EN FR Accueil

PCI-DSS NTP — Exigence 10.6
Guide de conformité synchronisation horaire

v4.0 / v4.0.1 — sous-exigences 10.6.1, 10.6.2, 10.6.3 et ce que votre QSA vérifie réellement

Publié le 12 mai 2026 · Par Richard DEMONGEOT, RDEM Systems · Audience : RSSI d'environnements de données titulaires (CDE) dans le périmètre, QSA, ISA préparant des évaluations PCI-DSS v4.0 / v4.0.1.
Sommaire

1. Périmètre : quand 10.6 s'applique-t-il au CDE ?

L'Exigence 10 de PCI-DSS v4.0 — « Journaliser et superviser tous les accès aux composants système et aux données titulaires » — s'applique à chaque composant système de l'environnement de données titulaires (CDE). L'Exigence 10.6 est le sous-ensemble synchronisation horaire. Elle s'applique à :

L'obligation principale se lit :

10.6 Les mécanismes de synchronisation horaire assurent des réglages temporels cohérents sur l'ensemble des systèmes.

La formule « réglages cohérents » est décisive : le QSA regarde les résultats, pas la technologie. Un CDE où tous les systèmes sont à ±50 ms d'une référence externe vérifiée passe ; un CDE qui fait tourner chrony mais avec un hôte à +180 s de dérive échoue — même si « NTP est configuré partout ».

2. 10.6.1 — Technologie de synchronisation en service

10.6.1 — Les horloges et le temps des systèmes sont synchronisés via une technologie de synchronisation horaire.

La réponse d'implémentation est quasi-systématiquement NTP, plus Windows W32Time configuré en client NTP (Type=NTP). Le QSA attend :

Commandes pratiques utilisées par le QSA. Linux : chronyc tracking, chronyc sources, timedatectl status. Windows : w32tm /query /status, w32tm /query /peers. ESXi : ntpq -p. Une sortie propre fait partie des preuves ; un « Last Successful Sync Time » périmé ne suffit pas.

3. 10.6.2 — Serveurs désignés et sources approuvées

10.6.2 — Les systèmes sont configurés sur l'heure correcte et cohérente comme suit : un ou plusieurs serveurs de temps désignés sont en service ; seuls le ou les serveurs centraux désignés reçoivent le temps de sources externes ; le temps reçu de sources externes est basé sur le Temps Atomique International (TAI) ou le Temps Universel Coordonné (UTC) ; les serveurs désignés n'acceptent de mises à jour que de sources externes spécifiques et acceptées par l'industrie ; lorsqu'il existe plusieurs serveurs désignés, ils sont en relation de peering entre eux pour maintenir l'exactitude horaire ; les systèmes internes ne reçoivent le temps que des serveurs centraux désignés.

Cette sous-exigence est dense. Six vérifications pour le QSA :

#VérificationPreuve
1Un ou plusieurs serveurs de temps désignés existentSchéma d'architecture + nom DNS/IP du serveur central.
2Seuls les serveurs désignés reçoivent le temps externeRègle firewall n'autorisant la sortie UDP/123 que depuis l'IP du serveur désigné ; chrony.conf sur tous les autres systèmes pointant en interne.
3La source externe est TAI/UTCListe documentée des sources NTP amont ; toutes les sources standard qualifient (NTP transporte du TAI/UTC).
4Uniquement des sources externes acceptées par l'industrieDocument liste approuvée ; typique : NIST, PTB, Cloudflare NTS, Netnod, INRIM, OP, LNE, ou un Stratum 1 GNSS opéré par un prestataire d'infrastructure réputé.
5Plusieurs serveurs désignés en peering mutuelchrony.conf avec directive peer (ou membres de pool configurés pour peering) ; démontré par chronyc sources qui montre des entrées peer.
6Les systèmes internes ne reçoivent que des serveurs désignéschrony.conf / configuration w32tm sur un échantillon d'hôtes internes ; chacun liste uniquement les serveurs désignés, pas de sources publiques.

Ce que « source externe acceptée par l'industrie » signifie en pratique

Le PCI SSC n'a pas publié de liste exhaustive. La convention appliquée par les QSA en 2026 :

Accepté (typique). Instituts métrologiques nationaux (NIST, PTB, NPL, INRIM, OP, LNE pour la France), serveurs Stratum 1 opérés par Cloudflare / Google / Netnod / Apple / un hébergeur réputé, sources NTS-capables (RFC 8915), membres du pool utilisés en aval d'un serveur désigné.
Non accepté (constats fréquents). Membres aléatoires de pool.ntp.org comme source directe du serveur désigné (pas d'authentification, pas de SLA, pas d'audit) ; routeurs ISP grand public ; IP de métadonnées AWS 169.254.169.123 sans documentation liant l'origine TAI/UTC ; serveurs dont l'opérateur ne peut être identifié.

4. 10.6.3 — Protection des paramètres et données

10.6.3 — Les paramètres et données de synchronisation horaire sont protégés.

Sous-exigence courte mais qui se déclenche à trois niveaux :

  1. Système de fichiers. chrony.conf ou ntp.conf appartenant à root, mode 0640 ou plus strict, situé hors de tout partage lisible par le monde. Sur Windows, les clés de registre W32Time protégées par l'ACL par défaut plus l'application par stratégie de groupe.
  2. Gestion des changements. Chaque modification de configuration ouverte par ticket, relue, historique conservé sur au moins la fenêtre d'évaluation (typiquement 12 mois).
  3. Authentification du canal. Le canal amont du serveur désigné doit résister à l'altération. En 2026, NTS (RFC 8915) est la seule réponse standardisée ; les clés symétriques sont acceptées si la rotation et le stockage sont documentés (ce dernier point échoue souvent en 10.6.3 — clés en clair dans le dépôt de configuration : constat classique).

