Upload
farid-yandouz
View
225
Download
0
Embed Size (px)
Citation preview
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 1/25
CONCILIATION ENTRE EXIGENCES INTERNATIONALES DES NORMES DE
CONFORMITÉ PCI ET LES BESOINS DEVOTRE ENTREPRISE
Kawther Haciane
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 2/25
AGENDA
§ Cybercriminalité : Les risques que courent les entreprises
§ Qu’est-ce que la norme PCI-DSS?
§ La conformité en trois étapes :
1. Évaluer le processus de certification2. Entamer la certification PCI-DSS
3. Obtenir l’attestation de certification et la maintenir
§ Questions
2
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 3/25
CYBERCRIMINALITÉ : LES RISQUES QUECOURENT LES ENTREPRISES
• Voici une liste des renseignements qu'ils recherchent :
ü Dossiers de clients (y compris les coordonnées,l'historique des ventes et les mots de passe)
ü Listes de contacts
ü Renseignements des employés (y compris l'adressecourriel et les mots de passe)
ü Information bancaire de votre compagnie
ü Numéros de carte de crédit
• Ils cherchent également une façon de :
ü compromettre les serveurs
ü •infecter les ordinateurs avec des virus et desprogrammes malveillants
ü •accéder à votre système
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 4/25
INFORMATIONS RELATIVES AUX CARTESDE CRÉDIT
Les cybercriminels recherchent l’information sensible
Carte de Crédit
123
No de compteprincipal
Dated’expiration
Bandemagnétique:
• No de compteprincipal
• dated’expiration
• codes deservice
• codes de
validation
Code devalidationSi l’information sensible estsauvegardée,les criminels vont l’obtenir pour lareproduire, et vendre de fausses
cartes valides partout dans le monde.
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 5/25
QU’EST CE QUE LA NORME PCI?
PCI DSS – Payment Card Industry Data Security Standard
Comité de gouvernance de l’Industrie des Cartes dePaiement PCI (Payment Card Industry Council)
• Fondé en 2005
• Regroupement des normes VISA, MasterCard, American Express, JCB, Discover
• Normes PCI-DSS (Data Security Standards) de pratiquesd’excellence pour sécuriser les transactions
Adhérer à ces pratiques permet de minimiser les pertes liéesaux fraudes éventuelles et l’obtention de la certification permettrade minimiser l’évaluation du risque que porte les banquesémettrices envers le marchand.
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 6/25
LES PRINCIPES DU PCI-DSS
• Normes en matière de sécurité des données
• Représentent un ensemble complet de conditions de sécuritépour les sociétés qui traitent, transmettent ou conservent lesdonnées de cartes de paiement.
• Douze principes de sécurité, regroupés dans les six objectifssuivants :
1. Création et gestion d’un réseau sécurisé
2. Protection des données des titulaires des cartes de crédit
3. Mise à jour d’un programme de gestion des vulnérabilités
4. Mise en œuvre de mesures de contrôle d’accès strictes5. Surveillance et test réguliers des réseaux
6. Gestion d’une politique de sécurité des informations
6
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 7/25
LES EXIGENCES DU STANDARD PCI DSS?
• Demandé par les différentes marques de cartes de paiement, lescommerçants ainsi que les prestataires de service doivent seconformer au standard PCI DSS dans sa totalité.
• D’après la quantité des transactions, le modèle d’affaires, et d’aprèsd’autres critères additionnels, les marques des cartes de paiementont défini des exigences et validations de conformité spécifiques.
• Ces exigences de validation vont du questionnaire d'autoévaluation àl'évaluation annuelle devant être effectuée sur place par unévaluateur de sécurité qualifié (Qualified Security Assessor, QSA)
7
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 8/25
LES IMPLICATIONS DE NON-CONFORMITÉ
• Le non-respect de la conformité peut entraîner de sévères pénalités,incluant l'obligation de payer des amendes, la hausse des frais detransaction ou la perte du droit d'accès aux ressources d'un réseaude cartes de paiement.
