« L’Europe est en retard pour le respect des normes PCI DSS » titre Maria Korolov, editor et publisher d’Hypergrid Business. S’appuyant sur un rapport de Verizon, l’article affirme que « 80% des entreprises sont hors des critères entre les audits. » Pourquoi une telle situation ? Que recouvrent ces normes ? Est-il possible d’évoluer et d’accélérer la mise en conformité des entreprises européennes ?
Les normes de sécurité des données pour l’industrie des cartes de paiement sont appelées Payment Card Industry Data Security Standard, plus connues sous l’acronyme PCI DSS. Les données d’une carte bancaire – le numéro de la carte, la date de fin de validité et les trois chiffres qui figurent au dos de la carte – sont évidemment des informations sensibles. Elles permettent d’effectuer des paiements via internet, sans la présence physique de la carte. Cet usage très pratique pour le titulaire de la carte représente un réel danger. Il attire les hackers qui cherchent à s’emparer des codes des cartes bancaires en attaquant les systèmes d’information où ils sont stockés. Le programme de sécurisation PCI DSS a été conçu pour améliorer la sécurité physique et logique des systèmes d’information. Il concerne toutes les entreprises qui traitent, transportent et stockent des données de cartes bancaires, c’est-à-dire les commerçants de proximité, boutiques sur internet, réseaux de transport, centres d’appels, banques, émetteurs de cartes… Le standard PCI DSS exige la mise en œuvre de points de contrôle sur les systèmes d’information qui capturent, transportent, stockent et traitent les données des cartes bancaires. Les bonnes pratiques de sécurité se rapportent aux techniques informatiques et aux procédures de contrôle organisationnel. Leur respect est indispensable, mais encore faut-il avoir la meilleure visibilité possible sur l’ensemble du système d’information. Une solution de Security Information and Event Management en est l’outil essentiel.
Un contrôle permanent
Le SIEM[1] facilite la gestion des événements du système d’information et permet à l’entreprise d’exercer un contrôle continu de la sécurité de son système d’information. Il dépiste les comportements anormaux des utilisateurs, des serveurs, des applicatifs et du réseau, permettant de détecter les attaques, d’agir pour remédier aux fraudes et d’empêcher les tentatives d’exfiltration de données. Le SIEM signale incidents et dysfonctionnements et constitue une aide précieuse pour déceler les anomalies et contrôler la conformité à la fois avec la politique de sécurité définie et avec les exigences du règlement PCI DSS. Il permet d’effectuer des analyses forensic (investigation numérique) en exploitant les logs dont il garantit l’intégrité. Enfin, il fournit des tableaux de bord de sécurité opérationnelle.
Un outil incontournable
Parmi les exigences sécuritaires de PCI DSS figurent la consignation des données bancaires, la conservation des journaux, la mise en place de procédures d’examen quotidien des logs et de surveillance de l’intégrité des fichiers. Toute modification apportée aux journaux doit être détectée. Une solution SIEM de qualité s’adapte parfaitement à de tels impératifs. Elle assure la surveillance et le contrôle de la sécurité du SI en temps réel et notamment des logs, permettant de repérer les fraudes, les accès interdits aux données des cartes bancaires, les modifications non autorisées, les exfiltrations de données bancaires et d’enquêter a posteriori sur les incidents de sécurité. Le SIEM répond aux exigences de collecte, de conservation et d’analyse des logs et produit automatiquement et rapidement les rapports de conformité PCI DSS.
Un élément-clé de la stratégie
Cette conformité PCI DSS doit être considérée comme faisant partie de la stratégie globale de sécurité de l’information et de gestion des risques de l’entreprise ; et ce, dès la construction du système d’information gérant les transactions. L’article cité en tête montre que ce n’est évidemment pas le cas pour la plus grande partie des entreprises concernées. Des actions de sensibilisation doivent être menées auprès de ces entreprises européennes. L’amélioration très nette de la sécurité des données des comptes de paiement est un nouveau pas vers la protection des données personnelles, droit fondamental sur lequel l’Union européenne ne semble pas vouloir transiger. Cette dernière demande en effet l’application stricte des nouvelles règles de protection des données qui doivent être considérées comme des principes internationaux impératifs de droit international public et privé.
Pour combler leur retard, l’ensemble des acteurs européens utilisant les moyens de paiement soumis à la norme PCI DSS doivent notamment prendre conscience que le SIEM est une solution simple qui renforcera considérablement leur potentiel de tenir les objectifs de sécurité et de mise en conformité réglementaire. D’autant que les solutions SIEM récentes ont une interface simple, une capacité d’intégration rapide dans tous les environnements et génèrent des tableaux et des rapports immédiatement opérationnels.
_____________
Frédéric Saulet est Directeur Régional Europe du Sud de LogPoint.
[1] SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).