vendredi 20 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


L’offre de conseil et de certification PCI DSS d’ELITT, filiale du GIE Cartes Bancaires

Elitt est une filiale à 100% du groupement des cartes bancaires créée pour évaluer les produits liés aux cartes bancaires. La culture de l’entreprise est celle de l’audit. Elle compte 33 personnes, dont 7 auditeurs sur lesquels 3 sont certifiés QSA. Elitt travaille également sur le développement de méthodes d’audits. Elitt est Qualified Security Assessors depuis plus d’un an.

Entretien avec  Grégoire Guétin, Marketing Product Manager chez Elitt.


Mag-Securs : Le PCI Security Standard Council LLC vient de publier la version 2.0 de la norme PCI-DSS. Quelles en sont les nouveautés par rapport à la version précédente 1.2. ?

Grégoire Guétin : Bien qu’il s’agisse d’une release majeure, on peut dire que cette nouvelle version ne révolutionne pas le standard. Un grand nombre d’exigences a été clarifié, pour mieux correspondre aux situations rencontrées dans les entreprises. Un des points les plus discuté de la version précédente était le périmètre d’application du standard lorsque les données sont tronquées, chiffrées ou cryptées. La version 2.0 apporte des éclaircissements sur ce point. Et d’autres travaux émanant des groupes de travail mis en place par le PCI Council continueront prochainement à prendre en compte des solutions innovantes, comme la tokenisation ou l’encryptage point à point. Enfin certaines activités comme l’émission de cartes de paiement ont vu certains points précisés pour prendre en considération leurs besoins et contraintes métier. On peut donc considérer que le standard est arrivé à maturité.


Mag-Securs : Vous êtes vous-même « Qualified Security Assessors ». Quelle a été votre motivation pour faire cet investissement, quelles activités ciblez-vous ?


Grégoire Guétin : ELITT a obtenu sa certification QSA en août 2009. Cette certification était stratégique depuis la création de la société en 2008. ELITT est en effet une filiale créée cette année là par le Groupement des Cartes Bancaires CB. Une des activités filialisée était l’audit de sites de productions de cartes bancaires. Cette expertise était donc déjà dans les fondements de l’entreprise. Nous avons alors recruté pour disposer de toutes les compétences indispensables pour assurer des prestations de qualité. Etre reconnu dans le domaine de la sécurité passe en effet inévitablement par des certifications (CISSP, Lead Implementor/Lead auditor 27001, Risk Manager 27005…). Notre offre aujourd’hui tourne principalement autour du standard PCI DSS, avec pour but d’être également PA-QSA (auditeur PA-DSS) en 2011. Elle se décline en un éventail de prestation : séminaire de sensibilisation au standard, préparant l’entreprise au mieux à la mise en conformité, analyse d’écart, permettant d’obtenir un instantané de la conformité, conseil (le QSA accompagne généralement ses clients tout au long de la démarche de mise en conformité), audits, et tests de pénétration/vulnérabilité. Nous intervenons également en conseil sur les autres standards : PA-DSS et PCI PTS.

Le point fort d’ELITT est la prise en compte des problématiques métier et spécificités monétiques françaises. Notre expérience dans ce domaine est appréciée pour appliquer des standards qui ont été conçus dans un contexte différent de l’environnement français, si particulier.

Mag-Securs :  Qui avez-vous conseillé ou certifié ?

Grégoire Guétin : Des entreprises de divers secteurs nous font actuellement confiance : grande distribution, développeurs d'applications pour téléphone mobile, hébergeurs, intégrateurs et mainteneurs d'automates de paiement, commerçants, banques... Ces sociétés sont actuellement en cours de mise en conformité. Nous attendons des premières certifications au 1er trimestre 2011.

Mag-Securs :  Quel est votre retour d’expérience à ce jour et quels conseils donnez-vous aux candidats à une certification PCI DSS ?

Grégoire Guétin : La perception des standards évolue actuellement. Considéré par beaucoup il y a peu comme un coût supplémentaire, pour des entreprises ayant déja dépensé des sommes conséquentes lors de la migration EMV, les standards s'imposent de plus en plus comme incontournables, et deviennent même dans certains cas un avantage concurrentiel pour les entreprises certifiées. La version 2.0, plus proche des réalités du terrain, devrait être encore mieux acceptée, et devrait permettre aux entreprises françaises de combler leur retard.

Le choix d'un QSA est très important. Loin de n'être qu'un simple vérificateur, le rôle du QSA, défini par le PCI SSC (organisme en charge du maintien des standards) est d'accompagner l'entreprise dans la durée : dans le projet de mise en conformité, lors de l'audit de certification, et a posteriori, lors de modifications techniques ou organisationnelles. En particulier, c'est lui qui est à même de juger de la validité de mesures compensatoires envisagées. De fait, la compréhension des besoins métier, et plus généralement des spécificités monétiques domestiques est indispensable pour mener le projet à terme. Sur ce point, ELITT dispose d’une expertise unique en monétique, issue de 20 ans d’activités. Cela nous permet de proposer cette double compétence sécurité et monétique qui fait qu’un nombre croissant de clients nous fait confiance.

Autres Dossiers Gouvernance