vendredi 20 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


L’offre de conseil et de certification PCI DSS de Verizon Business

Verizon Business, division de Verizon Communications, est l’un des principaux fournisseurs mondiaux de solutions de Communications. Verizon Business intervient dans les domaines des Communications, de l’Infogérance, de la sécurité des informations et des réseaux. Cette société est organisée sous la forme de matrices géographique couvrant le monde entier, de compétences métiers et de compétences techniques et normative. C’est l’un des pionniers pour la certification PCI DSS en France.

Entretien avec  Rodolphe Simonetti, Head of Governance Risk and Compliance Professional Services EMEA chez Verizon Business.

Mag-Securs : Le PCI Security Standard Council LLC vient de publier la version 2.0 de la norme PCI-DSS. Quelles en sont les nouveautés par  rapport à la version précédente 1.2. ?

Rodolphe Simonetti : La nouvelle version de PCI DSS n'est pas une révolution en la matière bien que le changement de version majeure, à savoir passage de la version 1.2.1 à la version 2.0, puisse laisser croire le contraire. En effet, cette nouvelle version arrive avec un nouveau cycle de vie du standard qui passe à 3 ans au lieu de 2 ans, ce nouveau cycle précise que le standard sera incrémenté d'une version majeure tous les 3 ans.

Parmi les nouveautés de la version 2.0 :

- précision que le standard s'applique à la fonction "émission".

- prise en compte de la virtualisation

- prise en compte d'une approche de gestion du risque pour la mise en application des correctifs de sécurité

- clarification sur la non-compatibilité entre le stockage d'un hash de PAN et d'un PAN tronqué (l'un ou l'autre mais pas les deux)

- précision sur la notion de périmètre et les méthodes de choix de l'échantillonnage d'audit

- élargissement de l'audit de code à l'ensemble des applications et non plus aux seules applications web

- précision en termes de gestion et de protection des clés de chiffrement

- précision sur l'authentification à deux facteurs, ceux-ci devant bien évidemment être distincts

La plupart des ces mises à jours sont en réalité des clarifications qui ne devraient pas impliquer de nouveaux challenges aux acteurs soumis à ce standard. Cette nouvelle version de PCI DSS, plus mature, devient de plus en plus le référentiel en matière de gestion de données sensibles, si bien qu'il est de plus en plus utilisé même au delà des entités qui y sont directement soumises.

Mag-Securs : Vous êtes vous-même « Qualified Security Assessors ». Quelle a été votre motivation pour faire cet investissement, quelles sont vos cibles et vos points forts

Rodolphe Simonetti : La qualification Qualified Security Assessor a été une suite logique de nos activités de consulting. Nos équipes travaillaient déjà sur les standards qui ont précédé la création du PCI SSC en 2004. La mise en place de PCI-DSS comme un standard commun entre les organismes cartes nous est apparue une approche pertinente et en directe continuité de nos activités. C'est pourquoi nos équipes disposent d'une expérience à ce jour inégalée dans ce domaine, en particulier en France.

Mag-Securs : Qui avez-vous conseillé ou certifié ?

Rodolphe Sominotti : De nombreux clients ne souhaitent pas communiquer sur le sujet tant qu'ils n'ont pas mené à terme leur processus de mise en conformité et nous respectons ce choix.

Concernant une certaine catégorie d'acteurs certifiés, les 'payment service providers', de nombreuses sociétés française font partie d’une liste rendue publique sur les sites de Visa et MasterCard, je peux donc vous citer pour la France des acteurs tels que Monext et Ingenico avec lesquels nous travaillons depuis de nombreuses années.

Nous collaborons également avec de nombreuses Banques, commerçants, ou de manière plus générale avec l'ensemble de l'écosystème qui gravite autour de l'utilisation de la carte de crédit.

En complément de PCI-DSS, Verizon Business propose également une offre autour de PA-DSS, un standard qui concerne plus spécifiquement les offreurs de logiciels monétiques. Comme pour PCI-DSS, Verizon Business dispose d'une expérience qui est antérieure à la création du standard, puisque nos consultants travaillaient déjà sur le référentiel PABP de Visa, qui a laissé sa place en 2008 au standard PA DSS depuis lors géré par la PCI SSC.

Mag-Securs : Quel est votre retour d’expérience à ce jour et quels conseils donnez-vous à vos prospects ?

Rodolphe Simonetti : La taille de nos équipes (environ 60 QSA en Europe) nous a permis, au delà de notre expertise particulière sur PCI-DSS, d'acquérir une expertise dans les différents domaines d'activité de nos clients. Cette expertise dite "Verticale" nous permet aujourd'hui de répondre au besoin de tout client en lui proposant non seulement de travailler avec des consultants experts en PCI-DSS et autres sujet de Gouvernance, Risque et Conformité, mais qui sont également au fait de son domaine d'activité. 

Nos consultants QSA se spécialisent chacun dans un secteur bien précis, ainsi nous avons des QSA orientés Banque/Finance, Voyages & Hospitalité, Grande Distribution, ou encore Industrie du Luxe...

La valeur apportée par un consultant qui cumule son expertise PCI et la connaissance parfaite d'un secteur d'activité permet, au-delà de la conformité, d'accompagner nos clients au plus près de leurs besoins.

Plutôt que de conseiller au prospect une entreprise particulière, je préfère donner les critères de choix qui permettent de sélectionner un QSA de qualité : mes 5 critères pour choisir une société QSA seraient les suivants :

1/ La société QSA est-elle référencée par le PCI SSC ? Le PCI SSC liste les sociétés QSA, PA QSA ainsi que celles habilitées à effectuer des investigations Forensics. 

2/ La société QSA est-elle référencée par Visa et MasterCard ? Visa et MasterCard indiquent sur leurs sites respectifs la liste des fournisseurs de services certifiés et leur accompagnant/évaluateur. Un QSA qui n'apparait dans cette liste n'a pas l'expérience d'une certification menée à terme.

3/ La société QSA est-elle référencé par le Groupement des Cartes Bancaires ? En France, le GIE CB audite et référence les QSA pour vérifier leur adhésion aux spécificités françaises, cette liste est publiée sur le site du GIE CB.

4/ Le consultant QSA est-il habilité par le PCI-SSC ? Le site du PCI SSC vous permet de vérifier pour n'importe quel consultant s'il est bien habilité à travailler sur PCI DSS. En outre, je conseillerais de vérifier que la société dispose au moins de 3 QSA habilités afin de valider qu'il ne s'agit pas d'une activité accessoire et/ou opportuniste.

5/ La société dispose-t-elle de solides références dans le secteur d'activité concerné?
Est-elle prête à vous mettre en contact avec d'autres de ses clients ?

Autres Dossiers Gouvernance