mardi 17 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


L'offre de conseil et de certification PCI DSS d'IBM

Entretien avec Loïc Guézo, Security & Compliance Services area manager  chez IBM

 
Mag Securs : Le PCI Security Standard Council LLC vient de publier la version 2.0 de la norme PCI-DSS. Quelles en sont les nouveautés par rapport à la version précédente 1.2.

Loïc Guézo :  La version majeure 2.0 apporte des éclaircissements et précisions comme le fit la version mineure 1.2 à la version 1.1 en son temps ; il n'y a pas de modifications profondes des exigences de sécurité mais la prise en compte :
- des évolutions de l'industrie informatique et leur adoption par les clients, comme la virtualisation, avant le Cloud Computing...
- de standard de fait comme le TOP SANS ou la notation CVSS pour les vulnérabilités
- de différentes précisions relatives au chiffrement, aux périmètres, échantillonages, ...
Tout ceci concourt à atteindre progressivement un meilleur niveau de maturité.

Mag Securs : Vous êtes vous-même « Qualified Security Assessors ». Quelle a été votre motivation pour faire cet investissement, quelles activités ciblez-vous ?

Loïc Guézo : IBM est le partenaire historique des acteurs fondateurs du PCI SSC comme VISA, MasterCard ou American Express.
IBM a donc été historiquement très présent auprès de ces acteurs, depuis la conception jusqu'à  la mise en oeuvre des programmes de sécurité des systèmes informatiques associés à ces systèmes de paiement, et cela,  bien avant la naissance de  PCI DSS. A ce titre, il est naturel qu' IBM, au niveau mondial, accompagne l'adoption des nouveaux programmes de Sécurité PCI DSS au niveau des banques, des Services Providers et des marchands. Cet accompagnement se fait sur les différents segments (QSA, PA DSS, ASV, PenTests...) au rythme de l'adoption de la norme PCI DSS par les pays.
En France, nous avons une cellule QSA depuis plus de 3 ans, pour accompagner spécifiquement les demandes françaises. Cette équipe est membre de l'équipe mondiale dédiée PCI , cela  nous permet d'avoir localement accès à un réseau d'experts internationaux incomparable !
Encore trop peu connues en France, nos offres ASV sont disponibles depuis la création même de la norme. Par ailleurs, les offres PenTests IBM existent indépendamment de la demande PCI DSS et sont reconnues pour le professionnalisme et le niveau d'expertise apportés.
La valeur ajoutée d'IBM sur le marché PCI DSS est particulièrement appréciée pour les clients qui cherchent un accompagnement rigoureux, de haut niveau ou par des clients, de plus en plus nombreux, qui ont une interaction avec l'international (groupe français qui travaille avec des entités à l'étranger, ou qui cherche à être Conforme pour des appels d'offres internationaux).
 
Mag Securs : Qui avez-vous conseillé ou certifié ?

Loïc Guézo :  Notre activité est très variée (services financiers, telco, prestataires de services, multinationales françaises, industrie du luxe...) mais nous ne communiquons pas sauf autorisation expresse de nos clients, sur nos interventions Security Services au sens large.

Mag Securs : Quel est votre retour d’expérience à ce jour ? Quels conseils donnez-vous à vos prospects en quelques mots pour vous choisir comme conseil, ou comme certificateur ?
Loïc Guézo :  PCI DSS est public et la liste des certificateurs autorisés est maintenue par le PCI Council sur son site ; il est de la responsabilité du client d'adopter cette norme afin d'en maîtriser les tenants et les aboutissants pour la mise en conformité, la déclaration de conformité et son maintien dans le temps.
Ceci suppose en interne de l'entreprise, des efforts de sensibilisation préalable et de sponsoring (RSSI, responsable Conformité). Tout retard dans son adoption peut un jour ou l'autre se transformer en désavantage compétitif dans un monde de plus en plus ouvert et global : attendre qu'un client ou partenaire important demande la certification et espérer  se mettre en conformité en quelques semaines est impossible. L'expérience montre qu'il faut alors revoir beaucoup de choses, pour un coût ou des impacts très élevés...
 PCI DSS est aussi et "avant tout"  un liant incontournable, contractuel, entre banques émettrices, marchands et PSP, accepté et désormais promu par le GIE Carte Bancaire.
La mise en conformité PCI DSS, n'est pas un simple projet informatique qui se limite à la mise en place de technologies de sécurité. Il s'agit avant tout d'élaborer un système pérenne qui s'entretienne dans la durée.
Le choix d'un conseil ou certificateur ayant les épaules larges (plusieurs QSA puisque la sous-traitance est interdite),  une activité internationale ( une vision franco-française peut être pénalisante), une réelle compréhension opérationnelle de la norme (et des contrôles compensatoires reconnus par exemple) reste une garantie de bon choix . Toute erreur initiale peut s'avérer lourde de conséquence.
Autres Dossiers Gouvernance