Actu
CyberArk : Mise à jour de la version 3.0 de la norme PCI DSS, focus sur la sécurisation des mots de passe
novembre 2013 par Cyber-Ark
Le Conseil des normes de sécurité PCI (PCI Security Standards Council) a annoncé la mise à jour de la norme PCI DSS spécialement conçue pour ?accompagner les organisations dans la sensibilisation des porteurs de cartes en mettant l’accent sur la sécurisation de leurs données plutôt que les problématiques de conformité.?
Dans ce cadre, le manque de vigilance concernant la sécurisation des mots de passe est considéré comme crucial pour la conduite du changement. La mise à jour de la norme PCI DSS insiste sur l’importance de changer les mots de passe établis par défaut pour les comptes de service et les applications, ainsi que ceux des comptes utilisateurs afin de combler les lacunes observées dans les pratiques de sécurité à l’origine de failles.
Olivier Mélis, Country Manager de CyberArk en France, a fait les commentaires suivants :
« Il est extrêmement encourageant que la dernière version de la norme PCI DSS ne se concentre plus uniquement sur les problématiques de conformité et s’ouvre à présent aux bonnes pratiques de sécurité. Alors que nous continuons d’assister à des attaques majeures sur les certificats et mots de passe de comptes à privilèges, c’est une excellente chose que cette mise à jour adresse enfin cette partie essentielle du problème.
Les changements annoncés sur la révision des mots de passe devraient inclure, selon le Conseil, un guide pour aider les utilisateurs à ?choisir des mots de passe forts, à protéger les certificats, à changer les mots de passe qui seraient compromis ?. Bien qu’il s’agisse indéniablement d’un premier pas dans la bonne direction, je pense que nous devons aller plus loin afin de protéger de manière adéquate ces comptes à privilèges extrêmement sensibles. Au lieu d’attendre une activité suspecte pour agir, les organisations devraient s’armer de la meilleure défense possible à travers la mise en place d’une politique de sécurisation des comptes à privilèges centralisée en amont. Cela permettrait ainsi aux entreprises de déterminer le rythme de renouvellement des mots de passe dont la mise en place, la gestion et la surveillance seraient simplifiées grâce à une interface unique.
D’une part, la simplification des processus de gestion des mots de passe et le fait de rendre le contrôle aux équipes de sécurité, de risque et d’audit, permet aux entreprises de s’aligner sur cette nouvelle mise à jour. D’autre part, cela leur facilite le renforcement de la sécurisation des paiements. »