• Le fait de ne pas assurer la sécurité des données des titulaires peutse traduire en un coût élevé pour les marchands :
ü pertes financières
ü réputation gravement entachée
ü risques de poursuites judiciaires élevés
ü pertes occasionnées par une réduction du niveau de confiance desdétenteurs de cartes de crédit
ü sujet à des amendes ou pénalités
ü susceptible de faire face à une annulation de service
8
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 9/25
ÉTAPE 1 – ÉVALUER LEPROCESSUS DE CERTIFICATION
9
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 10/25
IDENTIFIER UN PROPRIÉTAIRE DEL’INITIATIVE
• Identifier les enjeux de la non-conformité
• Avoir l’appui de la Haute Direction est primordial pour lesuccès de la certification
• Le propriétaire de l’initiative assurera un levier importantdans les changements à apporter au niveau del’organisation au niveau:
• Des technologies de l’information
• Des processus d’affaires et des procédures
• Du personnel• Le département des Technologies de l’Information ne
pourra pas assurer tous les leviers nécessaires
1 0
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 11/25
LE CHOIX D’UN QSA ET D’UN ASV
QSA (QUALIFIED SECURITYASSESSOR)
Consultants de sécuritéqualifiés par le PCI Council
pour valider les questionnairesd’évaluation.
Ils sont répertoriés dans uneliste officielle par pays :www.pcisecuritystandards.org
Le choix du QSA est capital
ASV (APPROVED SCANNINGVENDOR)
Vendeurs certifiés par le PCICouncil pour effectuer des
analyses de vulnérabilités sur les systèmes d’information descommerçants et prestataire deservices.
Ils sont répertoriés dans une
liste officielle sur le site PCI Security standards
1 1
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 12/25
LES EXIGENCES DES COMMERÇANTS ETFOURNISSEURS
Type de commerçant Type devalidation
Type Balayagestrimestriels
1 validation type 1:Carte absente. Toutes les fonctions de titulaires imparties. Aucunsystème PDV face à face.
Autoévaluationvalidée par unvérificateur QSA
A Aucun
2 validation type 2:Commerçant à prise d’empreinte seulement. Aucun stockage dedonnées titulaires.
Autoévaluationvalidée par unvérificateur QSA
B Aucun
3 validation type 3:Commerçant avec terminal PDV autonome. Aucun stockage dedonnées titulaires.
Autoévaluationvalidée par unvérificateur QSA
B Aucun
4 validation type 4:Commerçant avec application de paiement branché sur internet.
Aucun strockage de données titulaires
Autoévaluationvalidée par unvérificateur QSA
C trimestriel
5 validation type 5:Commerçants avec moins de 6 millions de transactions.Fournisseurs de service avec moins de 300000 transactions
Autoévaluationvalidée par unvérificateur QSA
D trimestriel
6 commerçants et fournisseurs de service de niveau 1Volume supérieur à type 5Intrusion ayant résulté en une compromission de données
Ayant été identifié comme Niveau 1 par un émetteur
Sur placeRapport deconformité (ROC)
audit trimestriel
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 13/25
PROCESSUS DE CERTIFICATIONÉVALUATION SUR PLACE
• Validation sur place par un vérificateur certifié QSAü fournisseurs de service et marchands ayant plus de 6 millions de transactions
ü marchands ayant subi une brèche de sécurité
• Balayages de vulnérabilité trimestriels effectués par un ASV
• Marchands : Attestation de conformité ou sommaire exécutif du ROC
transmis à l’acquéreur • Fournisseurs de service : Attestation de conformité et sommaire exécutif
du ROC envoyé et à la marque
• En cas de non-conformité
ü un plan d’action de remédiation doit être présenté
ü le vérificateur QSA peut proposer des contrôles compensatoires
Fournisseursde service /MarchandNiveau 1
Évaluation sur placePlan d’action
Remédiation
Contrôles Compensatoire
Certification Transmission à l’acquéreur Balayages de
vulnérabilité trimestriels
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 14/25
PROCESSUS DE CERTIFICATION – AUTOÉVALUATION
Pour tous les marchands et fournisseurs de service éligibles àl’autoévaluation
Questionnaire d’autoévaluation A, B, C et D
• accessible au moyen du portail www.pcisecuritystandards.org/
•
le questionnaire d’autoévaluation est validé par un vérificateur QSA selon les requis deVISA canada
• balayages de vulnérabilité trimestriels effectués par un ASV pour commerçants de type 4et 5
Attestation de conformité transmis à l’acquéreur par le marchand
Plan d’action de remédiation en cas de non-conformité
Tous les autresmarchands
Questionnaire d’auto-évaluation Remédiation
Certification Transmission à l’acquéreur Balayages devulnérabilité trimestriels
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 15/25
ANALYSE D’ÉCARTS VIS-À-VIS DES REQUISPCI
• Évaluation complète des mesures de sécurité par rapportaux exigences du PCI DSS.
