Luc Delpha et Yann Piederriere

Après le message de bienvenue de Luc Delpha, directeur de l’offre sécurité de BT, Yann Piederriere a dressé un état des lieux de l’évolution de PCI-DSS. Aujourd’hui, au Etats-Unis 91% des entreprises de niveau 1 (entreprises faisant plus 6 millions de transactions par an) sont conformes au PCI-DSS. Pour les entreprises non-conformes dans ce pays, les amendes comprises entre 5.000 et 25.000$/mois commenceraient à tomber En Europe, les échéances sont fixées entre le 1er juillet dans certains cas (commerçants de niveau 1) et le début 2010. En France, si les acteurs du monde bancaires ont clairement soutenu ce « standard » ils n’en font pas encore une obligation. Toutefois, leurs nouvelles clauses contractuelles en font mention.

Ces nouvelles clauses contiennent 3 volets :

– l’acquéreur (banquier) est responsable de la conformité de ses systèmes, de ses marchands (commerçants) et de ses fournisseurs,
– il doit faire des actions d’authentification de leurs systèmes d’acquéreur,
– il doit organiser le reporting par les marques des marchands et des fournisseurs de services.

Comment mener un projet PCI DSS en temps de crise ?

Ce type de projet est très coûteux. Il est compris entre 2,7 M$ pour un niveau 1, 1,2 M$ pour un niveau 2 et 155K$ pour un niveau 3 (site de e-commerce). Ces budgets concernent l’investissement initial, il faut leur rajouter les coûts récurrents d’audits. Il peut être mené entre 1 – 3 mois jusqu’à 18 mois suivant l’infrastructure. En France, il est certain que toutes les entreprises ne seront pas certifiées à la fin 2009. Il faut donc s’attendre à ce qu’elles subissent des pénalités. Toutefois, selon Yann Piederriere, des négociations avec les banquiers sont envisageables pour faire diminuer leurs montants. En particulier, elles devront montrer leur « bonne volonté » en entamant des actions de sécurisation comme par exemple le cloisonnement et/ou la réduction du périmètre avec le déploiement d’un firewall statefull, du chiffrement… Des actions de désensibilisation des données de type PAN (numéros de cartes…) sont aussi indiqués.

Actuellement, Visa a publié sur son site un guide gratuit des 6 actions à mener pour obtenir le « standard » :

– Ne pas conserver els PAN
– positionner un firewall, ne pas laisser les mots de passe par défaut sur les matériels de sécurité, durcir le Wi-Fi, mettre des anti-virus,…
– déployer un IDS
– durcir les équipements et les applications
– chiffrer les PAN et mettre en œuvre de produits de sécurité physique (caméra…)
– documenter les procédures et procéder à des audits de sécurité.

Yann Piederriere estime que passer au PCI-DSS permet au RSSI de bénéficier de budget de sécurité qui leur permettre de renforcer la sécurité globale de leur entreprise.