Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PCI DSS Road Show : Vers un ROI de la certification PCI DSS ?

juillet 2013 par Marc Jacob

La troisième édition du PCI DSS Road Show organisé par Vigitrust a permis de faire le point sur l’évolution de ce standard en France à la veille de la publication de la nouvelle version en octobre qui devrait inclure le Cloud et la mobilité. Pour nos intervenants si PCI DSS n’est pas un gage de sécurité absolue, il permet de se couvrir en cas de pertes vis-à-vis du droit mais aussi peut-être une première étape pour atteindre une certification de type ISO. Pour certains des experts présents, il serait aussi possible d’y trouver une notion de ROI…

Après le message de bienvenue de Monsieur Paul Kavanagh, l’Ambassadeur d’Irlande en France qui a rappelé l’importance prise par la sécurité informatique pour les entreprises. Dans cette mouvance, le standard PCI DSS prend une place de plus en plus importante et le Road show organisé par Vigitrust confirme cet intérêt. C’est pour cela qu’il a accepté d’accueillir la troisième édition de ce Road Show au sein de son ambassade et à la veille de la mise à jour de cette norme prévu en octobre prochain. Il a en outre mis l’accent sur les qualités de l’Irlande : la jeunesse, l’unité du pays et le fait qu’en France, on trouve au sein de l’ambassade toutes les structures politiques et économiques pour accueillir les sociétés françaises dans son pays.

Puis, Mathieu Gorge, CEO de Vigitrust, a fait un point sur l’évolution de PCI DSS et de son impact en France. En préambule il a fait un point sur les missions de son entreprises. Vigitrust fait aujourd’hui de la mise en conformité via l’e-learning avec plus d’un millions d’utilisateurs dont 400.000 en PCI DSS. La société propose aussi des plateformes de mise en conformité pour les petites entreprises marchandes. Cette plateforme s’intègre avec Qualys et d’autres éditeurs de gestion des vulnérabilités. Elle a mis en place aussi une plateforme de GRC et un framework des 5 piliers de la sécurité : sécurité physiques, sécurité des personnes, des données, de l’IT, de la crise. Vigitrust a un partenariat avec Verizon qui assure pour sa part l’audit de conformité PCI DSS en tant que QSA.

Aujourd’hui, la présence de données de paiements met l’entreprise en danger. Il est donc important pour un marchand de contrôler cette information. En effet, les amendes encourus en cas de manquement sont d’environ 25 euros par numéro de carte corrompu. Il a annoncé le lancement d’une nouvelle norme en octobre prochain. Toutefois, cette nouvelle version ne contient pas de changement profond avec la nouvelle version si ce n’est des guides supplémentaires pour le Cloud et les paiements mobiles.

les années 2011/2012 ont montré que les entreprises américaines sont toujours les plus conformes mais l’Europe avance à grand pas. Il y a un focus spécifique sur des secteurs verticaux en particulier avec des attaques spécifiques sur le monde hôtelier, mais aussi au niveau des casinos en particuliers à Gibraltar.
Depuis 2010, il y a beaucoup de nouveaux QSA depuis 2010 dans le monde en particulier au Etats-Unis et en Grande-Bretagne ce qui conduit à une guerre des prix mais dans le même temps à une qualité de service réduite. En France, il y a très peu de QSA par rapport à la taille du marché avec seulement 8 acteurs parmi lesquels Verizon. Il a noté que malgré la mise en conformité validé par certains QSA, des vols de numéros de cartes n’ont pu être empêchés. Les QSA se focalisent de plus en plus sur les politiques et les procédures. Il a rappelé que le CLUSIF a publié un livre blanc sur la mise en conformité PCI DSS qui doit être remis à jour. L’ISSA a travaillé aussi dessus de même que les banques qui forment leur marchand et la CNIL. Actuellement, VISA met la pression sur les marchands afin qu’ils se mettent en conformité.

Un ROI de PCI DSS est envisageable... ?

Puis, Gabriel Leperlier, responsable de l’activité PCI DSS en France de Verizon a présenté une approche PCI DSS par les coûts. En effet, PCI DSS est vu comme un centre de coûts. Toutefois, il est important plutôt que d’investir beaucoup d’argent, bien faire les choses dès le départ.

La démarche commence par toujours par la nécessité de procéder à un investissement en matériel avec éventuellement des pare feux, des IPS IDS, des systèmes de log management, des scanners de vulnérabilités. Les entreprises doivent acheter aussi des prestations de services pour intégrer ces matériels, mais aussi rédiger des politiques de sécurité, et procéder à la formation des collaborateurs. Il est aussi nécessaire mettre en place d’une équipe projet, puis d’une équipe de production mais aussi une équipe pour le maintien à niveau de la norme. La mise en place de PCI DSS doit être gérée comme tout projet c’est à dire : définition du périmètre, puis recherche d’axes de réduction du périmètre avec le cloisonnement, l’utilisation du chiffrement... Selon Gabriel Leperlier, le nombre d’entreprise conforme dés le départ du processus serait de l’ordre de 10 à 11%. Après cette première phase, une remédiation est nécessaire. Puis un nouvel audit est réalisé qui en général montre encore des écarts qui peuvent être réduit en quelques mois pour arriver enfin à la certification. Pour réduire le temps de mise en conformité, il propose naturellement de faire appel en avance de phase à un QSA et de faire de la remédiation accompagnée.

