Vu de l’extérieur, la sécurité peut apparaître comme une secte avec son langage propre, ses us et coutumes, etc … En fait, c’en est une, et je suis un de ses grands maîtres auto-proclamé. Le but de cette rubrique est de vous apprendre, vous jeunes disciples, les arcanes et les normes qui régissent cette secte. J’attends de vous une totale obéissance pendant l’enseignement. Votre formation sera courte, d’environ 10 ans, après vous aurez le status d’apprenti, puis après 5 ans, vous pourrez prétendre au titre de membre. Et si vous êtes exceptionnels 10 ans après, vous pourrez peut être, postuler pour le titre suprême.
Commençons votre formation aujourd’hui par PCI DSS, tout le monde en parle, on peut même parler d’un vrai « buzz ».
PCI DSS veut dire Payment Card Industry Data Security Standard. Comme son nom l’indique, ce recueil de bonnes pratiques est soutenu par American Express, Visa, Mastercard. Ce sont des résolutions relativement pragmatiques même si pour la plupart des entreprises, il sera difficile de les mettre en œuvre à 100%.
PCI DSS consiste en 12 chantiers :
- Installation et maintenance d’un firewall pour la protection des données
- Pas d’utilisation de mots de passe par défaut sur les équipements, et logiciels
- Protection des données stockées
- Toute transmission contenant des données bancaires sur des réseaux publics doit être chiffrée
- Utilisation d’antivirus à jour
- Application des correctifs de sécurité
- Accès des données restreint
- Identifiant unique par utilisateur. Pas de login générique
- Restriction d’accès physique au serveurs contenant des donnés bancaire
- Surveillance et archivage des événements d’accès aux données (tracabilité)
- Processus d’audit continu
- Politique de sécurité réellement appliquée, et expliquer à tous les collaborateurs
Comme nous le voyons, nous ne sommes pas très loin de la norme ISO 27001 sur les points 10, 11, 12 soit : la sécurité des communications et de la gestion des opérations, le contrôle d'accès et l'acquisition, le développement et la maintenance de systèmes d'information. Nous ne ferons pas de commentaires sur ces 12 points aujourd’hui, il faudra attendre votre admission en troisième année. Mais sachez que ces 12 thèmes, peuvent être résumés à 6 grandes thématiques :
- Mise en place et gestion d'un réseau sécurisé
- Protection des données des titulaires de carte
- Mise en place d'un programme de gestion des vulnérabilités
- Mise en œuvre de mesures de contrôle d'accès efficaces
- Surveillance continue et tests des réseaux à une fréquence régulière
- Établissement d'une politique en matière de sécurité de l'information
Comme vous le voyez, mes chers disciples, PCI DSS est une norme qui sera longue et coûteuse à mettre en place, à moins que le SI carte bancaire soit dissocié du SI de l’entreprise, mais ne rêvons pas, le chemin sera dur. Comme toute norme, elle a le mérite d’exister, et aussi celui d’être imparfaite, notamment, en ce qui concerne la sécurité des applications qui n’est absolument pas traité par PCI DSS, et c’est dommage car la sécurité applicative est de loin la première brique à mettre en place avant tout autre recommandation. Ceci devrait être la première brique à toute sécurité du monde e-commerce en général, mais là aussi ne rêvons pas trop, lorsque les applications seront correctement sécurisées, il n’y aura presque plus de problème de sécurité, et ce n’est pas demain la veille. Heureusement pour ces entreprises, il existe aussi un guide bonnes pratiques PCI, tel que par exemple ne pas stocker le numéro de la carte et son code pin associé, le numéro de carte de crédit doit être chiffré que que soit le réseau utilisé, ne pas faire chiffrer/déchiffrer par le serveur frontal… D’autres recueils de bonnes pratiques essaient, type l’OWASP (http://www.owasp.org). Et il n’est pas exclu que la nouvelle version de PCI DSS à paraître avant la fin de l’année fasse un pas dans ce sens.
Lien vers le site du standard :
https://www.pcisecuritystandards.org/
Voir les points de contrôle :
https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm
_