Avec le support approprié, les développeurs peuvent aider votre organisation à atteindre une conformité supérieure à la norme PCI DSS 4.0

Une version de cet article a été initialement publiée dans Zone D. Il a été mis à jour et diffusé ici.
La version 4.0 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) permettra changer presque tout sur la sécurité pour toute entreprise ou organisation qui accepte les paiements électroniques, ce qui représente la grande majorité d'entre elles. Et ne vous y trompez pas, cette mise à jour va transformer la plupart des entreprises, les obligeant à mettre à niveau bon nombre de leurs processus de sécurité et potentiellement à déployer de nouvelles protections concernant le cryptage, l'authentification, le contrôle d'accès, la gestion des clés et d'autres domaines qu'elles ont peut-être mis du temps à adopter auparavant.
En raison de la complexité des nouvelles exigences, les organisations ont jusqu'en mars 2025 pour se mettre pleinement en conformité. Mais cette date limite arrivera plus tôt que la plupart des gens ne le pensent. En fait, de nombreuses entreprises avant-gardistes prennent actuellement des mesures pour permettre à leurs développeurs de naviguer dans le paysage de conformité en suspens.
Au-delà de la formation à cocher
Les développeurs d'une entreprise écrivent le code sur lequel repose une grande partie de son infrastructure. Il est donc logique qu'ils constituent un bon point de départ lorsqu'il s'agit de mettre en œuvre les nouvelles exigences PCI DSS 4.0. Cependant, la plupart des développeurs auront besoin d'un soutien stratégique pour améliorer leurs compétences dans le cadre d'un programme de sensibilisation à la sécurité mis à jour. Cela permet de s'assurer qu'ils possèdent l'expérience nécessaire pour mettre en œuvre et maintenir les niveaux de sécurité plus élevés requis par la nouvelle norme.
En fait, l'exigence 12.6.2 de la norme PCI DSS 4.0 demande aux entreprises de mettre en œuvre un programme de sécurité officiel et de le tenir à jour avec les dernières informations sur les menaces et les techniques de défense. Avec l'ancienne norme, les programmes de sécurité de base ou même la formation annuelle à la conformité de type « cocher les cases » ont permis d'atteindre l'objectif. Cette nouvelle norme impose bien plus encore, allant même jusqu'à exiger que les programmes de formation à la sécurité traitent des menaces et des vulnérabilités spécifiques au sein de l'environnement d'une entreprise. Par exemple, si le vol d'identité constitue un grave problème pour une organisation, la formation doit y remédier.
Il est clair qu'une formation minimale ne suffira plus, que ce soit du point de vue pratique ou pour se conformer à la nouvelle norme. Les entreprises doivent plutôt proposer aux développeurs des parcours d'apprentissage complets et agiles qui leur apprennent à appliquer les meilleures pratiques de sécurité à leur travail quotidien. En allant au-delà des efforts de conformité minimaux et en fournissant aux développeurs les ressources dont ils ont besoin pour vraiment comprendre la sécurité, les entreprises peuvent donner à leurs développeurs les moyens de prendre de meilleures décisions en matière de sécurité dans l'ensemble, tout en se conformant à la norme PCI DSS 4.0.
La bonne nouvelle est que bon nombre des nouvelles exigences de la norme PCI DSS 4.0 concernent des domaines que la plupart des développeurs connaissent déjà, tels que l'authentification, le cryptage, le contrôle d'accès, la gestion des clés, etc. Lorsque les développeurs disposent de ressources adaptées, pertinentes et familières pour développer leurs compétences, les organisations peuvent plus facilement les préparer aux nouvelles normes et aux responsabilités accrues que la norme PCI DSS 4.0 exigera.
Utiliser la norme PCI DSS 4.0 comme passerelle vers une meilleure sécurité globale
Bien qu'il soit essentiel de répondre aux besoins des développeurs grâce à une bonne formation en matière de sécurité pour se conformer avec succès à la nouvelle norme PCI DSS 4.0, les efforts visant à faire évoluer une organisation vers une meilleure cybersécurité ne doivent pas s'arrêter là. Oui, les exigences sont rigoureuses, mais étant donné que la plupart des organisations devront s'efforcer de s'y conformer, il n'y a aucune raison de ne pas utiliser cet effort comme un tremplin pour renforcer la sensibilisation à la sécurité et la formation en général. Cela permettra non seulement à une organisation de répondre aux exigences de conformité, mais aussi de commencer à favoriser une culture de sécurité positive qui donne la priorité aux meilleures pratiques et garantit que tous les membres de l'organisation travaillent vers le même objectif, axé sur la sécurité.
Il y a une courbe d'apprentissage, bien sûr, mais les développeurs seront probablement d'accord avec un tel effort. Dans une donnée d'Evans enquête Parmi plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité a déclaré qu'ils soutenaient le concept de création de code sécurisé et d'instauration d'une meilleure culture de sécurité dans leurs organisations. Il est clair que la plupart des développeurs sont favorables à une transition stratégique et soutenue vers un codage sécurisé et à une redéfinition des priorités de la sécurité dans le cadre du processus de développement.
Les mises à niveau de sécurité imposées par la norme PCI DSS 4.0 constituent une excuse parfaite pour les entreprises qui souhaitent investir dans l'amélioration des meilleures pratiques et des formations en matière de sécurité, et pour adopter une meilleure culture globale de la sécurité au sein de leur organisation.
Les développeurs peuvent atteindre plus facilement des niveaux de maturité en matière de sécurité si leurs entreprises investissent dans un programme qui leur permet d'intégrer leurs compétences en matière de codage sécurisé à des outils et à des formations pertinents. Cela peut à son tour contribuer à créer une culture de la sécurité dans laquelle les développeurs sont davantage en mesure de prendre de meilleures décisions qui améliorent la posture de sécurité globale de leur organisation bien au-delà des nouvelles normes rigoureuses PCI DSS 4.0.

Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.