Pour qu’un projet se déroule dans de bonnes conditions, il faut que les équipes deviennent les premiers sponsors de la norme, puis les métiers doivent soutenir le projet. Enfin, les RSSI qui ont en charge les relations avec les QSA leur en en demandent toujours plus pour améliorer encore les processus. Selon lui, PCI DSS peut permette d’étendre son périmètre par exemple à la protection des donnes sensibles. En fait, PCI doit être vu comme un moyen de bien faire les choses, plutôt qu’un système où l’on doit sans cesse investir dans de nouveaux matériels. De ce fait, PCI DSS doit permette de faire mûrir le SI et protéger au mieux vos données. Elle peut être aussi un tremplin pour aller chercher d’autres conformités comme l’ISO 27001. Enfin, cela peut permettre d’améliorer la visibilité de l’entreprise.

Les PME de plus en plus par les pirates informatiques

Nicolas Vilatte EMEA Labs Manager Risk Team de Verizon a présenté les grandes lignes du Data Breach produit tous les ans par son entreprise depuis 6 ans déjà. Il a rappelé que ce rapport est constitué uniquement de véritables incidents de sécurité avérés. Cette année le périmètre s’est élargi aidés par les CERT mais par les données d’entreprises privées. Son but est d’aider les entreprises dans la mise en place d’une politique de sécurité par la vision du Risk Management. Le rapport de cette année montre : que toutes les entreprises sont concernées par les attaques quelques soit le secteur d’activité. Il semble que les PME sont plus visées que les grandes car elles sont moins protégées. Les tactiques des pirates informatiques sont nombreuses, variées et incessantes. Les attaques qui ont concerné les acteurs affiliés à un état sont à l’origine de 19% des attaques. Les cibles ne sont pas systématiquement les organismes gouvernementaux ou les entreprises du secteur de la défense. Les grandes entreprises peuvent être impactées via leurs fournisseurs et leurs prestataires. Si on constate que l’hacktivisme persiste de même que l’espionnage, les attaques les plus virulentes concernent le vol de cartes et de données personnelles avec comme motivation principales les gains. Bien sûr, les tactiques sont toujours les mêmes avec l’utilisation du DDoS pour les hacktivistes et les attaques en phishing et autres méthodes plus ou moins silencieuses pour les autres attaquants. Par ailleurs, le rançonnage reste toujours très utilisé. Les maillons faibles n’ont pas beaucoup changé : les ordinateurs de bureaux, les serveurs de fichiers, les ordinateurs portables et les outils de stockages de données. 14% des attaques proviendraient de l’interne. La compromission est généralement très rapide par contre la détection est très lente de même pour la remédiation.

PCI DSS : une politique de stockage et d’archivage doit être mise en place

En seconde partie de cette journée, Jean-Marc Rietsch, président de FedISA a donné sa vision de la dématique, du stockage et de l’archivage en regard de PCI DSS. Il a en préambule fait un rappel sur le cycle de vie de l’information dans le monde numérique. Il a montré qu’il y a une évolution naturelle entre ILM, stockage et archivage vers la dématique. Pour lui, la fonction principale de l’archivage, outre la conservation intègre, est de pouvoir retrouver des données facilement. Par contre, doit-on encore parler d’archivage, ne vaut-il pas mieux parler de pérennité des données qui inclut un critère sécuritaire. Bien sûr, l’archivage numérique ne peut pas se faire sans contrainte qui sont à la fois techniques, légales et sécuritaires.

Au niveau technique, Jean-Marc Rietsch a fait référence au problème d’intelligibilité, des supports et de la migration des données et des formats logiques pour pouvoir conserver les données dans le temps. Enfin, la signature électronique pouvant être remis en cause, il faut s’assurer de la qualité du fournisseur. Il a fait une allusion aux supports de stockage en partant du quartz en allant jusqu´au stockage sur l’ADN.

Pour ce qui concerne les contraintes légales, il a rappelé que le juge seul décide de sa recevabilité. Il a aussi évoqué les grands principes de sécurité en ce domaine et de conservation des données dans le temps. Il a souligné qu’un document n’existe pas seul, il est relié à des métadonnées. Bien entendu, tout archivage numérique nécessité la mise en place d’une stratégie avec une couche métier, gouvernance... Dans ce cadre, il a mis en évidence l’intérêt de la certification qui représente le niveau de preuve le plus élevé à présenter a un juge mais qui a aussi une portée internationale.

