La nouvelle norme PCI DSS 3.0 sur les paiements par carte invite les détaillants à se protéger

La nouvelle réglementation appelle à réexaminer les conditions de la collaboration entre les sociétés d'e-commerce et les prestataires extérieurs ou partenaires qui ont accès à leurs réseaux.

La nouvelle norme PCI DSS 3.0 est en vigueur depuis janvier 2015. Toutes les sociétés amenées à traiter les informations de paiements par carte sont invitées à réfléchir aux moyens et aux mesures de sécurité à appliquer pour se maintenir en conformité. Mais surtout, ces nouvelles réglementations appellent à réexaminer les conditions de la collaboration entre les sociétés d'e-commerce et les prestataires extérieurs ou partenaires qui ont accès à leurs réseaux.

Cette évolution de la réglementation s’inscrit dans le contexte des attaques récentes de sociétés comme Target, où les cybercriminels ont abusé de failles liées aux autorisations d’accès distant au réseau de fournisseurs des enseignes et partenaires extérieurs. La nouvelle norme PCI DSS 3.0 prévoit la clarification des responsabilités des uns et des autres.

En effet, si tous les prestataires de services IT des enseignes de distribution ont leur part de responsabilité vis-à-vis des règles de sécurité, c’est au détaillant que revient la responsabilité ultime, plus qu’à ses fournisseurs de services. Cela peut sembler évident, pourtant ce point mérite d’être clarifié en raison du niveau de complexité de l’informatique d’entreprise et de la part croissante des acteurs de la distribution qui ont recours à l’externalisation. En cas de violation de données, les banques vont sanctionner le détaillant, même si c’est un prestataire de services d’externalisation qui est responsable de l’infrastructure IT. Il est donc crucial que les détaillants prennent conscience des activités sur le réseau qui les exposent à des risques, et de la nécessité de sécuriser tous les accès à distance à leurs systèmes.

Les violations de données se produisent quand l’organisation victime fait preuve de négligence dans ses contrôles d’accès des tiers. D’après les rapports de l’Online Trust Alliance, près de 40% des violations ayant occasionné la perte de données sont le fruit d’intrusions de l’extérieur et le rapport 2013 Trustwave Global Security Report indique que des tiers sont impliqués dans 63 % des cas de violation de données. Pour se maintenir en conformité avec la norme PCI DSS, les détaillants doivent absolument se protéger des risques d’attaques par l’entremise de partenaires de confiance.

Mais l’accès à distance est en soi une technologie essentielle au fonctionnement de bon nombre de ces grandes enseignes. Sans elle, il devient quasiment impossible de travailler avec des environnements IT distribués, ce qui complique la prestation des services attendus par les clients. Il existe quantité de choix envisageables pour autoriser l’accès distant aux réseaux, mais la sécurité et l’administration de ces outils manquent encore souvent de maturité : l’accès est grandement facilité pour que l’utilisateur s’y retrouve, mais ce confort vient compliquer le maintien en règle sur la durée.

Voici plusieurs recommandations pour favoriser la sécurité de chacun d’un bout à l’autre du processus et le respect des règles :

1) Attribuer à tous les utilisateurs (en interne et à l’extérieur) des combinaisons uniques d’identifiant et de mot de passe avant d’autoriser un quelconque accès à distance. Pour les outils de prise en main à distance pour entreprise, il faut vérifier qu’aucun compte de groupe n’est utilisé. Cette approche permet à l’IT de garder un œil sur les activités de chaque utilisateur sur le réseau, de savoir quelles sont les données et applications utilisées à distance et de vérifier que tous observent bien les réglementations en vigueur.

2) Changer les mots de passe au moins tous les 90 jours. Respecter les meilleures pratiques de gestion des mots de passe peut aider à limiter certains risques. Il s’agit, par exemple, d’interdire les noms communs qui figurent dans le dictionnaire et de préconiser l’ajout de caractères spéciaux en plus des chiffres et des lettres traditionnels.

L’instauration de l’authentification bifactorielle pour les accès à distance permet aussi de limiter les risques de vol, perte ou déduction des identifiants d’accès. Ainsi, même en cas d’infraction et de vol de données au niveau d’un tiers ou d’un fournisseur de services d’externalisation, les cybercriminels ne pourront pas se servir des identifiants dérobés pour s’infiltrer sur le réseau du détaillant.

3) Ne pas négliger l’importance de la sécurité sur le point de vente car tout terminal sur le point de vente par lequel transitent des données devient naturellement une cible potentielle pour les hackers. Il s’agit donc de limiter les accès à distance aux seuls terminaux point-de-vente pour lesquels c’est justifié. Si un détaillant fait appel aux services de support technique de tiers, il est bon de placer les terminaux point-de-vente sous leur responsabilité également.

Il peut être judicieux d’alterner avec d’autres ports ceux attribués par défaut à l’accès à distance, mais aussi d’enregistrer toutes les activités effectuées à distance de façon à pouvoir rechercher les anomalies ou comportements inhabituels. Mieux vaut également que le détaillant reste le prescripteur de la technologie d’accès à distance utilisée lors d’une session, plutôt que de laisser le tiers libre d’utiliser les outils de son choix, qui peuvent s’avérer obsolètes ou qui exploitent les vulnérabilités du pare-feu pour obtenir l’accès.

4) Organiser une surveillance constante et programmer des audits pour assurer le maintien de la conformité. Un détaillant qui délègue à un fournisseur tiers l’entière responsabilité du fonctionnement quotidien de ses réseaux IT doit prévoir d’opérer régulièrement des contrôles aléatoires réalisés par ses propres effectifs. Cela suppose de vérifier que toutes les activités se font dans le respect des règles autorisées et qu’il est possible de remonter systématiquement à l’individu qui engage sa responsabilité.

Un point important à souligner ici : cette approche de la conformité doit permettre au détaillant de vérifier qu’il peut effectivement faire confiance aux fournisseurs tiers pour les prestations qui sont couvertes par un contrat entre eux. L’équipe IT du détaillant doit en retirer une certaine sérénité !

La norme PCI DSS est un élément essentiel des obligations de conformité réglementaire imposées aux détaillants et professionnels de la distribution. Les changements qu’apporte cette mise à jour de la norme l’éloignent quelque peu du sentiment initial d’une conformité contraignante vécu par les professionnels pour se rapprocher davantage d’une invitation à observer les meilleures pratiques de sécurité au quotidien. Les détaillants doivent notamment comprendre qu’ils demeurent responsables de leur sécurité, même s’ils ne possèdent pas les technologies utilisées ou s’ils n’effectuent pas eux-mêmes les tâches quotidiennes.