Conformité PCI-DSS : vers une approche unifiée

Les cyberattaques se multiplient. Qu'il s'agisse de dérober des secrets industriels et des données personnelles ou bancaires. L'ampleur des pertes potentielles est telle qu'il convient d'adopter des processus structurant en matière de sécurité informatique.

Les principaux intéressés de l’écosystème des paiements par carte ont défini une norme qui s’est avérée être très efficace (bien que faillible) pour protéger les données de ces infractions. Au cours des cinq dernières années, le cadre de la norme PCI-DSS a évolué passant de directives sans sanctions exécutoires à une certification ‘obligatoire’ pour toute entreprise qui manipule, stocke ou transmet des données relatives aux utilisateurs de cartes bancaires.
Pour atteindre son objectif visant à protéger les données des titulaires de cartes
, le PCI-DSS s’étend à la plupart des disciplines et compétences IT, à savoir le réseau, les bases de données, les applications web, les systèmes de fichiers, le chiffrement et autres opérations essentielles de sécurité, telles que la gestion des vulnérabilités et des configurations. Ceci a conduit à un coût global de la mise en conformité extrêmement élevé, mettant en cause l’applicabilité de la norme en termes de risques par rapport aux coûts.
En début d’année, l’Institut Ponemon a mené une étude aux Etats-Unis sur les coûts réels de la conformité auprès de 160 entreprises, dont 46 de taille internationale. Le résultat de cette étude a montré que, pour les moyennes entreprises, le coût total de la conformité aux normes telles que PCI-DSS, SoX, HIPAA et autres, pèserait aux environs de 3.5 millions de dollars, tandis que les conséquences de la non-conformité ont été estimées à 9.4 millions de dollars. Bien que ces chiffres illustrent un avantage non négligeable en termes d’investissement, les risques financiers demeurent trop importants par rapport aux risques opérationnels auxquels sont exposés la majorité des organisations soumises au PCI-DSS.
Alors, quelles
stratégies peuvent être employées pour réduire la complexité et le coût d’une mise en conformité PCI ? Quelles sont les priorités à considérer pour une mise en œuvre de la norme?
La norme PCI-DSS est multi-disciplinaire et pour s’y conformer pleinement, il est essentiel d’adopter une approche globale unifiée permettant d’aborder l’ensemble des 12 exigences avant de se concentrer sur la résolution de chaque élément individuel. Les disciplines IT à considérer sont: le réseau fixe et sans fil; les données et bases de données; les actifs informatiques/terminaux; et les applications web.

1. Réseau Fixe
Dans ce domaine, l’exigence PCI élémentaire couvre la ségrégation contrôlée du réseau, les flux de trafic entrant/sortant et l’implémentation DMZ. Les fonctions spécifiques sont: une protection antivirus périmétrique, le support des liaisons IPSec/VPN, la prévention et détection des intrusions, l’utilisation du chiffrement fort (SSL/IPSec), l’existence de paramètres par défaut ‘deny-all’, le support des certificats numériques et l’authentification à double facteurs des utilisateurs, le suivi des événements de sécurité, la gestion et le log unifiés des systèmes, ainsi que le support des analyses de vulnérabilités du réseau. L’ensemble de ces services ne peuvent pas être fournis par un pare-feu traditionnel, même un pare-feu nouvelle génération. La seule façon rentable d’accéder à tous ces services en évitant le déploiement de multiples systèmes est d’utiliser l’UTM (Unified Threat Management). Une solution UTM aide les organisations à couvrir toutes les exigences PCI du réseau fixe avec une plus grande efficacité ainsi que des coûts d’implémentation et d’exploitation minimisés.

2. Réseau Sans-Fil
Le réseau sans-fil est soumis aux mêmes contraintes que le réseau fixe mais il doit également fournir d’autres fonctions clés comme : 1) le support à la fois de solutions de points d’accès (PA) ‘intégrés’ (thick en anglais) et ‘légers’ (thin) pouvant fonctionner dans un cadre de gestion transparent, 2) la détection de points d’accès non-autoris
és, 3)le support et logging de l’IDS/IPS sans-fil, 4) le support des modes WPA ou WPA2 Entreprise avec une authentification 802.1X et un chiffrement AES. En pratique, la meilleure approche pour des déploiements importants est de minimiser l’installation de PA intégrés, qui contiennent un contrôleur IPS sans-fil, etc., et de favoriser le déploiement de points d’accès légers, qui sont beaucoup plus faciles à gérer. Les PA légers dirigent le trafic sans-fil vers des contrôleurs par tunnel ce qui permet d’importantes économies d’échelle et une gestion de sécurité simplifiée via une console unique pour une meilleure visibilité et mise en application des règles.

