Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les grands mystères de la sécurité, aujourd’hui PCI DSS

Les grands mystères de la sécurité, aujourd’hui PCI DSS
2008-06-172013-02-11lois, réglementations, standards et certificationsfr
Vu de l’extérieur, la sécurité peut apparaître comme une secte avec son langage propre, ses us et coutumes, etc … En fait, c’en est une, et je suis un de ses grands maîtres auto-proclamé. Le but de cette rubrique est de vous apprendre, vous jeunes disciples, les arcanes et les...
Publié le 17 Juin 2008 par Philippe Maltere dans lois, réglementations, standards et certifications

Vu de l’extérieur, la sécurité peut apparaître comme une secte avec son langage propre, ses us et coutumes, etc … En fait, c’en est une, et je suis un de ses grands maîtres auto-proclamé. Le but de cette rubrique est de vous apprendre, vous jeunes disciples, les arcanes et les normes qui régissent cette secte. J’attends de vous une totale obéissance pendant l’enseignement. Votre formation sera courte, d’environ 10 ans, après vous aurez le status d’apprenti, puis après 5 ans, vous pourrez prétendre au titre de membre. Et si vous êtes exceptionnels 10 ans après, vous pourrez peut être, postuler pour le titre suprême.

Commençons votre formation aujourd’hui par PCI DSS, tout le monde en parle, on peut même parler d’un vrai « buzz ».

PCI DSS veut dire Payment Card Industry Data Security Standard. Comme son nom l’indique, ce recueil de bonnes pratiques est soutenu par American Express, Visa, Mastercard. Ce sont des résolutions relativement pragmatiques même si pour la plupart des entreprises, il sera difficile de les mettre en œuvre à 100%.

PCI DSS consiste en 12 chantiers :

  1. Installation et maintenance d’un firewall pour la protection des données
  2. Pas d’utilisation de mots de passe par défaut sur les équipements, et logiciels
  3. Protection des données stockées
  4. Toute transmission contenant des données bancaires sur des réseaux publics doit être chiffrée
  5. Utilisation d’antivirus à jour
  6. Application des correctifs de sécurité
  7. Accès des données restreint
  8. Identifiant unique par utilisateur. Pas de login générique
  9. Restriction d’accès physique au serveurs contenant des donnés bancaire
  10. Surveillance et archivage des événements d’accès aux données (tracabilité)
  11. Processus d’audit continu
  12. Politique de sécurité réellement appliquée, et expliquer à tous les collaborateurs

Comme nous le voyons, nous ne sommes pas très loin de la norme ISO 27001 sur les points 10, 11, 12 soit : la sécurité des communications et de la gestion des opérations, le contrôle d'accès et l'acquisition, le développement et la maintenance de systèmes d'information. Nous ne ferons pas de commentaires sur ces 12 points aujourd’hui, il faudra attendre votre admission en troisième année. Mais sachez que ces 12 thèmes, peuvent être résumés à 6 grandes thématiques :

    • Mise en place et gestion d'un réseau sécurisé
    • Protection des données des titulaires de carte
    • Mise en place d'un programme de gestion des vulnérabilités
    • Mise en œuvre de mesures de contrôle d'accès efficaces
    • Surveillance continue et tests des réseaux à une fréquence régulière
    • Établissement d'une politique en matière de sécurité de l'information

Comme vous le voyez, mes chers disciples, PCI DSS est une norme qui sera longue et coûteuse à mettre en place, à moins que le SI carte bancaire soit dissocié du SI de l’entreprise, mais ne rêvons pas, le chemin sera dur. Comme toute norme, elle a le mérite d’exister, et aussi celui d’être imparfaite, notamment, en ce qui concerne la sécurité des applications qui n’est absolument pas traité par PCI DSS, et c’est dommage car la sécurité applicative est de loin la première brique à mettre en place avant tout autre recommandation. Ceci devrait être la première brique à toute sécurité du monde e-commerce en général, mais là aussi ne rêvons pas trop, lorsque les applications seront correctement sécurisées, il n’y aura presque plus de problème de sécurité, et ce n’est pas demain la veille. Heureusement pour ces entreprises, il existe aussi un guide bonnes pratiques PCI, tel que par exemple ne pas stocker le numéro de la carte et son code pin associé, le numéro de carte de crédit doit être chiffré que que soit le réseau utilisé, ne pas faire chiffrer/déchiffrer par le serveur frontal… D’autres recueils de bonnes pratiques essaient, type l’OWASP (http://www.owasp.org). Et il n’est pas exclu que la nouvelle version de PCI DSS à paraître avant la fin de l’année fasse un  pas dans ce sens.

Lien vers le site du standard :

https://www.pcisecuritystandards.org/

Voir les points de contrôle :

https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage