Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Congrès VigiTrust : « La norme PCI DSS en France - évolution, enjeux et meilleures pratiques de mise en conformité »

février 2011 par Marc Jacob

VigiTrust a organisé son premier congrès en France. A cette occasion, la société avait choisi de faire le point sur la norme PCI DSS en France. Pour animer cette matinale, Mathieu Gorge, CEO de VigiTrust, s’est entouré de Jeremy King, European Director, PCI SSC, qui a fait une point sur l’état de l’art de la norme, de Paul Trescases, Risk Manager, Groupement des Cartes Bancaires, qui a exposé le point de vue du Groupement sur ces problématiques. Charlotte Perraudin, Security Product Manager, Ingenico, a présenté l’offre p2p qui permet de chiffrer les transactions. Jérémie Jourdin, PCI-DSS Expert, Advens, a montré l’apport d’une démarche de contrôle permanent dans le processus de conformité PCI-DSS. Enfin, Dominique Lhopital, Vice-Président de FedISA France, a mis en perspective le stockage et l’archivage par rapport à la norme.

Mathieu Gorge, CEO, VigiTrust

Mathieu Gorge, CEO de VigiTrust, après avoir présenté sa société et ses solutions de e-learning centrées sur la norme PCI-DSS et des solutions de GRC, a fait le point sur la norme en France. Il fait mention du livre blanc publié par le CLUSIF en 2009 qui est en quelque sorte une des premières publications officielles sur ce sujet. Aujourd’hui, ce standard se diffuse très rapidement en Europe. La France est en retard et commence seulement à bouger en ce domaine. Au Royaume-Uni et en Irlande, elle est très bien diffusée. Mais c’est dans les pays nordiques qu’elle est la plus répandue. La version 2 a été publiée en 2010 et sera en vigueur pour trois ans. Mathieu Gorge a regretté que les exigences de sécurité n’apparaissent qu’à la 12ème place. Il a rappelé qu’aux Etats-Unis PCI-DSS est devenu une exigence déjà dans 5 Etats. Il pense que d’ici 3 ans elle deviendra une Loi Fédérale. Il estime que l’Europe devrait suivre. Il a rappelé que cette norme comprend trois standards : PA-DSS pour les applications, PTS-DSS pour les terminaux et PCI-DSS pour la conformité aux exigences de sécurité. Il a regretté qu’il n’y ait pas assez d’auditeurs QSA en France, puisqu’il y en a seulement 4. Au Royaume-Uni, ils sont 42, ce qui est trop selon lui, et 150 aux Etats-Unis ce qui est insuffisant.

Jeremy King, European Director, PCI SSC, a commencé son intervention en rappelant les menaces qui planent sur le e-commerce avec les fraudes à la carte bancaire. Ces fraudes sont un problème mondial qui coute de l’argent à toute la filière : clients, commerçants, banques... les standards PCI-DSS, PA-DSS et PTS-DSS, sans être une sécurité, permettent d’améliorer les process et donc de réduire les fenêtres de risque. Son organisation, constituée de 600 membres dont 458 américains, 90 européens, 17 en Afrique et au Moyen-orient et 33 en Asie, a élaboré la version 2 de la norme qui devrait évoluer à fin 2013. L’objectif est de faire converger les trois normes. Pour lui, les solutions de chiffrement de bout en bout devraient permettre aux entreprises d’obtenir plus facilement la certification.

Paul Trescases, Risk Manager, Groupement des Cartes Bancaires, a rappelé que son groupement a diffusé 59.771 millions de cartes. L’e-commerce représente environ 10% des transactions bancaires en termes de CA, mais génère 2/3 des risques. En France, l’article 34 couvre les transactions frauduleuses sur internet par une amende allant jusqu’à 300.000€ et 5 ans d’emprisonnement. Dans les préconisations de son groupement, chaque système de paiement doit faire son analyse de risque, définir librement ses règles et le calendrier d’implémentation. En revanche, Visa et Mastercard ont des règles plus dures. Le Groupement Carte Bancaire a agréé 4 QSA : Elitt, Provadys, Trustwave et Verizon Business. Le Groupement a identifié un certain nombre de risques qu’il faut couvrir parmi lesquels on trouve la conservation des données des cartes ou des codes CVX2, du chiffrement faible, de l’authentification insuffisante, des vulnérabilités dans les applications… Son groupement souhaite que les entreprises mettent en place une démarche en 6 étapes. Aujourd’hui le Groupement va mettre l’accent sur le secteur des T&E : agence de voyage, Cie Aérienne, hôtels, loueur de voiture. Il a rappelé que dans le e-commerce le CVX2 est obligatoire, mais pas dans la VAD classique. Dans tous les cas, il est interdit de conserver ces données, a-t-il insisté. Au final, la norme a des effets positifs sur la sécurité globale. Aujourd’hui, il y a une évolution vers le paiement sans contact et le chiffrement des transactions de bout en bout. Cette dernière technologie nécessite de revoir les architectures et de garantir l’interopérabilité entre les acquéreurs et les fournisseurs.

Charlotte Perraudin, Security Product Manager, Ingenico, a présenté le rôle des solutions P2PE (Point to Point Encryption) pour la réduction du champ d’application PCI DSS. Aujourd’hui, les points faibles des transactions résident dans les transferts de données entre les intervenants : le client face au terminal, le commerçant qui transfert les informations soit vers la banque, soit vers un prestataire… Sans compter les phases de stockage des données sensibles. Selon Verizon, 19% des entreprises conformes à la norme PCI-DSS auraient été victimes de piratage. Une des réponses est le chiffrement de bout en bout des transactions. Il nécessite un module de chiffrement, un système de gestion des clés, un module de déchiffrement. Ces solutions devraient être compatibles avec tous les modes de paiement : puce, pistes, sans contact… Ces solutions réduisent de fait les fenêtres d’attaques et facilitent la conformité à la norme.

Jérémie Jourdin, PCI-DSS Expert, Advens, a démontré les apports d’une démarche de contrôle permanent dans le processus de conformité PCI-DSS. Un contrôle périodique est nécessaire mais pas suffisant car il donne une image à un instant T de l’état du SI. Les contrôles doivent s’inscrire dans une stratégie de sécurité globale. Ainsi, pour garantir une sécurité optimale, il faut tester en permanence le périmètre concerné. D’ailleurs, le standard a été conçu dans un esprit global. En effet, le contrôle n’est pas une fin en soi dans une approche de risque. Au final, il est nécessaire de faire des contrôles permanents afin de pouvoir rectifier et d’ajuster les correctifs au fur et à mesure. D’autant, que le SI n’est pas figé mais qu’il évolue. De plus, les menaces sont aussi en constante évolution. Pour ce faire, il faut se reposer sur des systèmes automatiques de détection des problèmes et se reposer sur des prestataires externes afin de se focaliser sur la remédiation.

Enfin, Dominique Lhopital, Vice-Président de FedISA France, a rappelé un élément essentiel de la sécurité : le stockage/ archivage d’informations sensibles, comme celui des données relatives aux cartes bancaires. Si pour le stockage des données, le chiffrement est possible, il est peu recommandé pour l’archivage dans le temps du fait des problématiques de conservation des clés de chiffrement.




Voir les articles précédents

    

Voir les articles suivants