PCI DSS : Mise à jour avec la nouvelle version 3.0 !
Si le PCI DSS (Payment Card Industry Data Security Standard) s’applique à votre secteur d’activité, vous devez sans doute savoir qu’une mise à jour est disponible.
Cet article va se concentrer sur certains changements et leurs impacts sur ce standard.
Si vous n’êtes pas encore familier avec ce document, vous pouvez le découvrir sur PCI Security Standards Council, ce que nous vous recommandons vivement si le vous concerne.
En novembre dernier, les personnes en charge du standard PCI DSS ont décidé qu’une mise à jour devenait nécessaire.
[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]
En se basant sur les retours provenant du secteur de l’industrie, le comité est passé d’un cycle de 2 à 3 ans pour le développement du standard PCI DSS. Cette année en plus permet, non seulement de rassembler davantage de remarques, mais aussi donne plus de temps aux organisations pour implémenter les changements, avant qu’une nouvelle version ne soit publiée.
[/vc_message][/vc_column][/vc_row]
La version précédente était la PCI DSS v2.0.
La nouvelle version, avec presque une centaine de changements, constitue la version PCI DSS 3.0.
Chaque changement, décidé par le comité, est affecté à une des 3 catégories ci-dessous :
| Type de changement | Définition |
| Clarifications (C) | Clarifient le but de la mesure et assurent que cette dernière soit décrite de manière concise et claire dans le standard. |
| Conseils Additionnels (CA) | Explications, définitions et/ou instructions pour améliorer la compréhension ou fournir plus d’informations et de conseils sur un sujet particulier. |
| Changements de Mesures (CM) | Changements nécessaires pour s’assurer que le standard réponde aux exigences dictées par les nouvelles menaces et les changements du marché. |
Je me focaliserai essentiellement sur les «changements de Mesures», car la plupart d’entre eux viennent s’ajouter au standard existant.
J’aborderai aussi les «Conseils Additionnels» et les «Clarifications», dans les cas où des changements importants ou intéressants ont été apportés.
[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]
Dans la suite de cet article, le terme « client » désignera le « titulaire d’une carte de crédit ».
[/vc_message][/vc_column][/vc_row]
Vous trouverez ci-dessous un rappel des principales mesures du PCI DSS :
| Objectifs visés | Mesures PCI DSS |
| Construire et maintenir un réseau sécurisé | 1. Installer et maintenir une configuration de pare-feu qui protège les données des clients. 2. Ne pas utiliser la configuration par défaut des fournisseurs concernant le système de mots de passe et autres paramètres de sécurité. |
| Protéger les données des clients | 3. Protéger les données des clients. 4. Crypter les transmissions des données des clients à travers les réseaux publics ouverts. |
| Maintenir un programme de management de la vulnérabilité | 5. Utiliser et remettre à jour régulièrement les logiciels antivirus sur tous les systèmes qui sont généralement les cibles des malwares. 6. Développer et maintenir des systèmes et applications sûrs et fiables. |
| Implémenter des mesures renforcées pour le contrôle de l’accès aux données | 7. Restreindre l’accès aux données des clients en fonction des informations nécessaires par unité ou département. 8. Attribuer un identifiant (ID) unique à chaque personne ayant un accès au système informatique. 9. Restreindre l’accès physique aux données des clients. |
| Surveiller et tester régulièrement les réseaux | 10. Surveiller et enregistrer tous les accès à des ressources du réseau ainsi qu’aux données des clients. 11. Tester régulièrement la sécurité des systèmes et des processus. |
| Maintenir une politique d’information sur la sécurité | 12. Maintenir une politique qui informe et traite de la sécurité. |
Finalement, quoi de neuf ?
Le premier changement notable est le retrait des colonnes intitulées « En place », « Pas en place » et « date cible/commentaires », dans le tableau des mesures. Une colonne « Conseils » est venue s’ajouter à la place, dans le but d’assister le lecteur dans une meilleure compréhension de ces mesures.
Je suis content de voir ce changement, car cela apporte des clarifications importantes et nécessaires à beaucoup de mesures.
Mesure PCI DSS N°1
1.1.2/1.1.3 () : Clarifier ce qui doit être inclus dans le diagramme du réseau et ajouter une nouvelle mesure à 1.1.3 concernant le diagramme actuel montrant les flux des données clients.
