Application Security Resources

Sub Text of Application Security Resources

Parkeon choisit la solution Seeker de Quotium pour sécuriser ses développements Agile et réussir sa conformité PCI

April 4, 2014

Tiny Url for this post: http://tinyurl.com/qhhvlc5

Parkeon choisit la solution Seeker de Quotium pour sécuriser ses développements Agile et réussir sa conformité PCI

Résumé

Parkeon est l’un des acteurs clé du secteur de la mobilité urbaine et compte parmi les principaux fournisseurs de solutions de gestion du stationnement et des transports publics. Basée en France, où elle a son siège social, la société est présente dans plusieurs pays d’Europe et aux Etats-Unis, et propose une offre unique de services de billettique et de paiement dans 55 pays et plus de 3000 villes dans le monde.

Parkeon développe des solutions de paiement dématérialisé, en temps-réel, de bout en bout, depuis le traitement de la transaction sur le Point de Vente (PDV) jusqu’au paiement des fournisseurs, et adaptées à tous les canaux de vente : cartes de crédit et de débit, compte de téléphonie mobile, carte prépayée, porte-monnaie électronique et technologie sans contact. Ces solutions sont déployées sur les terminaux Point de vente conçus par Parkeon, tels que les horodateurs pour le stationnement de voirie et les caisses de paiements dans les parkings.

La multiplication des violations de données impactant le commerce électronique et les transactions à distance depuis les points de vente, ont conduit Parkeon à relever le niveau de sécurité applicative de ses systèmes, indépendamment de la diversité géographique de ses clients.

Seeker a été choisi par l’équipe d’intégration de Parkeon pour valider et finaliser la sécurité applicative de ses systèmes et réussir la conformité au standard PCI (Payment Card Industry) de son principal produit de billettique et de transaction électroniques, Archipel.
Seeker est la seule solution capable de combiner la détection précise des vulnérabilités, la mise en conformité avec le standard PCI, l’intégration de la sécurité dans les processus existants, et la facilité d’utilisation par les développeurs et les testeurs non-experts en sécurité.

Le besoin

Parkeon développe des solutions complètes de paiement d’une part, et d’autre part de centralisation des flux de paiements électroniques pour le compte de ses clients. Pour ces deux applications, l’architecture entière de chaque solution doit impérativement satisfaire aux normes de l’industrie PCI-DSS (Payment Card Industry Data Security Standard).

Jusqu’à présent Parkeon utilisait un outil dynamique de tests de sécurité applicative (DAST) pour valider la sécurisation des applications sur son environnement d’intégration.

« Le principal problème avec ce type d’outil est qu’il nécessite une véritable expertise pour trier les faux positifs. La corrélation entre les vulnérabilités et le code source défaillant, de même que le travail d’analyse nécessaire à l’élaboration de corrections pertinentes, sont des tâches extrêmement fastidieuses. Les équipes de tests et de développement ne disposent ni du temps ni de l’expertise nécessaires pour les effectuer de façon régulière. »

L. Porchon CISO of Managed Business Service division, Parkeon

L’application est développée en utilisant les méthodes de développement Agile et est mise à jour en production 5 fois par trimestre. La validation de la sécurité devait être intégrée dans les processus automatisés existants, et devait pouvoir être utilisée par les développeurs et les testeurs qui ne sont pas des experts de la sécurité.

Pourquoi Seeker ?

Seeker s’assure que le système en entier est conforme aux standards de la sécurité tels que PCI-DSS, à chaque version.

Seeker suit le flux des données tout au long du cycle de vie de l’application et évalue les vulnérabilités en fonction de leur impact sur les données sensibles.

L’approche centrée sur les données de Seeker représente un avantage certain dans les phases de tests relatifs au critère n°6 de la norme PCI-DSS. Les données critiques telles que les informations de carte bancaire sont automatiquement monitorées par les différents composants de la chaîne de paiement, pour s’assurer qu’elles ne présentent pas de vulnérabilités pouvant les compromettre (informations de débogage oubliées, manipulations et stockages non sécurisées – même temporaires- dans des fichiers ou des bases de données, transmissions à des tiers non sécurisées…)

Avec Seeker, Parkeon peut valider automatiquement la conformité de l’ensemble de son système aux normes de sécurité, à chaque sortie de version.

Seeker facilite la communication entre les équipes de test et celles de développement

Seeker relie automatiquement les vulnérabilités telles qu’elles apparaissent selon le point de vue du hacker, au code qui en est à l’origine. Il élimine les faux positifs, pointe le code source défaillant et fournit les corrections pertinentes en fonction de la nature et la spécificité de l’application testée.

En conséquence, la sécurité est renforcée, le temps consacré aux tests réduit, et la communication entre les équipes de sécurité et de développement améliorée :

• Les développeurs se concentrent uniquement sur les vulnérabilités avérées et les corrections du code source suggérées par Seeker
• Les testeurs ont une vision claire des risques métiers de l’application adaptés au classement Top 10 de l’OWASP, qui correspond au standard en matière de sécurité pour la société Parkeon.
Seeker augmente la sensibilisation et la formation aux pratiques d’un codage sécurisé.

Une autre raison pour laquelle Parkeon a choisi Seeker est sa valeur éducative. Les testeurs et les développeurs de Parkeon reçoivent une formation basée sur le TOP10 OWASP, mais n’ont pas de connaissance en sécurité des informations. En donnant la possibilité de rejouer les attaques, en expliquant les risques métiers, et en suggérant des corrections pertinentes à appliquer, Seeker permet aux équipes de test et de développement de mieux se sensibiliser à la sécurité, et de bénéficier d’une formation de manière continue, leur permettant d’améliorer ainsi leurs pratiques de codage et de mise en oeuvre.

Conclusion

Les équipes de Parkeon avaient besoin d’un outil d’automatisation qui, d’une part intègre la sécurité dans les processus existants de l’entreprise, et d’autre part, s’assure que chaque version envoyée à la production est sécurisée et respecte les normes en vigueur. Seeker répond avec succès à ces deux besoins

“Nous n’aurions pas choisi un outil qui ne se serait pas intégré à notre environnement automatisé existant. Seeker a répondu à nos besoins d’intégration et d’automatisation. Il offre formation et connaissance aux utilisateurs. Seeker est l’outil parfait qui nous aide à améliorer nos pratiques de sécurité et à développer des logiciels d’excellence. »

L. Porchon CISO of Managed Business Service division, Parkeon

This post is also available in: Anglais

Learn more about Seeker

More Cas clients