vendredi 20 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


L’offre de conseil et de certification PCI DSS de XMCO Partners

XMCO Partners est un cabinet de conseil indépendant fondé en 2002. Connu pour ses compétences en tests d’intrusion, XMCO Partners s’est ensuite structuré comme CERT. Il publie une newsletter mensuelle d’information sur la SSI : « l’ActuSecu ». Il a développé de même une compétence sur les SMSI et la norme ISO 27001. il est aujourd’hui l’un des acteurs de l’accompagnement des professionnels sur la norme PCI DSS.

Entretien avec Frédéric Charpentier, consultant sécurité QSA, associé du cabinet.

Mag-Securs : Le PCI Security Standard Council LLC vient de publier la version 2.0 de la norme PCI-DSS. Quelles en sont les nouveautés par rapport à la version précédente 1.2.

Frédéric Charpentier : La version 2 du PCI DSS n'apporte pas de bouleversements. Cette version apporte des éclaircissements, mais ne modifie pas le sens des exigences de sécurité. Le PCI Council confirme deux points qui faisaient toujours beaucoup de bruit : la virtualisation n'est pas un frein à la conformité et les banques émettrices peuvent bien évidemment conserver les cryptogrammes visuels de leurs clients.

On note l'arrivée de la notation CVSS (pour différencier les correctifs de sécurité et les failles de sécurité urgentes) et l'apparition du SANS CWE TOP 25 au côté de l'OWASP pour les règles de développement sécurisé. Cette version 2.0 du PCI DSS n'apporte finalement pas d'assouplissement du standard ni des moyens de faire des exceptions plus facilement.

Mag-Securs : Vous êtes vous-même « Qualified Security Assessors ». Quelle a été votre motivation pour faire cet investissement, quelles activités ciblez-vous ?

Frédéric Charpentier : Le cabinet XMCO s'est engagé dans l'activité QSA motivé par l'envie de pouvoir aller plus loin dans l'accompagnement de ses clients et leur apportant des services allant jusqu'à la certification de leur Système d'Information. Après plusieurs années de conseil autour du PCI DSS, l'obtention de l'agrément QSA était une évidence pour nous, mais également un investissement conséquent.

Nous nous positionnons sur le conseil et la certification PCI DSS et PA DSS. Notre offre "PCI DSS" s'articule autour de trois axes :

* La certification

* L'accompagnement : Gap Analysis, Conseils en architecture système et logicielle, monétique, rédaction de documents de politique, pilotage des scans ASV...

* Services : Tests d'intrusion, veille sécurité avec le CERT-XMCO et sensibilisation au développement sécurisé.

Nous avons de nombreux points forts. Tout d'abord, notre indépendance et notre pragmatisme : nos clients nous font confiance, nous ne sommes pas là pour vendre des logiciels, des solutions d'hébergement ou des liens télécom. Ensuite, nous sommes de véritables experts en sécurité : depuis 2002, nous avons fait nos preuves auprès de très nombreux grands comptes par la qualité de nos audits de sécurité et de nos tests d'intrusion.

Enfin, en tant que société française, nous sommes proches de nos clients : nous pouvons travailler en français et en anglais. Nous connaissons très bien les particularités de la monétique françaises, ses acteurs et les banques.

Mag-Securs : Depuis quand êtes vous positionné sur ce marché ?

Frédéric Charpentier : Depuis 2006 ! XMCO a été l'une des premières sociétés françaises à s'intéresser à ce standard. Nous avons publié notre premier article à ce sujet en mars 2006 : http://www.xmcopartners.com/article-paiement-bancaire-securises.html. Nous accompagnons nos clients pour la mise en conformité de leur SI depuis bientôt 4 ans.

Mag-Securs : Qui avez-vous conseillé ou certifié ?

Frédéric Charpentier : Nous conseillons des compagnies d'assurances, des institutions financières, des opérateurs de télécommunication, des centres d'appels, des voyagistes et des prestataires de services de paiement (PSP). Nous avons plusieurs références de certification auprès d'entreprises de niveau 1.


Mag-Securs 
: Quel est votre retour d’expérience à ce jour ? Quels conseils donnez-vous à vos prospects en quelques mots pour vous choisir comme conseil, ou comme certificateur 

Frédéric Charpentier : Tout d'abord, beaucoup d'entreprises françaises soumises au PCI DSS attendent en temporisant leur mise en conformité. C'est pour nous une erreur, car dès qu'un de leurs clients ou partenaires importants demandera la certification comme une condition contractuelle, l'entreprise devra être conforme en quelques semaines, ce qui n'est pas possible, car il faudra revoir beaucoup de choses, dont certaines touchent directement le business-model.

Nous constatons également que les DSIs voient le PCI DSS comme une question d'achat d'équipement : on ajoute un IPS, un logiciel Xet c'est bon, on est "compliant". Ma première tâche est toujours de faire comprendre que la mise en conformité PCI DSS n'est pas un simple projet informatique, mais un véritable projet de conduite du changement dans l'entreprise.

Je donnerais 5 conseils :

Conseil n°1 : Lisez le standard et les documents produits par le PCI SSC, appropriez-vous les exigences.

Conseil n°2 : Contractualisez un accompagnement avec un QSA.

Conseil n°3 : Impliquez la direction générale de l'entreprise et obtenez leur sponsor.

Conseil n°3 : Réduisez le périmètre.

Conseil n°4 : Méfiez-vous des vendeurs de logiciels et de boîtiers qui utilisent l'argument PCI DSS : aucun logiciel ne vous rendra conforme.

Pages: 8 de 8 Page précédente
Autres Dossiers Gouvernance