Au moment de définir l’environnement des données clients (Cardholder Data Environment), il est important d’expliciter quels sont les systèmes concernés et comment ils interagissent entre eux.
Un diagramme du réseau est un bon moyen de clarification.
Au moment de créer les diagrammes du réseau pour une précédente société, je marchais souvent dans la salle des serveurs, et je traçais physiquement les connections du réseau, en plus d’utiliser les logiciels.
Cette méthode n’est pas possible dans tous les environnements. Cependant, elle nous a permis de faire de belles découvertes de temps en temps.
Le rajout de la mesure 1.1.3 est important, car il vous force à regarder comment les mouvements se font au sein de l’environnement des données clients.
En réalisant cet exercice, vous découvrirez peut être que certaines données sont copiées sur un système, dont vous aviez connaissance mais sans vous doutez qu’il puisse contenir des données clients.
Mesure PCI DSS N°2
2.1 () : Clarifier que la mesure concernant le changement des mots de passe par défaut des fournisseurs, s’applique à tous les mots de passe par défaut, incluant les systèmes, les applications, les logiciels de sécurité, terminaux, etc…Tous comptes créés par défaut, et inutiles doivent être éliminés ou désactivés.
Cette mesure est basée sur le bon sens, du moins tant que le standard le permet, mais beaucoup trop d’entreprises ne l’appliquent toujours pas correctement.
Mesure PCI DSS N°3
3.5.2/3.5.3 () : Séparer la mesure 3.5.2 en 2 mesures pour permettre de se concentrer séparément, d’une part sur le stockage des clés cryptées sous un format sécurisé (3.5.2) et d’autre part sur la restriction des lieux de stockage (3.5.3). La mesure 3.5.2 fournit également une flexibilité, avec davantage d’options pour sécuriser le stockage des clés cryptées.
Ces 2 mesures rendent nécessaire le rajout de conseils dans la manière de les aborder.
La mesure 3.5.2 fournit même quelques exemples :
Bien que les derniers points mentionnés ne soient pas exigés, il est fortement recommandé d’utiliser la méthode de stockage de clés la plus efficace dès que cela est possible.
Mesure PCI DSS N°5
5.1.2 () : Nouvelle mesure pour évaluer l’évolution des menaces concernant les malwares pour les systèmes qui ne sont pas, en général, considérés comme des cibles potentiels de ces logiciels malveillants.
5.3 () : Nouvelle mesure pour s’assurer que les solutions anti-virus agissent activement (précédemment dans 5.2), et ne peuvent être désactivées ou altérées par les utilisateurs, sauf avec une autorisation spécifique émanant du management et délivrée au cas par cas.
L’évaluation continue de vos systèmes, d’un point de vue de leur vulnérabilité et de leur exploitabilité, est une très bonne pratique en termes de sécurité.
Inclure les systèmes que l’on pense en général hors de danger, est encore mieux !
Je ne vous suggère pas de devenir tous des experts en vulnérabilité, mais un professionnel en sécurité informatique ne peut ignorer aujourd’hui aucune des menaces les plus courantes.
Il y a de nombreuses ressources qui sont à la pointe, au niveau de la recherche des vulnérabilités, en voici 3 :
Comme pour la mesure 5.3, ces pratiques doivent devenir de vrais réflexes !
Ces mesures correctement implémentées et gérées, peuvent vraiment protéger vos actifs et vos biens.
Mesure PCI DSS N°6
6.5x () : Traiter les vulnérabilités récurrentes au niveau de la programmation, tout au long du processus de développement des logiciels :
Assurez-vous que vos programmeurs se mettent à niveau de manière régulière et utilisent les meilleures pratiques dans le secteur de l’industrie.
Apparemment Oracle applique ces méthodes, le saviez-vous ?
Mesure PCI DSS N°8
8.2.3 () : Combiner les mesures concernant le nombre minimum de mots de passe, à forte complexité et efficacité, au sein d’une même mesure. Augmenter la flexibilité pour toutes alternatives qui pourraient délivrer une complexité et une efficacité équivalente.
8.3 () : Clarifier les mesures concernant le 2FA (two-factor authentification) qui doivent être appliquées aux utilisateurs, administrateurs et à toutes tierces personnes, incluant les accès fournisseurs pour le SAV et la maintenance.