Par rapport à PCI DSS, la politique d’archivage est bien défini avec les données stockées, les délais et conditions de conservation. Toutefois, il a insisté sur le fait qu’il ne faut conserver aucune donnée d’authentification. Dans tous les cas, il faut les supprimer y compris sur les Back-Up. Il faut aussi masquer l’affichage les rendre illisibles au niveau du stockage via l’utilisation du chiffrement. Il faut donc mettre en place une véritable gouvernance du stockage et de l’archivage en mettant en œuvre les meilleures pratiques en ce domaine.

PCI DSS n’existe pas dans le droit français…mais peut être reconnu comme un standard de l’état de l’art

Isabelle Renard du Cabinet Racine a évoqué les enjeux juridiques de PCI DSS. Elle a rappelé, que PCI DSS n’est pas appréhende par le droit français. En effet, c’est un standard de fait auto proclamé par une organisation américaine. Toutefois, ce standard a été imposé par VISA. Toutefois, il est reconnu de fait car le Droit reconnaît l’état de l’art. Ainsi, les conséquences d’un dommage cause par une faille de sécurité pourraient être atténuées si l’acteur concerné est conforme au standard PCI DSS. Cependant, la limite de l’exercice vient du cas AZF car la conformité ne doit pas empêcher de prendre les mesures nécessaires même si elles vont au delà des préconisations de la norme. Le cadre juridique applicable est la Loi Informatique et Liberté, la recommandation de la CNIL et le futur règlement européen sur la protection des personnes physiques à l’égard du traitement des donnes personnelles. Si il n’y a pas de loi, ni d’allusion par la CNIL la concernant, mais le respect de la norme est un des éléments de protection des données à caractères personnelles. Il est clair que la déclaration à la CNIL des informations à caractères personnelles est une obligation (cf. article 34). Cet article donne entre autre une notion de proportionnalité par rapport au risque. La violation de cet article est puni au pénal de 5 ans de prison et 300.000 euros d’amende. Les dernières recommandations de la CNIL datent de 2003 avec en premier lieu, le fait d’utiliser uniquement pour les paiements en lignes que des technologies conforme à l’état de l’art. Sans compter la notion de conservation des données de cartes et d’utilisation uniquement pour la transaction. La CNIL impose un cryptage irréversible des données. Aujourd’hui la CNIL met un accent particulier sur la conservation des données de cartes dans le temps. En outre, les traitements de type « profiler » des comportements des utilisateurs sont sujets à l’autorisation de la CNIL.

Pour Isabelle Renard, certaines recommandations de la CNIL sont vieillissantes par rapport à l’évolution des technologies avec certaines d’entres elles qui ne sont pas applicables dans la vie quotidienne. En conclusion, pour Isabelle Renard l’utilisation de PCI DSS est un must mais n’est pas suffisant pour être en conformité avec la législation française. Pour elle, dans le cadre de la nouvelle réglementation européenne la position de la France en matière de certaines sanctions et de certains réglementations liées à la protection des données personnelles ne seront pas tenables et devront donc être modifiées.

Quelques bonnes pratiques d’implémentation de PCI DSS

En conclusion, Mathieu Gorge a proposé un résumé des meilleures pratiques en matière d’implantation du PCI DSS. Selon, lui la règle d’or de ce standard est la traçabilité des données de çartes dans le SI en partant de sa récupération jusqu’à leur destruction. Il propose de mettre en place un écosystèmes diagramme qui permet à un auditeur ou a un membre de la CNIL de visualiser tous les flux de données d’un endroit a un autre du SI. Cela permet de montrer que l’on peut contrôler les données afin d’être en conformiste mais évidemment ne met pas en sécurité l’entreprise. Vigitrust recommande la création de 13 documents qui commence par l’analyse des flux pour finir par le management des politique ms e sécurité en passant par l’acquisition de solutions de sécurité, la gestion de crise, les politiques de management de logs, la conservation êtes données, la gestion des vulnérabilités incluant aussi le test de vulnérabilités automatisées et via des équipes spécialisées... Concernant l’as frameworks de GRC il propose une démarche en 5 étapes qui vont de la formation en parti lier via le e-learning. Jusqu’à l’audit final par un QSA. Bien sur, ce processus doit être fait en continu pour pouvoir rater conforme dans le temps. Il a aussi donné 5 conseils pour travailler avec un QSA :

 La formation
 Le pré-assement avec un auto-audit pour déterminer son niveau e sécurité.
 Une phase de remédiation
 Une phase de certification
 Un audit continu

Selon Mathieu Gorge un même QSA peut être utilisé à chaque étape mais pas avec les mêmes personnes. Pour lui, l’équipe au sein de l’entreprise doit être forme autour du RSSI, avec la direction, mais aussi les métiers, la formation, les opérations... Enfin, il estime que PCI DSS et ISO 27001 se complète l’un venant compenser les faiblesses et les rigidités de l’autre. Au final, il a reconnu que le processus de certification est pénible et coûteux. Par contre, il permet de moderniser la stratégie de sécurité de l’entreprise et offre sur le long terme un retour sur investissement.


Voir les articles précédents

    

Voir les articles suivants