Un standard en douze points

Le PCI-DSS (Payment Card Industry - Data Security Standard) est un standard défini par le PCI - Security Standards Council (PCI-SSC) qui rassemble les principaux réseaux internationaux de cartes de paiement. Son objectif est la protection des données des porteurs de carte (numéro de carte, nom du porteur, date d’expiration, code de sécurité CAV2/CVC2/CCV2/CID, etc.). Il s’applique à toute entreprise stockant, communiquant ou/et traitant ces données à partir du moment où elles incluent le numéro de carte ou PAN (pour Primary Account Number).

La cible de ce standard couvre donc aussi bien les commerçants adhérant à l’un des différents réseaux, que les fournisseurs de service de paiement ou les organismes bancaires finalisant les transactions.
Le standard consiste en une série de douze exigences ou requirements visant à sécuriser les systèmes d’information dans lesquels les données des porteurs de carte sont conservées ou manipulées :
– Exigence 1 : mettre en œuvre une architecture de firewalling pour contrôler les accès « réseau »,
– Exigence 2 : ne pas utiliser les paramètres de sécurité par défaut des constructeurs/éditeurs (notamment les mots de passe),
– Exigence 3 : protéger le stockage des données des porteurs,
– Exigence 4 : chiffrer les communications de données sur les porteurs lorsqu’elles transitent par des réseaux publics,
– Exigence 5 : utiliser et mettre à jour une protection antivirale,
– Exigence 6 : sécuriser le développement et l’exploitation du S.I.
– Exigence 7 : restreindre l’accès aux données sur les porteurs au strict minimum,
– Exigence 8 : attribuer un identifiant unique à chaque utilisateur du S.I.
– Exigence 9 : restreindre l’accès physique aux données sur les porteurs,
– Exigence 10 : ‘tracer’ et suivre l’accès aux données des porteurs et aux actifs informatiques « sous-jacents »,
– Exigence 11 : auditer régulièrement le S.I. et les processus,
– Exigence 12 : mettre en œuvre une politique de sécurité du S.I.

Fonction du nombre de paiements de l’entreprise, la conformité au PCI-DSS doit faire l’objet d’une déclaration ou d’un audit externe et de scans réguliers du S.I. Les entreprises non conformes s’exposent à des amendes plus ou moins lourdes, voire à une interdiction de réaliser des paiements par carte.

Tracer les accès aux données des porteurs de cartes

L’exigence 10 du PCI-DSS part du principe qu’il est indispensable de disposer de traces fiables pour reconstituer l’activité d’un utilisateur au sein du S.I. contenant les données des porteurs de cartes ; et ce, dans une logique d’enquête a posteriori autant que d’analyse proactive.
Il prévoit donc la mise en œuvre d’un véritable système de traçabilité autour des données des porteurs. Ce système doit assurer la traçabilité « de bout en bout » de l’activité d’un utilisateur dans le S.I., i.e. tracer aussi bien au niveau des applications et bases de données que des infrastructures (système, réseau, sécurité du réseau, etc.). Il doit aussi garantir la fiabilité et la sécurité des traces prises. De manière plus précise, le requirement 10 demande l’activation de tout log nécessaire à la reconstruction des accès aux données des porteurs de cartes et des actions réalisées avec des privilèges de type « administrateur » dans le S.I. contenant les données des porteurs. Sont également nécessaires les logs retraçant les authentifications réussies et manquées, la création et la suppression d’objets de niveau « système » (exécutables, fichiers de configurations, DLL, etc.) ainsi que les consultations elles-mêmes des logs.

Les logs doivent être conservés au moins un an et accessibles « en ligne » pendant au moins trois mois. Mais, au-delà de la définition de ce qui doit être tracé et du temps de conservation des traces, le PCI-DSS se distingue de la plupart des autres obligations de traçabilité par son caractère très opérationnel. Il donne, en effet, des consignes relativement détaillées sur le cycle de vie des différentes traces et leur gestion :
– Définition d’un contenu a minima du log : identification de l’utilisateur, type d’événement, timestamp , succès ou échec de l’opération, origine de l’événement, identification de la ressource/donnée/composant/application « cible »,
– Nécessité de synchroniser les horloges des services de journalisation,
– Nécessité de centraliser les différentes traces,
– Protection des traces : contrôle d’intégrité, contrôle d’accès logique, ségrégation des droits, etc.
– Mise en place de revues journalières des logs (notamment ceux des équipements de sécurité).

Quel impact sur la sécurité informatique des entreprises ?

Parce qu’il s’inscrit au final dans une optique très « ISO 27000 », le PCI-DSS n’est sans doute pas amené à bouleverser les démarches SSI déjà en place. Il se distingue cependant par un volet « traçabilité » beaucoup plus concret et précis que d’autres obligations réglementaires ou d’autres bonnes pratiques informatiques.
Si la gestion des traces est traditionnellement l’un des parents pauvres de la sécurité informatique, la large portée et la nature du PCI-DSS va sans nul doute accélérer la courbe d’apprentissage des DSI sur ce sujet, tant pour l’organisation (directives et procédures dédiées) que pour la technique (solutions de log management).