Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Printemps des RSSI de BT : PCI-DSS, la fin du répit…

juin 2009 par Marc Jacob

Le Printemps des RSSI, l’événement annuel de BT a eu pour thème la norme PCI – DSS. Selon Yann Piederriere, QSA chez BT, les premières sanctions pour les entreprises non-conformes à cette obligation imposée par Visa, Mastercard… devraient tomber très prochainement. Durant, les débat qui ont suivi animé par Check Point, Imperva, Mc Afee, Primx Technologies, Passlogix et RSA Security, les RSSI ont pu discuter des solutions pour les aider devenir conforme au PCI-DSS.

Luc Delpha et Yann Piederriere

Après le message de bienvenue de Luc Delpha, directeur de l’offre sécurité de BT, Yann Piederriere a dressé un état des lieux de l’évolution de PCI-DSS. Aujourd’hui, au Etats-Unis 91% des entreprises de niveau 1 (entreprises faisant plus 6 millions de transactions par an) sont conformes au PCI-DSS. Pour les entreprises non-conformes dans ce pays, les amendes comprises entre 5.000 et 25.000$/mois commenceraient à tomber En Europe, les échéances sont fixées entre le 1er juillet dans certains cas (commerçants de niveau 1) et le début 2010. En France, si les acteurs du monde bancaires ont clairement soutenu ce « standard » ils n’en font pas encore une obligation. Toutefois, leurs nouvelles clauses contractuelles en font mention.

Ces nouvelles clauses contiennent 3 volets :

- l’acquéreur (banquier) est responsable de la conformité de ses systèmes, de ses marchands (commerçants) et de ses fournisseurs,
- il doit faire des actions d’authentification de leurs systèmes d’acquéreur,
- il doit organiser le reporting par les marques des marchands et des fournisseurs de services.

Comment mener un projet PCI DSS en temps de crise ?

Ce type de projet est très coûteux. Il est compris entre 2,7 M$ pour un niveau 1, 1,2 M$ pour un niveau 2 et 155K$ pour un niveau 3 (site de e-commerce). Ces budgets concernent l’investissement initial, il faut leur rajouter les coûts récurrents d’audits. Il peut être mené entre 1 – 3 mois jusqu’à 18 mois suivant l’infrastructure. En France, il est certain que toutes les entreprises ne seront pas certifiées à la fin 2009. Il faut donc s’attendre à ce qu’elles subissent des pénalités. Toutefois, selon Yann Piederriere, des négociations avec les banquiers sont envisageables pour faire diminuer leurs montants. En particulier, elles devront montrer leur « bonne volonté » en entamant des actions de sécurisation comme par exemple le cloisonnement et/ou la réduction du périmètre avec le déploiement d’un firewall statefull, du chiffrement… Des actions de désensibilisation des données de type PAN (numéros de cartes…) sont aussi indiqués.

Actuellement, Visa a publié sur son site un guide gratuit des 6 actions à mener pour obtenir le « standard » :

- Ne pas conserver els PAN
- positionner un firewall, ne pas laisser les mots de passe par défaut sur les matériels de sécurité, durcir le Wi-Fi, mettre des anti-virus,…
- déployer un IDS
- durcir les équipements et les applications
- chiffrer les PAN et mettre en œuvre de produits de sécurité physique (caméra…)
- documenter les procédures et procéder à des audits de sécurité.

Yann Piederriere estime que passer au PCI-DSS permet au RSSI de bénéficier de budget de sécurité qui leur permettre de renforcer la sécurité globale de leur entreprise.




Voir les articles précédents

    

Voir les articles suivants