Conformité PCI-DSS : vers une approche unifiée
Les cyberattaques se multiplient. Qu'il s'agisse de dérober des secrets industriels et des données personnelles ou bancaires. L'ampleur des pertes potentielles est telle qu'il convient d'adopter des processus structurant en matière de sécurité informatique.
Les principaux intéressés de l’écosystème des
paiements par
carte ont défini une norme qui s’est avérée être très efficace (bien
que faillible)
pour protéger les données de ces infractions. Au cours des cinq
dernières
années, le cadre de la norme PCI-DSS a évolué passant de directives
sans
sanctions exécutoires à une certification ‘obligatoire’ pour toute
entreprise
qui manipule, stocke ou transmet des données relatives aux utilisateurs
de
cartes bancaires.
Pour atteindre son objectif visant à protéger les données
des titulaires
de cartes, le PCI-DSS s’étend à la plupart des disciplines et
compétences IT, à
savoir le réseau, les bases de données, les applications web, les
systèmes de
fichiers, le chiffrement et autres opérations essentielles de sécurité,
telles
que la gestion des vulnérabilités et des configurations. Ceci a conduit
à un
coût global de la mise en conformité extrêmement élevé, mettant en
cause
l’applicabilité de la norme en termes de risques par rapport aux coûts.
En début d’année, l’Institut Ponemon a mené une étude aux
Etats-Unis sur
les coûts réels de la conformité auprès de 160 entreprises, dont 46 de
taille internationale.
Le résultat de cette étude a montré que, pour les moyennes entreprises,
le coût
total de la conformité aux normes telles que PCI-DSS, SoX, HIPAA et
autres,
pèserait aux environs de 3.5 millions de dollars, tandis que les
conséquences
de la non-conformité ont été estimées à 9.4 millions de dollars. Bien
que ces
chiffres illustrent un avantage non négligeable en termes
d’investissement, les
risques financiers demeurent trop importants par rapport aux risques
opérationnels auxquels sont exposés la majorité des organisations
soumises au
PCI-DSS.
Alors,
quelles stratégies
peuvent être employées pour réduire la complexité et le coût d’une mise
en
conformité PCI ? Quelles
sont les
priorités à considérer pour une mise en œuvre de la norme?
La
norme PCI-DSS est multi-disciplinaire et pour s’y conformer pleinement,
il est
essentiel d’adopter une approche globale unifiée permettant d’aborder
l’ensemble
des 12 exigences avant de se concentrer sur la résolution de chaque
élément
individuel. Les disciplines IT à considérer sont: le réseau fixe et
sans fil; les
données et bases de données; les actifs informatiques/terminaux; et les
applications web.
1.
Réseau Fixe
Dans
ce domaine, l’exigence PCI élémentaire couvre la ségrégation contrôlée
du
réseau, les flux de trafic entrant/sortant et l’implémentation DMZ. Les
fonctions spécifiques sont: une protection antivirus périmétrique, le
support
des liaisons IPSec/VPN, la prévention et détection des intrusions,
l’utilisation du chiffrement fort (SSL/IPSec), l’existence de
paramètres par
défaut ‘deny-all’, le support des certificats
numériques et l’authentification à double facteurs des utilisateurs, le
suivi
des événements de sécurité, la gestion et le log unifiés des systèmes,
ainsi
que le support des analyses de vulnérabilités du réseau. L’ensemble de
ces
services ne peuvent pas être fournis par un pare-feu traditionnel, même
un
pare-feu nouvelle génération. La seule façon rentable d’accéder à tous
ces
services en évitant le déploiement de multiples systèmes est d’utiliser
l’UTM (Unified
Threat Management). Une solution UTM aide les organisations à couvrir
toutes
les exigences PCI du réseau fixe avec une plus grande efficacité ainsi
que des
coûts d’implémentation et d’exploitation minimisés.
2.
Réseau Sans-Fil
Le
réseau sans-fil est soumis aux mêmes contraintes que le réseau fixe
mais il
doit également fournir d’autres fonctions clés comme : 1) le support à
la fois
de solutions de points d’accès (PA) ‘intégrés’ (thick en
anglais) et ‘légers’ (thin)
pouvant fonctionner dans un cadre de gestion transparent, 2) la
détection de
points d’accès non-autorisés, 3)le
support et logging de l’IDS/IPS sans-fil, 4)
le support des modes WPA ou WPA2 Entreprise avec une authentification
802.1X et
un chiffrement AES. En pratique, la meilleure approche pour des
déploiements
importants est de minimiser l’installation de PA intégrés, qui
contiennent un
contrôleur IPS sans-fil, etc., et de favoriser le déploiement de points
d’accès
légers, qui sont beaucoup plus faciles à gérer. Les PA légers dirigent
le
trafic sans-fil vers des contrôleurs par tunnel ce qui permet
d’importantes
économies d’échelle et une gestion de sécurité simplifiée via une
console
unique pour une meilleure visibilité et mise en application des règles.
3.
