Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Provadys : PCI-DSS, la maîtrise des coûts est possible

mars 2011 par Marc Jacob

Depuis quelques années, le standard PCI DSS a su faire parler de lui de par sa complexité ou encore ses enjeux. De nombreuses entreprises ont lancé des projets de mise en conformité. Pourtant, le sujet des coûts est resté fondamental et souvent un frein à leur mise en place. Provadys lors de cette journée a fait la démonstration que la maîtrise des coûts était possible.

Olivier Pantaleo

Après le message de bienvenue d’Olivier Pantaleo, Président de Provadys, a présenté son entreprise et son équipe. Il a rappelé entre autres que les experts Provadys sont certifiés PCI QSA. Son entreprise est organisme certifiant PCI-DSS référence par le GIE Carte Bancaire.

Luc Delpha

Luc Delpha, directeur de l’offre gestion des risques, a présenté son approche en matière d’optimisation des coûts. Pour lui, la mise en conformité PCI DSS n’est pas obligatoirement synonyme de dépenses inconsidérées. Il s’agit de mettre en œuvre une démarche de structuration des coûts dont l’objectif est évidemment de les réduire mais aussi de les anticiper. Il faut avoir une approche Investissement versus bénéfice qui doit être corrigée par la prise en considération des risques. En effet, il est souvent difficile de savoir a priori quel est le coût de la conformité à PCI-DSS. Il a tout de même expliqué que les coûts sont loin d’être négligeables. Par contre, les gains sont très dépendants des activités de chaque entreprise. Luc Delpha estime que le marché français est peu mature : il y a peu d’entreprises certifiées, peu d’acteurs de référence… ce qui induit des coûts de prestations peu fiables et des zones de « flou » sur les pénalités…

Dans ce contexte, Provadys propose une démarche pour appréhender les coûts de la conformité et les réduire. Le succès d’un tel projet repose sur une approche spécifique et une démarche de fond prenant en compte : réduction de périmètre, externalisation de fonctions sensibles, mise en place de solutions technologiques, pour des coûts pouvant être réduits jusqu’à 70% dans les cas les plus favorables.

La mise en conformité est à la fois un chantier technique, documentaire et organisationnel sans oublier, bien sûr, le maintien de la conformité dans le temps, car le SI évolue et les contraintes réglementaires évoluent. A ces coûts, il faut inclure les coûts de l’audit et la part des pénalités/amendes en regard au coût de la fraude.

L’objectif de cette méthode n’est pas seulement de réduire les coûts, mais aussi de les rendre prévisibles, d’identifier les leviers et de les comprendre pour les rendre mesurables. l faut donc maximiser les ratios entre Investissement et bénéfice. Dans la vision de Provadys, il faut rester dans la logique du traitement de risque jusqu’aux applications basiques de la gestion de risque. Il faut identifier et traiter systématiquement les risques. On devra, dans un premier temps, supprimer tous les risques qui peuvent l’être. Pour les autres, on ne prendra un risque que s’il y a un véritable intérêt. Enfin, il faut qualifier le risque résiduel et l’accepter, et transférer ceux qui peuvent l’être par exemple à une assurance.

Dans cette démarche, il ne faut pas séparer la mise en conformité et le maintien en conformité. Pour Luc Delpha, la certification n’est une fin, mais un début. La mise en conformité doit être vue comme un programme de transformation durable. Pour réduire les coûts, il faut d’une part réduire les chantiers de mise en conformité en réduisant le périmètre en procédant à l’optimisation technique qui passe par du chiffrement et de la Tokenization. Il faut aussi intégrer des processus métiers en automatisant les tâches récurrentes et en les optimisant.

Tokenization, chiffrement et DLP

Parmi les outils techniques présentés, il faut citer les outils proposés par RSA en matière de chiffrement, de Tokenization, de GRC et de DLP. Ainsi, RAS Data Protect Manager permet de faire du chiffrement dans les applications et de la Tokenization : capacité de changer un certain nombre de Digit sur le PAN tout en le laissant reconnaissable. L’offre de GRC de RSA provient de l’acquisition d’Archer.

La revue de code pour adopter les bons réflexes en matière de développement d’applications

Un client de Fortify a présenté sa vision de la mise en conformité PCI-DSS. Il a regretté que l’implication du management ne vienne qu’en dernière position de PCI-DSS. En effet, la direction a un rôle stratégique dans le lancement des projets puisqu’elle détient les « cordons de la bourse »… Pour lui, obtenir la conformité n’est pas impossible mais il faut éviter certains pièges et avoir les bons « réflexes » en matière de développement d’applications afin de pouvoir la maintenir dans le temps. Il a mis l’accent sur le développement d’applications en respectant les recommandations de l’OWASP ou celles d’autres organismes comme le BSIMM2, le MSDL (Microsoft), NIST800-64, SDLC ou encore le GISSI préconisé par l’ANSSI.

Il a rappelé que plus on trouve un problème dans une application tardivement, plus cela coûte cher. De plus, selon lui, 60% des bugs sont logés dans 10% des modules. Selon une étude de Ponemone Institute, une compromission coûte environ 204$, dont les ¾ sont liés à l’atteinte à l’image de l’entreprise. Ainsi, il a recommandé d’utiliser un outil de revue de comme Fortify 360. L’avantage avec cet outil est que la revue de code peut se passer la nuit. Le gain avec cet outil serait compris entre 5 et 10% en fonction du type d’application développée. L’intérêt est aussi la sensibilisation des équipes de développement à produire du code sécurisé.

Le Scan d’applications une obligation de PCI-DSS

En guise d’introduction, Christophe Bianco, EMEA Manager de Qualys, a rappelé que le scan réseaux et d’application est une obligation contenue dans les chapitre 6 et 11. Aujourd’hui, 130 sociétés sont dans l’ASV Directory du PCI Council au niveau mondial. Depuis septembre 2010, le PCI Council a effectué des changements dans le standard avec la nécessité d’apporter plus de commentaires dans les rapports, en particulier pour expliquer les faux positifs. Il a rappelé que le DDOS n’est pas dans le scope du standard. Il a présenté l’offre QualysGuard PCI. QualysGuard PCI est la solution de conformité à PCI utilisée par 68% des prestataires de services d’analyse agréé et 49% des évaluateurs de sécurité qualifiés (QSA) pour aider les commerçants dans leurs démarches de certification et de validation PCI DSS. QualysGuard PCI 5.0 rationalise ce processus grâce à une nouvelle interface utilisateur intuitive à base d’assistant qui aide à remplir le questionnaire d’auto-évaluation intégré (SAQ), à effectuer des analyses de conformité, à remédier les vulnérabilités réseau et des applications Web et à renseigner la preuve de conformité pour la soumettre en ligne aux banques acquéreuses.


Voir les articles précédents

    

Voir les articles suivants