La plateforme spécialisée en sécurité des scripts navigue avec succès contre les attaques sur les pages de paiement, conformément aux normes renforcées du secteur financier
La société de cybersécurité c/side, spécialisée dans la protection des menaces côté client sur les sites web, a annoncé le 28 mai les résultats d’une évaluation technique indépendante réalisée par la société mondiale VikingCloud. Ce rapport, axé sur les exigences 6.4.3 et 11.6.1 de la norme PCI DSS 4.0.1, conclut que la plateforme c/side, correctement configurée, peut aider les organisations à détecter et à atténuer les scénarios d’attaque côté client dans les environnements de paiement en ligne.
À partir de mars 2025, tous les commerces et fournisseurs de services seront tenus de mettre en place des mesures pour inventorier, surveiller et valider tous les scripts exécutés dans les navigateurs des utilisateurs, en particulier sur les pages de paiement. Dans ce contexte, c/side propose une architecture basée sur un proxy et une alternative sans agent qui, selon VikingCloud, permet de répondre efficacement aux risques en temps réel.
Inspection en temps réel et conformité réglementaire
L’évaluation technique de VikingCloud a inclus des tests contrôlés sur des menaces côté client, telles que les enregistreurs de frappe (keyloggers) et la manipulation de scripts. Dans ses conclusions, le rapport souligne que l’architecture de c/side permet d’inspecter et de bloquer les scripts malveillants en temps réel grâce à son déploiement proxy, sans nécessiter de modifications du code web. Parallèlement, son mode sans agent effectue des analyses périodiques basées sur le crawling, soutenues par un partage d’intelligence sur les menaces.
Les deux options offrent surveillance, alertes et génération de rapports conformes aux exigences d’audit de la norme PCI DSS, un atout considérable pour les équipes de sécurité et de conformité. De plus, la plateforme génère automatiquement des rapports hebdomadaires sur les changements dans les scripts et les en-têtes HTTP, simplifiant ainsi la communication avec les auditeurs.
Intégration et utilisation dans des environnements réels
Le design flexible de c/side permet son adoption aussi bien par de grandes organisations que par des équipes avec des ressources techniques limitées. Son intégration avec des outils de conformité tels que AWS S3, Vanta, Drata ou Sprinto facilite son incorporation dans des environnements d’entreprise et des projets de développement externes.
Mike Kutlu, responsable des opérations sur le marché chez c/side, a souligné l’importance de disposer de solutions spécialisées : « Les attaques côté client ne sont pas des menaces hypothétiques. Elles se produisent quotidiennement et les entreprises ont besoin de solutions qui évoluent au même rythme. L’évaluation de VikingCloud offre une perspective externe précieuse sur la manière dont c/side contribue à cette défense. »
Webinar pour le secteur
Dans le cadre de sa stratégie de sensibilisation, c/side et VikingCloud organiseront un webinaire le 24 juin prochain, où ils aborderont les lacunes habituelles en matière de sécurité côté client et les implications de la conformité à la norme PCI DSS 4.0.1.
Précision importante sur la conformité
Bien que l’évaluation soit positive, VikingCloud précise que son analyse est une révision technique commandée et ne vaut pas certification ou validation formelle de conformité à la norme PCI DSS. Les organisations restent responsables d’effectuer leurs propres évaluations avec un QSA (Qualified Security Assessor) ou une autre entité autorisée.
Avec cette évaluation, c/side renforce sa position en tant que fournisseur de référence dans la protection contre les menaces compromettant l’intégrité des pages de paiement, dans un contexte où la conformité réglementaire et la sécurité de l’utilisateur final sont prioritaires pour le secteur financier et le commerce électronique.