Actifs IT / Terminaux
Les actifs IT incluent les serveurs, les ordinateurs de bureau, les ordinateurs portables, les systèmes d'exploitation, les appareils mobiles et équipements réseaux. L'objectif principal est de s'assurer que tous les actifs qui constituent l'environnement des données des titulaires de cartes bancaires soient soumis aux opérations fondamentales de gestion de sécurité. Afin d'avoir l'approche la plus efficace répondant aux exigences PCI-DSS pour un coût et une complexité réduits, il est important d'évaluer la gestion des technologies et contrôles de sécurité des terminaux déployés.
Les 5 éléments principaux à vérifier sont:
a) la capacité de gestion des vulnérabilités des actifs pour s'assurer que tous les systèmes d'exploitation sont mis à jour à la dernière version disponible et pour évaluer les vulnérabilités spécifiques aux configurations;
b) la capacité de gestion de configuration selon les meilleurs pratiques (telles le NIST, FDCC) en matière de déploiement des plateformes de système d'exploitation; c) le contrôle des politiques appliquées aux terminaux permettant la mise sur liste noire / liste blanche des logiciels, opérations, systèmes, drivers, listes d'accès etc; d) la présence d'un correctif automatique des problèmes de configuration et d'audit pour plus de rentabilité;
e) le déploiement d'antivirus sur les appareils clients/mobiles, de préférence gérés de manière centralisée.
4. Les
données & bases de données
Il
est impossible de se conformer au PCI DSS sans implémenter une solution
de
sécurité des bases de données pour se protéger contre la perte de
données ou la
fraude. Qu’il s’agisse d’une erreur ou d’une intention délibérée de
nuire, la
perte de données peut avoir de conséquences graves.
Afin de répondre à
la
conformité PCI-DSS, une solution de sécurité des bases de données doit
inclure
:
a) l’évaluation des vulnérabilités et tests de pénétration
spécifiques aux
bases de données ;
b) la gestion de configuration pour l’évaluation
contre les meilleures pratiques mondiales et/ou les propres normes de
sécurité
des données de l’organisation;
c) l’évaluation du contrôle d’accès à la
fois au
niveau de la base de données et des applications;
d) la surveillance en temps-réel des
utilisateurs des bases de données et leurs activités à la fois sur les
bases de
données et les données des titulaires critiques. Afin de simplifier la
création
et l’application des politiques de sécurité des données qui répondront
à la
conformité PCI-DSS, il est important de rechercher une solution de
sécurité des
bases de données centralisée qui offre toutes les fonctionnalités
ci-dessus
dans un seul appareil. Des solutions améliorées sont dotées de
fonctionnalités
telles que la découverte des bases de données automatiques et la
découverte de
données confidentielles.
D’autres fonctions sont souhaitables telles
que les
politiques prêtes à l’emploi qui couvrent les exigences standards de
l’industrie et du gouvernement, qui, lorsqu’elles sont combinées à un
ensemble
complet de rapports graphiques offrent une utilisation prête à l’emploi
et une
valeur immédiate à la conformité PCI-DSS.
5. Les
applications Web
Comme
les applications web sont particulièrement exposées au monde extérieur,
la
norme PCI-DSS s’adressent à elles en détail dans l’exigence 6.6. Il
existe deux
méthodes pour qu’une entreprise soit conforme au PCI DSS: a) effectuer
des
tests de code annuels ou b) déployer un pare-feu applicatif Web. Bien
que les
tests de code soient essentiellement réalisés en situation, une
économie de
coûts significative peut être faite par l’implémentation d’un pare-feu
applicatif Web.
Les fonctions clés qui devraient être inclues dans une
telle
solution sont : a) assistance avec des conseils de sécurité Web OWASP,
la
protection des vulnérabilité cross-site
scripting (XSS) et cross site request
forgery (CSRF);
b) support pour les DoS, les attaques de type buffer overflow (débordement de mémoire)
à la fois au niveau HTML et HTTP;
c) le contrôle des accès et
l’authentification
des utilisateurs des applications web; d) la surveillance et la gestion
des
événements d’erreur;
e) l’incorporation des capacités de scans des
vulnérabilités des applications web pour des scans internes réguliers.
La nature
multi-disciplinaire du PCI-DSS crée une complexité et, par
conséquent, les
organisations n’ont pas d’autres choix que de déployer une combinaison
de
dispositifs de sécurité pour répondre pleinement aux exigences de la
norme. Il
est essentiel d’adopter une approche consolidée pour améliorer les
performances, la sécurité et réduire les coûts.
En fait, en utilisant
différentes
solutions
de fournisseurs, il en résulte un
large éventail de produits et de services disparates, ayant pour
conséquence une
complexité (en termes de support, de maintenance, de formation, etc.) et
un coût
total de possession vertigineux. En minimisant le nombre de
fournisseurs, à un
seul si possible, est la seule façon de réduire considérablement les
Opex et Capex
tout en supprimant la complexité de l’implémentation et de la gestion.
Une
plate-forme commune fournie par un seul fournisseur permettra également
aux
organisations d’améliorer leur sécurité, couverture et visibilité pour
une
baisse globale du risque d’échec du projet PCI.