3. Actifs IT  / Terminaux
Les actifs IT incluent les serveurs, les ordinateurs de bureau, les ordinateurs portables, les systèmes d'exploitation, les appareils mobiles et équipements réseaux. L'objectif principal est de s'assurer que tous les actifs qui constituent l'environnement des données des titulaires de cartes bancaires soient soumis aux opérations fondamentales de gestion de sécurité. Afin d'avoir l'approche la plus efficace répondant aux exigences PCI-DSS pour un coût et une complexité réduits, il est important d'évaluer la gestion des technologies et contrôles de sécurité des terminaux déployés.
Les 5 éléments principaux à vérifier sont:
a) la capacité de gestion des vulnérabilités des actifs pour s'assurer que tous les systèmes d'exploitation sont mis à jour à la dernière version disponible et pour évaluer les vulnérabilités spécifiques aux configurations;
b) la capacité de gestion de configuration selon les meilleurs pratiques (telles le NIST, FDCC) en matière de déploiement des plateformes de système d'exploitation; c) le contrôle des politiques appliquées aux terminaux permettant la mise sur liste noire / liste blanche des logiciels, opérations, systèmes, drivers, listes d'accès etc; d) la présence d'un correctif automatique des problèmes de configuration et d'audit pour plus de rentabilité;
e) le déploiement d'antivirus sur les appareils clients/mobiles, de préférence gérés de manière centralisée.

4. Les données & bases de données
Il est impossible de se conformer au PCI DSS sans implémenter une solution de sécurité des bases de données pour se protéger contre la perte de données ou la fraude. Qu’il s’agisse d’une erreur ou d’une intention délibérée de nuire, la perte de données peut avoir de conséquences graves.
Afin de répondre à la conformité PCI-DSS, une solution de sécurité des bases de données doit inclure :
a) l’évaluation des vulnérabilités et tests de pénétration spécifiques aux bases de données ; 
b) la gestion de configuration pour l’évaluation contre les meilleures pratiques mondiales et/ou les propres normes de sécurité des données de l’organisation;
c) l’évaluation du contrôle d’accès à la fois au niveau de la base de données et des applications;
d) la surveillance en temps-réel des utilisateurs des bases de données et leurs activités à la fois sur les bases de données et les données des titulaires critiques. Afin de simplifier la création et l’application des politiques de sécurité des données qui répondront à la conformité PCI-DSS, il est important de rechercher une solution de sécurité des bases de données centralisée qui offre toutes les fonctionnalités ci-dessus dans un seul appareil. Des solutions améliorées sont dotées de fonctionnalités telles que la découverte des bases de données automatiques et la découverte de données confidentielles.
D’autres fonctions sont souhaitables telles que les politiques prêtes à l’emploi qui couvrent les exigences standards de l’industrie et du gouvernement, qui, lorsqu’elles sont combinées à un ensemble complet de rapports graphiques offrent une utilisation prête à l’emploi et une valeur immédiate à la conformité PCI-DSS.

5. Les applications Web
Comme les applications web sont particulièrement exposées au monde extérieur, la norme PCI-DSS s’adressent à elles en détail dans l’exigence 6.6. Il existe deux méthodes pour qu’une entreprise soit conforme au PCI DSS: a) effectuer des tests de code annuels ou b) déployer un pare-feu applicatif Web. Bien que les tests de code soient essentiellement réalisés en situation, une économie de coûts significative peut être faite par l’implémentation d’un pare-feu applicatif Web.
Les fonctions clés qui devraient être inclues dans une telle solution sont : a) assistance avec des conseils de sécurité Web OWASP, la protection des vulnérabilité cross-site scripting (XSS) et cross site request forgery (CSRF);
b) support pour les DoS, les attaques de type buffer overflow (débordement de mémoire) à la fois au niveau HTML et HTTP;
c) le contrôle des accès et l’authentification des utilisateurs des applications web; d) la surveillance et la gestion des événements d’erreur;
e) l’incorporation des capacités de scans des vulnérabilités des applications web pour des scans internes réguliers.

La nature multi-disciplinaire du PCI-DSS crée une complexité et, par conséquent, les organisations n’ont pas d’autres choix que de déployer une combinaison de dispositifs de sécurité pour répondre pleinement aux exigences de la norme. Il est essentiel d’adopter une approche consolidée pour améliorer les performances, la sécurité et réduire les coûts.
En fait, en utilisant différentes
solutions de fournisseurs, il en résulte un large éventail de produits et de services disparates, ayant pour conséquence une complexité (en termes de support, de maintenance, de formation, etc.) et un coût total de possession vertigineux. En minimisant le nombre de fournisseurs, à un seul si possible, est la seule façon de réduire considérablement les Opex et Capex tout en supprimant la complexité de l’implémentation et de la gestion. Une plate-forme commune fournie par un seul fournisseur permettra également aux organisations d’améliorer leur sécurité, couverture et visibilité pour une baisse globale du risque d’échec du projet PCI.

Autour du même sujet