Des changements importants ont été apportés à la norme PCI DSS, la norme de sécurité qui régit la gestion des informations de cartes de paiement (Payment Card Industry Data Security Standard). Depuis le 31 mars 2025, plusieurs exigences de la norme ont été remplacées par des versions modifiées, et de nombreuses exigences auparavant considérées comme des “bonnes pratiques” sont désormais devenues des exigences obligatoires. Ces modifications visent à rendre la gestion des cartes de paiement plus sécurisée à une époque où les cyberattaques sont de plus en plus fréquentes et sophistiquées.
Toute organisation traitant des données de cartes de paiement doit s’assurer qu’elle respecte toutes les exigences nouvelles et modifiées pour rester conforme à PCI DSS après le 31 mars.
Changement clé : un WAF est désormais obligatoire
L’un des changements majeurs se trouve dans la section 6.4 : « Les applications web accessibles au public sont protégées contre les attaques ». Plus précisément, l’exigence 6.4.2 remplace l’ancienne 6.4.1, et stipule désormais :
« Pour les applications web accessibles au public, une solution est déployée qui détecte et empêche en continu les attaques web... Un pare-feu applicatif web (WAF), qu’il soit sur site ou dans le cloud, installé devant les applications web accessibles au public pour analyser tout le trafic, est un exemple de solution qui détecte et empêche les attaques web... »
Ce changement est important car l’exigence précédente, valable jusqu’au 31 mars, proposait une alternative au déploiement d’un WAF :
« [Revoir] les applications web accessibles au public via des outils ou méthodes manuelles ou automatisées d’évaluation des vulnérabilités applicatives… au moins une fois tous les 12 mois… »
Cette alternative pouvait être plus rapide, moins coûteuse et plus simple pour beaucoup d’organisations que d’acheter, déployer et former le personnel à un nouvel équipement de sécurité. La nouvelle exigence retire totalement l’option de “vérifier le code” et fait du WAF une obligation.
La solution Progress Kemp LoadMaster intègre une fonction WAF, disponible à la fois sur site et dans le cloud, et peut vous aider à satisfaire à cette nouvelle exigence.
Rappel : qu’est-ce qu’un WAF et pourquoi est-il important ?
Nous avons récemment publié plusieurs articles expliquant l’importance des WAF dans la sécurité applicative.
Pour rappel, un pare-feu applicatif web (WAF) est une couche de sécurité essentielle dans une stratégie de défense multi-couches moderne. Il permet notamment de :
- Ajouter une couche de défense supplémentaire pour les sites web, applications web et APIs.
- Inspecter le trafic HTTP(S) et bloquer proactivement les trafics malveillants.
- Éviter que vos services web ne deviennent une cible facile pour les attaquants.
Toute application web exposée à Internet ou critique pour l’activité doit bénéficier de la protection d’un WAF. Ceci est particulièrement crucial pour les applications manipulant des données financières ou confidentielles, où une faille de sécurité peut avoir des conséquences désastreuses (amendes, enquêtes réglementaires, risques pour l’entreprise).
Comment la solution LoadMaster peut vous aider ?
La solution Progress Kemp LoadMaster intègre un WAF basé sur les technologies standards OWASP, améliorant la protection contre un large éventail d’attaques, telles que le cross-site scripting (XSS), l’injection SQL et les attaques sur le protocole HTTP.
LoadMaster est flexible, rapide à déployer et simple à configurer via son interface web intuitive. Disponible sur tous les hyperviseurs courants, directement sur les grands clouds publics, et aussi en appliance matérielle, LoadMaster peut être ajouté facilement où que se trouve votre infrastructure.
Les équilibreurs LoadMaster sont aussi des contrôleurs de livraison d’application (ADC) complets, garantissant haute disponibilité, résilience et scalabilité en plus de la sécurité.
« WAF en mode simplifié » : une gestion facilitée grâce à LoadMaster 360
Pour simplifier encore plus la configuration du WAF, Progress LoadMaster 360 propose une solution SaaS moderne avec tableaux de bord et métriques. Cela permet d’avoir une vue rapide sur les performances du WAF LoadMaster. LoadMaster 360 facilite aussi la gestion d’un parc d’équilibreurs répartis sur plusieurs sites, pays et continents.
Cette fonction avancée comprend des filtres intelligents qui analysent des milliers de lignes de logs pour mettre en avant les alertes les plus critiques, simplifiant grandement l’exploitation du WAF. Associé aux outils de tuning pour réduire les faux positifs, cela accélère considérablement la configuration et l’ajustement du WAF devant n’importe quel service web ou application.
Pour en savoir plus sur les capacités WAF spécifiques de LoadMaster 360, consultez nos récents articles sur ce sujet.
Conclusion
Les changements récents apportés à PCI DSS peuvent représenter un défi pour de nombreuses entreprises. La solution LoadMaster peut vous accompagner dans cette transition.
Grâce à sa flexibilité et sa disponibilité sur diverses plateformes, LoadMaster s’adapte à vos applications où qu’elles soient : sur site, dans le cloud public ou dans un environnement hybride, avec une gestion cohérente et reproductible.
Nous vous invitons à essayer gratuitement LoadMaster pendant 30 jours en visitant cette page. N’hésitez pas à nous contacter pour discuter de la manière dont Progress peut répondre à vos besoins en matière de WAF et d’équilibrage de charge.
