PCI DSS 4.0 et IAG

Dans le monde de la cybersécurité, des normes ont été mises en place afin de garantir la sécurité des données et des entreprises qui les conservent.

Le PCI DSS est l’une de ces normes, dédiée à la sécurité des données des moyens de paiement. Elle a été publiée pour la première fois en 2004. Nous en sommes aujourd’hui à la quatrième version, sortie récemment en mars 2022.

Que représente le PCI DSS dans le paysage informatique ? Comment l’IAG peut s’y appliquer ?

Qu’est ce que c’est ?

Le PCI DSS (Payment Card Industry Data Security Standard, ou norme de sécurité de l’industrie des cartes de paiement) est un standard de sécurité s’adressant aux entreprises qui stockent, traitent ou transmettent des données des cartes de paiement.

Ce standard est administré par le « PCI SSC » (PCI Security Standards Council, ou Conseil des normes de sécurité PCI), fondé conjointement par les cinq principaux fournisseurs de carte de paiement : Visa, MasterCard, American Express, Discover Card et JCB.

L’objectif est de fournir, à la fois aux utilisateurs et aux organismes bancaires, une garantie que les entreprises respectent les exigences minimales de protection des données de paiement, afin de limiter l’utilisation frauduleuse de ces informations.

Les exigences du PCI DSS

Le PCI DSS s’appuie sur 3 axes principaux :

• Sécurisation de la collecte et transmission des données de carte bancaire des clients
• Sauvegarde des données de manière sécurisée
• Garantie que les contrôles de sécurité sont réalisés chaque année

Pour répondre à ces besoins, le PCI DSS est découpé en six principaux groupes de contrôles, comprenant eux-mêmes différents sous-objectifs :

1. Construire et maintenir un réseau sécurisé 
   1. Mettre en place et gérer un pare-feu
   2. Ne pas utiliser les mots de passe et paramètres par défaut mis en place par les fournisseurs
2. Protéger les données du titulaire
   1. Protéger les données stockées
   2. Chiffrer la transmission des données
3. Maintenir un programme de gestion des vulnérabilités
   1. Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels anti-virus
4. Mettre en place des mesures strictes de contrôle d’accès
   1. Restreindre l’accès aux données uniquement aux personnes autorisées
   2. Identifier et authentifier les accès aux éléments du système
   3. Restreindre physiquement l’accès aux données du titulaire
5. Contrôler régulièrement les réseaux
   1. Suivre et contrôler les accès aux ressources des réseaux
   2. Tester régulièrement les systèmes de sécurité et processus
6. Maintenir une politique de sécurité des données
   1. Maintenir une politique de sécurité de l’information pour tout le personnel.

Pour obtenir la certification de conformité à PCI DSS, les entreprises devront se soumettre à un audit validant ces différents points. Il existe 4 niveaux de certifications PCI DSS, déterminés notamment en fonction du volume de transactions réalisées par l’entreprise.

Nouveautés de la V4

La dernière version de PCI DSS a été publiée en mars 2022, et devra être appliquée avant mars 2024. Il s’agit d’une mise à jour majeure (pour preuve, le document de référence officiel pèse aujourd’hui 360 pages, contre 139 pour la version précédente !), élaborée avec la contribution de plusieurs sociétés afin de mieux répondre aux besoins actuels en termes de sécurité. Cette nouvelle version comprend plusieurs objectifs :

• Continuer à répondre aux besoins de sécurité du secteur paiement et aux nouvelles pratiques ; par exemple avec la prise en compte de l’authentification multi facteurs (MFA), une exigence accrue sur règles liées au mot de passe, la revue régulière des privilèges d’accès
• Promouvoir la sécurité en tant que processus continu , cruciale pour protéger les données de paiement ; attribution claire des rôles et responsabilités pour chaque exigence, rédaction de guide de prérequis, de rapports personnalisés pour l’audit…
• Augmenter la flexibilité pour les entreprises utilisant différentes méthodes pour atteindre leurs objectifs de sécurité, avec la mise en place d’une nouvelle approche personnalisée pour mettre en œuvre et valider les exigences PCI DSS
• Améliorer les méthodes et procédures de validation, notamment avec l’alignement entreles informations du rapport de conformité et de l’attestation de conformité PCI DSS

IAG et PCI DSS

Avec la mise place de « mesures strictes de contrôles d’accès », la gouvernance des identités et des accès entre dans le cadre du PCI DSS. Rappelons parmi les objectifs à atteindre :

• Revue de l’ensemble des comptes utilisateurs et des privilèges d’accès associés
• Revue des accès par compte applicatifs/système et privilèges
• Restreindre les accès au accès aux composants du SI uniquement nécessaires
• une revue de privilèges d’accès au moins une fois tous les six mois.

Pour atteindre ces exigences, plusieurs problématiques se posent pour l’entreprise :

• Comment uniformiser les informations diverses, issues d’environnements hétérogènes ?
• Comment prendre en compte les spécificités du SI de l’entreprise
• Comment obtenir l’adhérence des métiers ?
• Comment optimiser l’administration des multiples revues ?
• Peut-on y parvenir avec un RIO satisfaisant ?

Avec l’aide d’une solution dédiée à l’IAG, il sera possible de s’adapter aux besoins de l’entreprise, en commençant par un module de transformation permettant d’interpréter et d’uniformiser l’information brute issue des divers environnements applicatifs et système.

Une modélisation pertinente du SI à partir de ces données sera le socle de diverses analyses, avec notamment des fonctionnalités de requêtage et de détection d’anomalie dans l’attribution de droits ou autres règles de SoD.

La revue sera assurée par une interface en client léger accessible, personnalisable et ergonomique pour les métiers, avec la gestion de campagnes de révision par organisation, ou par ressource. Ce portail disposera de fonctionnalités complémentaires pour mieux adresser les besoins de l’entreprise : mise en évidence des droits à surveiller prioritairement, supervision des mouvements, prévalidation par matrice de droits…

Une solution telle que Kleverware IAG par exemple 🙂