dimanche 15 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


L'offre de conseil et de certification PCI DSS de AQL - Orange Business Services

Orange Business Services est l’entité du groupe Orange en charge des services de communication pour les entreprises dans le monde. Ses métiers couvrent l’ensemble des besoins  des entreprises liés à la communication : téléphonie, réseaux, sécurité, mobilité, services IT, travail collaboratif, intégration, conseil, accompagnement utilisateur, outsourcing.

Le groupe est reconnu comme un acteur majeur dans les domaines de la sécurité des systèmes d’information et de la monétique. Parmi ces prestations figurent les missions de conseil, d’accompagnement et de certification au référentiel PCI DSS.

Entretien avec David Boucher.

Mag Securs : Le PCI Security Standard Council LLC vient de publier la version 2.0 de la norme PCI-DSS. Quelles en sont les nouveautés ? Est-ce un gros bouleversement par rapport à la version précédente 1.2.

David Boucher : Non, il n’y a pas de gros bouleversement. Le changement le plus flagrant concerne une meilleure mise en œuvre de la veille sécurité, associée à un processus d’analyse de risque des vulnérabilités. Noter que si cette exigence est recommandée dès maintenant, elle ne sera obligatoire qu’à partir du 1er juillet 2012, ce qui laisse ainsi le temps aux entreprises de se préparer.

Les autres changements concernent principalement des clarifications dans la description des exigences, par exemple sur le positionnement des I.D.S., sur l’utilisation de la virtualisation, ou sur la non-divulgation de l’adressage interne.

Mag Securs : Vous êtes vous-même « Qualified Security Assessors ». Quelle a été votre motivation pour faire cet investissement ?

David Boucher : Notre offre PCI DSS est un prolongement logique des activités liées à la sécurité qui sont gérées au sein d’Orange Business Services.

Orange Business Services, via ses activités de consulting, accompagne ses clients sur toutes les problématiques liées à la sécurité des Systèmes d’Information depuis une vingtaine d’années. C’est donc en toute logique que nous nous sommes positionnés sur le sujet PCI DSS dès son déploiement en France. Notre entité juridique Silicomp-AQL – filiale d’Orange Business Services -  a ensuite été accréditée QSA (Qualified Security Assessor) en 2008, ce qui l’autorise à conduire des audits de certification PCI DSS.

Notre offre PCI DSS s’interface avec l’ensemble de nos autres offres de conseil et d’audit dédiées à la sécurité de l’information : analyses de risques et schéma directeur PSSI, expertises techniques (tests d’intrusion, audits de configuration), sensibilisation et formations sécurité, etc. Nos QSA interviennent aussi sur des missions d’expertise et d’évaluation pour notre CESTI – Centre d’Evaluation de la Sécurité des Technologies de l’Information – agréé par l’ANSSI) et des tests de cartes et terminaux de paiement.

Nous accompagnons l’ensemble de nos clients dans leur projet de mise en conformité PCI DSS, soit en pilotant l’ensemble du projet, soit en intervenant à leur demande sur des expertises spécifiques.

A l’aide de notre partenaire ASV Qualys, nous accompagnons également nos clients dans leurs projets de scans de vulnérabilités externes.

Mag Securs : Qui avez-vous conseillé ou certifié ?

David Boucher : Les clients que nous accompagnons ou certifions viennent d’horizons assez divers. Nous travaillons dans les domaines de la relation clientèle, du transport, des jeux, ainsi que dans le domaine du commerce en ligne.

Nos QSA (Qualified Security Assessors) conseillent également les entités du groupe France Telecom, même si ces entités seront auditées par des QSA externes indépendants pour des raisons évidentes d’éthique et de séparation des pouvoirs.

Mag Securs : Quel est votre retour d’expérience à ce jour ?

David Boucher : Le premier constat est que les clients souhaitant démarrer un projet PCI DSS sous-estiment très souvent la portée du référentiel. Contrairement à d’autres normes, le périmètre d’application est « imposé » par PCI DSS, il n’est donc pas choisi par l’auditeur ou l’audité, et il ne se limite pas aux seuls serveurs traitant des données de cartes bancaires. Les règles de définition du périmètre sont en effet strictes et elles englobent de nombreuses parties du S.I. …subtilités auxquelles le client n’a pas forcément pensé au stade initial du projet.

Une fois ce périmètre défini, il est fortement recommandé de mener des actions de réduction – en conformité avec les règles - afin de limiter la portée PCI DSS à un périmètre le plus restreint possible. Cette réduction peut notamment s’opérer en menant des actions de cloisonnement réseau, cloisonnement applicatif, d’urbanisme et de contractualisation avec des tiers. L’avantage d’un périmètre réduit est double :

-           Le risque de vol de données de cartes bancaires est limité à un périmètre restreint et sécurisé du Système d’Information, il est donc mécaniquement plus faible.

-           Le coût et la complexité de mise en conformité et du maintien annuel de la certification sont plus faibles.

Cette problématique de définition du périmètre est essentielle. Si une organisation souhaitait démarrer un projet PCI DSS sans être accompagnée par un QSA, nous lui recommanderions vivement de passer du temps à bien identifier le périmètre puis à mener des actions de réductions. Ce n’est qu’une fois que le périmètre est figé que le responsable projet doit s’attacher à étudier les exigences de sécurité du référentiel.

Le second constat concerne la transversalité du projet PCI DSS au sein de l’organisation. La mise en conformité impacte en effet de nombreux métiers : RSSI, MOA, MOE, DSI, exploitation, service clientèle, fonctions de support, etc. Il est donc essentiel que le projet soit porté en interne par la direction de l’entreprise, de façon à impliquer tous les acteurs concernés. Cette recommandation s’applique d’autant plus lorsqu’il s’agit d’une entreprise de grande taille.

Enfin, nous constatons souvent que certaines exigences sont mal interprétées lorsqu’une organisation démarre son projet en interne. Dès le début de nos missions d’accompagnement, nous sommes très souvent amenés à recadrer le projet en explicitant les objectifs de sécurité demandés par le référentiel. Puis, lors du déroulement du projet, nous sommes amenés à définir des solutions compensatoires qui permettent de répondre aux impératifs de sécurité demandés.

Autres Dossiers Gouvernance