondre \u00e0 cette exigence, vous devez \u00e9galement utiliser une solution IDS ou IPS qui vous permet de d\u00e9tecter et de pr\u00e9venir d’\u00e9ventuelles intrusions. Plusieurs solutions sont disponibles, Snort \u00e9tant l’une des solutions IPS de r\u00e9seau open source les plus populaires.<\/p>\n

                          Conseil : Conservez un inventaire de votre infrastructure informatique<\/h3>\n

                          Sans inventaire, il est tr\u00e8s facile de perdre la trace de ce qui fonctionne dans votre environnement, ce qui se traduit par des logiciels non patch\u00e9s et peu s\u00fbrs qui peuvent \u00eatre facilement exploit\u00e9s par des pirates informatiques malveillants.<\/p>\n

                          En fait, l’un des plus grands d\u00e9fis que les entreprises doivent relever avant de s\u00e9curiser leurs actifs web est de ne pas savoir ce dont elles disposent. Faites donc l’inventaire de tous les appareils que vous avez sur votre r\u00e9seau, ainsi que de tous les logiciels et services r\u00e9seau que vous avez sur vos sites, afin de pouvoir suivre facilement ce qui doit l’\u00eatre :<\/p>\n

                            \n
                          • mis \u00e0 jour et s\u00e9curis\u00e9<\/li>\n
                          • supprim\u00e9 au cas o\u00f9 il ne serait plus n\u00e9cessaire<\/li>\n<\/ul>\n

                            Un inventaire permet \u00e9galement d’identifier d’\u00e9ventuels nouveaux \u00e9quipements, logiciels, services ou r\u00e9seaux WiFi non autoris\u00e9s dans le b\u00e2timent.<\/p>\n

                             <\/p>\n

                            Exigence 12 du PCI DSS : maintenir une politique qui traite de la s\u00e9curit\u00e9 de l’information pour tout le personnel<\/h2>\n

                            C’est la moins technique des exigences, mais la plus difficile \u00e0 respecter. Cette exigence porte sur la documentation, les proc\u00e9dures, ainsi que la mise en \u0153uvre et l’application des politiques. Voici comment vous pouvez vous conformer \u00e0 cette exigence :<\/p>\n

                              \n
                            • \u00c9tablir, publier, maintenir et diffuser une politique de s\u00e9curit\u00e9,<\/li>\n
                            • Mettre en \u0153uvre un processus d’\u00e9valuation des risques afin d’identifier les actifs, les menaces et les vuln\u00e9rabilit\u00e9s critiques,<\/li>\n
                            • \u00c9laborer des politiques visant \u00e0 d\u00e9finir l’utilisation appropri\u00e9e des technologies telles que l’acc\u00e8s \u00e0 distance et le mat\u00e9riel,<\/li>\n
                            • Veiller \u00e0 ce que les politiques de s\u00e9curit\u00e9 d\u00e9finissent clairement les responsabilit\u00e9s de l’ensemble du personnel,<\/li>\n
                            • Attribuer des responsabilit\u00e9s de gestion de la s\u00e9curit\u00e9 \u00e0 des personnes ou \u00e0 des \u00e9quipes,<\/li>\n
                            • Mettez en place un programme de sensibilisation \u00e0 la s\u00e9curit\u00e9 afin d’\u00e9duquer et de sensibiliser vos coll\u00e8gues,<\/li>\n
                            • Tenez une liste de tous les services que votre entreprise utilise, y compris les services en ligne,<\/li>\n
                            • Mettre en \u0153uvre un plan de r\u00e9ponse aux incidents.<\/li>\n<\/ul>\n

                               <\/p>\n

                              Cette exigence peut sembler excessive pour les petites entreprises de quelques employ\u00e9s. Il est vrai qu’elle s’applique surtout aux grandes entreprises. Toutefois, il ne faut pas sous-estimer l’importance des politiques et de leur application. Il est essentiel de commencer \u00e0 s’occuper des \u00e9l\u00e9ments de base afin que, lorsque l’entreprise se d\u00e9veloppera, il ne soit pas difficile de s’adapter aux changements et de la s\u00e9curiser.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

                              Si vous avez un site e-commerce WordPress, vous avez peut-etre d\u00e9j\u00e0 entendu parler de la…<\/p>\n","protected":false},"author":1,"featured_media":3527,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[82],"tags":[],"class_list":["post-3526","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal"],"_links":{"self":[{"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/posts\/3526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/comments?post=3526"}],"version-history":[{"count":0,"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/posts\/3526\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/media\/3527"}],"wp:attachment":[{"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/media?parent=3526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/categories?post=3526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/acinonyxweb.agency\/fr\/wp-json\/wp\/v2\/tags?post=3526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}