5. Topologie de référence pour un CDE conforme 10.6

La forme que la plupart des QSA jugent immédiatement défendable :

           ┌─────────────────────────────────────────┐
           │  Externe (sources acceptées par l'industrie) │
           │  ───────────────────────────────────────  │
           │  • NIST time.nist.gov     (UDP 123)         │
           │  • Cloudflare NTS         (UDP 4460 NTS)    │
           │  • Netnod NTS             (UDP 4460 NTS)    │
           │  • Stratum 1 GNSS         (UDP 123)         │
           └─────────────────┬───────────────────────┘
                             │ Sortie UDP 123 / 4460 restreinte
                             │ aux serveurs désignés seulement (FW)
                             ▼
           ┌─────────────────────────────────────────┐
           │  Serveurs de temps centraux désignés      │
           │  ───────────────────────────────────────  │
           │  ntp-cde-a.internal  (chrony 4.x, NTS)    │
           │  ntp-cde-b.internal  (chrony 4.x, NTS)    │
           │  ── peering mutuel ──                     │
           └─────────────────┬───────────────────────┘
                             │ UDP 123 interne uniquement
                             │ vers ntp-cde-a/b
                             ▼
           ┌─────────────────────────────────────────┐
           │  Systèmes dans le périmètre CDE           │
           │  ───────────────────────────────────────  │
           │  Apps paiement · BDD · Pare-feux · SIEM   │
           │  Bastions · IDS · Authentification        │
           └─────────────────────────────────────────┘

Deux serveurs désignés (10.6.2 exige le pluriel), en peering mutuel, alimentés uniquement par des sources externes acceptées par l'industrie, avec un cloisonnement firewall strict entre couches.

6. Pièces de preuve pour l'évaluation QSA

À rassembler dans pci-dss/req-10.6/ avant l'évaluation :

  1. Schéma. La topologie à trois niveaux ci-dessus avec hostnames et IPs réels.
  2. Config des serveurs désignés. chrony.conf des deux serveurs désignés, anonymisée.
  3. Échantillon interne. chrony.conf / export W32Time d'un échantillon représentatif de systèmes dans le périmètre (bases de données, serveurs applicatifs, pare-feux, bastions).
  4. Règles firewall. Export des règles de sortie restreignant UDP/123 et UDP/4460 (NTS) aux serveurs désignés uniquement.
  5. Document sources approuvées. Une page listant chaque source amont et la justification « acceptée par l'industrie ».
  6. État de synchronisation. Sortie de chronyc tracking et chronyc sources sur chaque serveur désigné, datée dans la fenêtre d'évaluation.
  7. Preuve NTS. Si NTS est utilisé, preuve de validité des certificats et procédure de rotation.
  8. Historique des changements. Export ticketing couvrant les changements de configuration NTP des 12 derniers mois.
  9. Rapport de test. Sortie du Validateur NTP en ligne contre chaque source externe — stratum, offset, refID — collectée dans la fenêtre d'évaluation.

7. v3.2.1 (10.4 historique) → v4.0 (10.6) — différences

PCI-DSS v3.2.1 plaçait l'exigence de synchronisation horaire en 10.4 avec trois sous-exigences. v4.0 l'a renumérotée en 10.6 et a durci le texte :

Aspectv3.2.1 (10.4)v4.0 (10.6)
Numérotation10.4 / 10.4.1 / 10.4.2 / 10.4.310.6 / 10.6.1 / 10.6.2 / 10.6.3
Restriction sources externesImpliciteExplicite : « sources externes acceptées par l'industrie »
PeeringImpliciteExplicite : « les serveurs de temps sont en peering mutuel »
Protection des paramètresUne sous-exigenceDeux angles distincts : ACL + gestion des changements
Date d'effetv4.0 obligatoire le 31 mars 2025

Si votre dossier de preuves v3.2.1 est solide, la transition v4.0 est essentiellement un re-étiquetage plus une liste documentée « sources approuvées » et la vérification explicite du peering.

8. Réutilisation inter-référentiels

Un dossier de preuves conforme 10.6 ferme les exigences temporelles des grands référentiels sans artefact supplémentaire :

ExigencePCI-DSS v4.0ISO 27001:2022NIS 2DORA
Source désignée/approuvéeReq. 10.6.1, 10.6.2A.8.17Art. 21(2)(c)Art. 11
Canal authentifiéReq. 10.6.2 (acceptée par l'industrie)A.8.17 (implicite)Art. 21(2)(e)Art. 9(3)
Protection des paramètresReq. 10.6.3A.8.24 (gestion clés)Art. 21(2)(h)Art. 10
Rétention des journauxReq. 10.7A.8.15Art. 23Art. 12

Voir aussi : Référentiel ANSSI / OIV / loi REC pour le cadre français.

Valider vos serveurs désignés en 2 minutes

Testez chaque source amont de votre liste de sources approuvées. Le validateur capture stratum, offset, refID et joignabilité dual-stack — la sortie va directement dans le dossier QSA.

Lancer le validateur → Checklist d'audit complète

Autre angle ? Utilisez l'outil adapté :

Une publication RDEM Systems · Validateur NTP en ligne · Checklist Audit NTP · ISO 27001 8.17 · Exigences NIS 2 · Mentions légales

Confidentialité