8.5.1 () : Nouvelle mesure où d’autres mécanismes d’authentification sont utilisés (par exemple, jeton sécurité physique ou digital, smart-cards, certificats, etc…) de telle sorte à lier ce mécanisme à tout compte individuel, et à garantir que seule la personne habilitée, peut avoir un accès par ce même mécanisme.
Nous l’avons déjà mentionné, et nous le répétons de nouveau, utilisez des mots de passe efficaces et uniques associés au procédé 2FA dès que cela est possible.
Mesure PCI DSS N°9
9.3 () : Nouvelle mesure pour contrôler l’accès physique aux zones sensibles pour le personnel travaillant sur place, en incluant un processus qui autorise l’accès ou l’interdit de manière immédiate et jusqu’à nouvel ordre.
9.9.x () : Nouvelles mesures pour protéger, contre la falsification et la substitution, les équipements qui enregistrent les données des cartes de paiement, par interaction directe avec cette dernière. En vigueur à partir du 1er Juillet 2015*.
Ces mesures sont très importantes, et des initiatives similaires ont permis de réduire le nombre de fraudes au niveau des distributeurs de billets (). Cependant, il y aura toujours le facteur humain à prendre en compte.
Nous ne pouvons être plus fiables que notre maillon le plus faible, et un employé mécontent peut être notre pire ennemi.
Mesure PCI DSS N°11
11.3.4 () : Nouvelle mesure dans le cas où une segmentation est utilisée pour isoler l’environnement des données clients (Cardholder Data Environment) des autres réseaux, afin de procéder à des tests de pénétration, et vérifier que les méthodes de segmentation utilisées sont opérationnelles et efficaces.
Le rajout de cette mesure marque une étape très importante et devrait suffire, à elle seule, à justifier la nouvelle version de ce document.
Les contrôles sont mis en place pour s’assurer qu’aucune faille ne puisse apparaître.
Seuls les tests peuvent permettre de valider si ces contrôles sont implémentés correctement, et s’ils agissent conformément aux attentes.
Il est important d’effectuer ces tests pour détecter des failles de sécurité, mais aussi pour déceler n’importe quels autres phénomènes inattendus.
Une procédure de contrôle, qui doit se dérouler d’une certaine manière, peut tout à fait aboutir à un autre scénario dans une situation provoquée et amplifiée.
Mesure PCI DSS N°12
12.9 () : Nouvelle mesure pour les prestataires de services, concernant la mise en place d’accords et accusés de réception écrits vis-à-vis de leurs clients, comme stipulé dans la mesure 12.8. En vigueur à partir du 1er Juillet 2015*.
Ce dernier point souligne clairement, qu’il n’y aura aucun passe-droit ni échappatoire possible pour fuir ses responsabilités.
Dans le cas de la gestion de données sensibles, une responsabilité sera clairement établie, que ce soit du côté de votre entreprise, ou bien du côté du prestataire de services.
En conclusion
L’objectif n’était pas de dresser une liste exhaustive de tous les changements réalisés, mais plutôt de vous donner une vision globale et synthétique sur cette nouvelle version 3.0.
Comme nous venons de le voir, le standard PCI DSS est un document qui se développe en permanence.
C’est pour cette raison que votre implication, vis à vis du standard PCI DSS, doit elle aussi évoluer. Les nouvelles technologies et les menaces informatiques, sans cesse renouvelées, sont autant de bonnes raisons qui justifient une participation active de votre part.
D’une manière générale, je pense que les changements apportés dans cette version 3.0, ont rendu le standard PCI DSS plus fiable et moins arbitraire.
Pour finir, si vous pensez encore que ce standard n’est toujours pas acceptable, alors une seule solution : rejoignez le PCI Security Standards Council au plus vite !
* L’entrée en vigueur de cette mesure, à compter du 1er Juillet 2015, ne signifie pas qu’elle ne doit pas être appliquée dès que possible !
Billet inspiré de : PCI DSS – What’s new in v3.0? de Naked Security par John Shier
Partagez PCI DSS : la nouvelle version 3.0 ! avec http://bit.ly/RNxq5q
Qu’en pensez-vous ? Laissez un commentaire.