lundi 16 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


L’offre de conseil et de certification PCI DSS de Provadys

Provadys est un cabinet d’Audit et de Conseil indépendant créé en 2006. Il compte 25 personnes et dispose de compétences en tests d’intrusion, audit, et conseil en sécurité et gouvernance des systèmes d’information. Les activités autour de PCI DSS représentent environ un quart de son chiffre d’affaires. Provadys est référencé par le GIE Carte Bancaire et anime un site web dédié à ce standard : http://www.provadys.com/pci-dss/

Entretien avec Yann Piederriere, Manager Audit et Conseil SSI.

 

Mag Securs : Le PCI Security Standard Council LLC vient de publier la version 2.0 de la norme PCI-DSS. Quelles en sont les nouveautés par rapport à la version précédente 1.2.

Yann Piederriere : En quelques mots, la nouvelle version de PCI DSS apporte principalement des précisions, telles que la possibilité d’avoir recours aux techniques de virtualisation, des clarifications sur la notion de périmètre, les règles de gestion des correctifs et de gestion des clefs de chiffrement... La version 2.0 de PA DSS, adopte les mêmes changements, et précise en plus qu’elle s’applique aux  logiciels embarqués sur les distributeurs de billets et autres terminaux de paiement.

Cette version précise également des points spécifiques aux banques émettrices, ce qui laisse présumer que les exigences des réseaux de cartes pourraient se renforcer pour elles.

Globalement, cette nouvelle version n’apporte pas de révolution, ni d’assouplissement particulier, juste des précisions. Nous pouvons y voir une bonne maturité du standard et une ligne directrice clairement établie.

Le groupe de travail PCI DSS du CLUSIF, auquel nous participons, va publier très prochainement sur son site une note d’information plus détaillée sur ces changements de la version 2.0.

Mag Securs : Vous êtes vous-même « Qualified Security Assessors ». Quelle a été votre motivation pour faire cet investissement, quelles activités ciblez-vous ?

Yann Piederriere : Ce positionnement correspond à notre volonté d’accompagner nos clients jusqu’à la certification et au-delà. Cette certification correspond également à une volonté de répondre aux besoins de nos clients historiques qui sont de plus en plus confrontés à l’exigence de la certification.

Notre positionnement est clair : nous accompagnons nos clients vers la certification tout en restant dans un rôle d’auditeur indépendant. Notre rôle est de conseiller nos clients et de contrôler la mise en œuvre de leur sécurité, mais pas de l’implémenter. Nous intervenons depuis les phases amont de conseil (analyse d’écarts et identification d’un programme de mise en conformité, accompagnement) jusqu’aux phases d’audit de certification QSA. Nous réalisons également les audits techniques demandés par PCI DSS notamment les scans de vulnérabilités, les tests d’intrusion et les revues de code des programmes. Nous ne réalisons pas en revanche les étapes de fourniture ou mise en œuvre des solutions de sécurité (intégration, vente de produits ou de services managés).

Parmi nos points forts, nous pouvons citer notre référencement par le GIE Carte Bancaire. Le référencement "CB" garantit une offre en langue française, adaptée au marché "CB" ainsi que la confidentialité totale des données recueillies pendant ces audits. En ligne avec notre positionnement d’auditeur indépendant, Provadys est libre de tout partenariat avec des constructeurs ou éditeurs de solutions de sécurité. La structure de Provadys nous permet de faire preuve de souplesse et d’agilité dans nos relations avec nos clients et nos interventions. La taille de l’équipe dédiée (5 personnes actives sur le sujet) nous permet de séparer les activités audit et conseil en toute déontologie. Nous attachons une grande importance au transfert de compétence et la formation des équipes des clients impliquées dans la mise en œuvre de PCI DSS, démarche nécessaire pour le maintien dans le temps de la certification.

Mag Securs : Depuis quand êtes vous positionné sur ce marché ?

