En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site E-Commerce Magento pour de la vente de produits fitness
    < 220 000 €
    > En savoir plus
  • Création d'un site d'informations dans l'immobilier
    < 4 000 €
    > En savoir plus
  • Modéliste pour la création de patrons et dessins techniques de vêtements pour femmes
    < 7 000 €
    > En savoir plus
GlobalK_GDPR _leaderboard

Monext automatise ses tests PCI-DSS avec QualysGuard

01/07/2009 | commentaires 0 commentaire
BigData2018_pave

Prestataire : Qualys
Origine : Nouveau
Nom de la société cliente : Monext
Nom du responsable : Grégoire Maux
Fonction du responsable : RSSI
Catégorie Métier : Commerce/distribution
Type(s) de projet : Gestion comptable/financière--ERP, Sécurité, Site Web
Réalisation : Prestataire
Date de mise en service : 01/09/2008
Rôle du prestataire :
Solution on demand, délivrée en mode SaaS et associée à des boîtiers appliances sur le réseau interne et permettant la gestion des vulnérabilités.
Actions effectuées : Conseil, graphisme, developpement, administration

Logiciel

Nom : QualysGuard Enterprise
Editeur : Qualys

Monext, acteur majeur du paiement électronique en France souhaitait renforcer la vision de son par et de ses vulnérabilités en bénéficiant d'un aperçu plus complet de son périmètres, notamment en industrialisant et en automatisant les audits de vulnérabilités.

Besoins

En tant qu'acteur majeur du paiement électronique, Monext est exposé à un tir croisé d'audits : «Nous sommes régulièrement audités par nos clients, bien sûr. Mais nous devons aussi passer des audits réglementaires commandés par le GIE Cartes Bancaires et Visa-Mastercard. Sans compter que les banques nous reportent leurs obligations PCI-DSS», explique Grégoire Maux, RSSI de Monext.Et comme l'a constaté Monext, un tel paysage réglementaire exige une approche méthodique des audits de vulnérabilités. «Nous travaillions par le passé de manière autonome, avec des scripts développés en interne et des audits commando sur certaines portions de notre parc. Mais nous pouvions améliorer notre vision du parc : certaines parties étaient bien connues et d'autres beaucoup moins. Nous avons alors souhaité pouvoir travailler de manière plus transverse et surtout de manière industrielle», poursuit le RSSI. «Il fallait que la solution retenue soit certifiée «Approved Scanning Vendor PCI-DSS», qu'elle soit en outre présente dans le Magic Quadrant du Gartner, mais aussi référencée chez d'autres grandes banques. Et enfin, que son moteur de rapports puisse s'adapter souplement à plusieurs populations, techniques et managers notamment», se souvient Grégoire Maux. La société consacre alors six mois à observer le marché et après un écrémage drastique Qualys est sélectionné avec sa solution QualysGuard.Un déploiement basé avant tout sur PCI-DSSLa mise en œuvre de la solution QualysGuard se calque alors sur l'effort PCI-DSS de la société. «Nous suivons le plan de déploiement PCI-DSS et profitons de ces interventions pour y déployer le scanner. Nous mettons l'outil en oeuvre comme un point PCI-DSS parmi d'autres», explique Grégoire Maux. L'approche a le mérite d'être pragmatique : le réseau de Monext est très segmenté, ce qui permet de réduire les portions qui doivent être conformes PCI-DSS et par tant, de réduire également les déploiements du scanner.Dans une telle configuration, QualysGuard est donc étroitement lié aux obligations PCI-DSS de Monext, et ce n'est pas un hasard : «PCI-DSS est vital pour notre activité. Nous nous devons d'être en conformité avec les standards du marché» assène Grégoire Maux.Le scanner, tant dans son exploitation que dans ses rapports, se plie donc avant tout aux exigences de la conformité. «PCI-DSS nous oblige à un scan par trimestre sur l'ensemble du périmètre concerné. Nous avons voulu automatiser ce contrôle au maximum. Nous utilisons le modèle de rapport PCI-DSS par défaut fournit par l'application afin d'avoir une réponse PCI Pass / PCI Fail.», détaille le RSSI.Rapports PCI-DSS et bonnes pratiquesChaque trimestre, les rapports PCI Pass sont présentés aux auditeurs. Le traitement des rapports PCI Fail donne de son côté lieu à une ventilation particulière des vulnérabilités. Monext répartit les failles remontées par le scanner en deux familles (mauvaise configuration et absence de correctif) et trois catégories : systèmes d'exploitation, bases de données (essentiellement Oracle, avec un peu de Sybase et du MySQL) et exploitation (Apache / Tomcat pour l'essentiel). Cela permet de répartir les actions de correction aux équipes directement concernées. Dans son processus correctif, Monext capitalise également sur les solutions fournies par les rapports de vulnérabilités Qualys. QualysGuard permet d'alimenter - avec d'autres sources - la base de connaissances et les «best practices» sécurité de Monext, et permet par ailleurs d'en contrôler la bonne application lors du déploiement de nouveaux serveurs. Un effet de bord original noté par Monext durant les audits de vulnérabilités est la capacité à stresser les applications. A terme, Monext envisage de surveiller d'autres équipements de réseau et sécurité (reverse proxy, répartition de charge, application delivery, etc) et de pouvoir contrôler leurs analyses directement depuis l'interface d'administration de l'outil d'analyse.

Monext automatise ses tests PCI-DSS avec QualysGuard
Notez cet article

Laisser un commentaire

L’intelligence Artificielle, une vraie rupture en Cybersécurité

L'IA ne révolutionne pas seulement la perception de la cybersécurité au coeur des entreprises, elle redéfinit les règles du jeu pour l'ensemble des acteurs de la sécurité. Découvrez le livre blanc de 30 pages de iTrust

Découvrez le livre blanc de 30 pages de iTrust

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Un adolescent britannique poursuivi pour avoir piraté le compte d'un ex-chef de la CIA

    Un adolescent britannique ayant réussi à pirater les comptes de plusieurs responsables américains du Renseignement…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Relève du poste de travail : les gains financiers du Desktop as a Service

    Nombreuses sont les entreprises qui se tournent vers des infrastructures de bureau virtuel depuis le…

    > En savoir plus...
Etudes/Enquêtes
  • Augmentation de 113 % des cyberattaques - Les marketplaces de cryptomonnaies ciblées

    Au quatrième trimestre 2017, les cyberattaques ont augmenté de 113 % par rapport à la…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Ixia_RGPD_skycraper
Agenda
livres blancs
Les Livres
Blancs
Ixia_RGPD_skycraper