Client-Side Protection & Compliance : luttez contre les menaces et facilitez la mise en conformité avec la version 4 de la norme PCI DSS

Élargissement du paysage des attaques

Bien que JavaScript soit devenu un outil essentiel, il présente également de nouveaux risques pour la sécurité. En raison de son exécution décentralisée côté client et de la chaîne d'approvisionnement des dépendances tierces, JavaScript est extrêmement difficile à surveiller et à gérer pour les entreprises. Les pirates ont tiré parti de cette difficulté pour exploiter les vulnérabilités des scripts et injecter du code nuisible dans les sites Web à partir du navigateur. Cette approche leur permet de récolter et d'exfiltrer des informations sensibles, y compris des données de cartes de paiement, auprès des utilisateurs finaux.

Ces attaques (notamment le web skimming, Magecart et le formjacking) sont devenues de plus en plus sophistiquées au fil des ans et peuvent avoir des conséquences dévastatrices pour les entreprises. Les entreprises qui en sont victimes risquent de perdre la confiance de leurs clients, de subir des interruptions d'activité et des pertes de revenus, et de se voir infliger d'importantes amendes réglementaires.

Nouvelles exigences en matière de sécurité JavaScript côté client

En dépit des conséquences de ces attaques, la plupart des entreprises ne considèrent pas leur prévention comme une priorité et de nombreux sites Web ne sont pas protégés. Pour assurer la protection des données de paiement dans le navigateur, la norme de sécurité de l'industrie des cartes de paiement a introduit de nouvelles exigences de sécurité JavaScript côté client dans la dernière version de PCI DSS (v4.0) publié en mars 2022.

Pour respecter la norme, toute entreprise qui traite des données de cartes de paiement en ligne doit savoir quels scripts sont exécutés sur son site, quand ces scripts changent et quelles sont les actions menées par ces scripts. La version 4.0 de la norme PCI DSS entrera pleinement en vigueur en mars 2025, ce qui laisse peu de temps aux entreprises pour satisfaire à ces exigences.

Présentation de la solution Client-Side Protection & Compliance d'Akamai

La solution Client-Side Protection & Compliance d'Akamai est une solution de sécurité applicative Web conçue pour protéger les sites Web contre les menaces JavaScript, mais aussi pour faciliter le respect des nouvelles exigences de sécurité JavaScript (6.4.3 et 11.6.1) définies dans la version 4.0 de la norme PCI DSS.

La solution Client-Side Protection & Compliance s'exécute dans le navigateur de l'utilisateur final et surveille les exécutions de JavaScript côté client sur les pages Web protégées. Lorsque les scripts présentent des changements de comportement, des techniques d'apprentissage automatique évaluent le risque d'actions non autorisées ou inappropriées et déclenchent des alertes en temps réel pour que les équipes de sécurité puissent enquêter.

Les utilisateurs peuvent atténuer les menaces potentielles d'un simple clic, empêchant ainsi les scripts JavaScript malveillants d'accéder aux informations sensibles des utilisateurs finaux et de les exfiltrer, y compris les données de cartes de paiement.

Support dédié à la conformité PCI DSS v4.0

Client-Side Protection & Compliance fournit un support étendu pour aider les entreprises à répondre aux exigences 6.4.3 et 11.6.1 de la version 4.0 de la norme PCI DSS. Cette solution permet de suivre et d'inventorier automatiquement les scripts sur les pages de paiement, en garantissant leur intégrité et leur autorisation. Les équipes de sécurité peuvent facilement justifier l'objectif des scripts qui s'exécutent sur les pages de paiement, grâce à des critères prédéfinis et à des règles automatisées.

La solution assure également le suivi des modifications apportées aux en-têtes HTTP et à la protection des pages de paiement afin d'empêcher la falsification des pages. Un tableau de bord complet et des alertes PCI dédiées permettent de répondre rapidement aux événements liés à la conformité et de fournir des preuves d'audit.

Visibilité étendue sur les menaces JavaScript

Beaucoup de personnes pensent souvent à tort que les Web Application Firewalls (WAF) assurent une protection contre les attaques côté client. En réalité, les WAF analysent le trafic côté serveur. Ils ne peuvent donc ni détecter ni prévenir les attaques qui se produisent dans le navigateur de l'utilisateur final. La solution Client-Side Protection & Compliance d'Akamai agit en complément du dispositif WAF en offrant une visibilité inégalée sur la surface d'attaque côté client de votre site Web. Elle suit le comportement d'exécution des scripts, détecte les vulnérabilités et failles courantes (CVE) et évalue la portée et l'impact de chaque script.

Client-Side Protection & Compliance permet également de connaître les données auxquelles les scripts accèdent et les menaces potentielles, éliminant ainsi les zones d'ombre et garantissant une protection complète. Elle s'associe parfaitement à la solution leader du marché App & API Protector d'Akamaipour offrir une défense holistique contre les menaces côté serveur et côté client.

Surveillance du côté client

Client-Side Protection & Compliance est une solution indépendante du réseau de diffusion de contenu (CDN) qui peut être déployée sur le cloud connecté d'Akamai ou en dehors et qui ne nécessite aucune solution de sécurité Akamai supplémentaire. Elle fonctionne avec des sites Web complexes et des applications à page unique, et n'a pas d'impact significatif sur les performances des pages. Grâce à une configuration rapide, les entreprises peuvent immédiatement bénéficier d'une protection contre les menaces JavaScript et rationaliser les flux de travail de conformité à la version 4.0 de la norme PCI DSS.