Yann Piederriere : Nous dédions une équipe de spécialistes PCI DSS positionnée sur ce marché depuis 2006. Ces experts sont membres actifs de groupes de travail sur le sujet tels que le CLUSIF ou Netfocus.

Mag Securs : Qui avez-vous conseillé ou certifié ?

Yann Piederriere : Notre clientèle a suivi les évolutions du marché : nos clients historiques, les organismes financiers, ont été les premiers à recevoir les demandes des réseaux de cartes et donc à nous demander de les accompagner sur le sujet. Ont suivi ensuite les fournisseurs de service (passerélistes monéticiens, fournisseur de paiement sur Internet, éditeurs de logiciels ou de solutions de paiement) qui avaient eux-mêmes reçu des demandes de la part de leurs clients.

Aujourd’hui, nos clients appartiennent à de nombreux secteurs d’activités marchandes telles que des sociétés de grande distribution, société d’autoroute, opérateurs de téléphonie, voyagistes, hôtellerie, restauration…

Mag Securs : Quel est votre retour d’expérience à ce jour ? Quels conseils donnez-vous à vos prospects en quelques mots pour vous choisir comme conseil, ou comme certificateur 

Yann Piederriere : Un projet PCI DSS se construit dans la durée, c’est un véritable changement de l’entreprise. Les projets qui aboutissent le plus positivement sont ceux portés par l’ensemble de la DSI et des services métiers concernés, pas uniquement le RSSI ou le responsable de la conformité.  

Contrairement à ce que l’on pourrait croire, la certification PCI DSS n’est pas obligatoirement synonyme de dépenses inconsidérées, il est possible de structurer le coût d’un projet de mise en conformité PCI DSS pour l’optimiser, notamment en tenant compte de la réduction de périmètre ou de l’externalisation de fonctions sensibles.

Il est également important de prendre en compte la dimension MAINTIEN de la certification car l'obtention du premier certificat n'est qu'une étape. L’entreprise doit permettre la mise en œuvre des processus permettant d'obtenir la certification et de la GARDER. L’approche la plus efficace est celle des clients qui inscrivent la conformité PCI DSS dans leur démarche de contrôle permanent.

De plus, la FORMATION de l'ensemble des acteurs impliqués dans le projet de mise en conformité permet d'accroitre fortement l'efficacité des efforts réalisés en mettant en place un vocabulaire commun et en mettant en évidence les synergies.

Pour les fournisseurs de service, la conformité PCI DSS était vue uniquement comme un centre de coût. Les règles de mise en concurrence ont évoluées : le marché propose désormais suffisamment  de fournisseurs certifiés pour que ce soit un élément de choix lors des appels d’offre, et que les fournisseurs certifiés soient aujourd’hui avantagés, les autres handicapés. La certification devient donc une opportunité pour eux de faire la différence et de capter de nouveaux marchés : elle est vue pour ces fournisseurs désormais également comme un centre de profits.

En tant que conseiller, les éléments importants sont la capacité à s’adapter à vos contraintes, la connaissance des nombreuses spécificités du paysage monétique Français, la capacité à proposer des solutions innovantes pour l’optimisation des coûts, l’indépendance, la pédagogie et la capacité à accompagner au changement.

Dans un contexte d’audit, le facteur humain est très important, demandez à rencontrer l’auditeur QSA ! Un bon QSA combine 3 qualités principales :

         - Expertise en sécurité et gestion du risque,

         - Solides connaissances dans le domaine monétique,

         - Expérience d’auditeur : bon relationnel, écoute, sens critique et objectivité.

Pour le choix de la société QSA, réfléchissez à qui vous allez confier vos informations sensibles accédées ou collectées lors de d’audit : quel niveau de sécurité pour ces données très sensibles ? La taille de l’équipe dédiée à PCI DSS est également un indicateur du dynamisme de la société sur le sujet et du capital de connaissances sur lequel pourra s’appuyer le QSA en interne.

Autres Dossiers Gouvernance