• Inventorier les processus d’affaires qui impliquent lescartes de crédit et les systèmes pour définir votre portée
• Mieux comprendre votre environnement / système
• Rencontrer les joueurs clés de tous les secteurs liés àchaque processus et procéder à votre évaluation
• Bien formuler ses questions et demander à voir,comprendre
• Soyez intéressé(e) et notez les différents écarts !
1 5
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 16/25
IDENTIFIER LES ÉCARTS ET LES MESURESCORRECTRICES
Le QSA évaluera les contrôles en place et validera leur conformité.Il permet à l’organisation de mieux cibler les écarts de non-conformité et proposera des mesures correctives à mettre enplace.
L’analyse d’écarts doit être faite par requis et par processus
d’affaire en mettant en évidence les efforts liés à :• L’adaptation des systèmes d’information• Changements d’un point de vue des processus d’affaires et des
procédures• L’ajustement des pratiques liées au personnel
Réduisez votre portée au maximum!• Pour les systèmes d’information : préconiser la segmentation!• Pour les processus d’affaires : adapter les supports de travail et
soyez créatifs• Pour le personnel : des campagnes de sensibilisation peu
coûteuses, c’est possible! 1 6
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 17/25
LES MESURES CORRECTRICES
• On ne peut pas tout corriger à la perfection!
• Évaluation des contrôles compensatoires avec l’assistance devotre QSA:
ü Respectent l’intention et la rigueur de la clause initiale de la norme PCI DSS.ü N’augmentent le niveau de risque.ü Parviennent à compenser suffisamment le risque prévenu par la clause initiale .
• L’évaluation des écarts doit se traduire en différentesinitiatives estimées en terme d’efforts et d’investissements pour apporter les mesures correctrices
1 7
Initiatives (2008 - 2010) Type Owner Scope
Estimated
Cost
Target
Date Comments
25. Initiative 1 SECKawther Haciane
minor 250 K 2008 Explication sommaire du correctif 1
26. Initiative 2 SECKawther Haciane
medium 300K 2008Explication sommaire du correctif 2
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 18/25
ÉTAPE 2 – ENTAMER LEPROCESSUS DE CERTIFICATION
1 8
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 19/25
LE COMITÉ EXÉCUTIF DE GESTION
Mettre en place un comité exécutif qui doit se rencontrer régulièrement pour:
• Suivre l’évolution des initiatives
• Comprendre les enjeux et agir à titre de levier pour lesrégler
• Prendre des orientations d’affaires en ligne avec lamise en place de la certification
• Exercer des pressions auprès des partenaires d’affaires
1 9
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 20/25
LES GRANDES LIGNES DIRECTRICES
Ne stockez pas les données sensibles si vous n’en avez pasvraiment besoin. L’information non sensible peut êtreconservée mais en prenant soin de la sécuriser par desmoyens de protection et des moyens cryptographiques
2 0
Carte de Crédit
123
No de compteprincipal
dated’expiration
bandemagnétique:
code devalidation
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 21/25
LES GRANDES LIGNES DIRECTRICES
• Sécurisez le périmètre et segmentez l’environnementtransactionnel
• Sécurisez les applications
•
Surveillez et contrôlez l'accès à vos systèmes• Protégez les données du détenteur de la carte qui doivent
être stockées
• Finalisez les mesures de conformité qui doivent encoreêtre mises en œuvre et assurez-vous que tous lesdispositifs de contrôle sont en place
• Effectuez vos tests de vulnérabilités 4fois par année et veillez à la mise en place des correctifs
2 1
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 22/25
LES ÉVIDENCES EN PRÉPARATION
• Identifier les feuilles de routes applicatives, technologiques,processus et procédures,
• Valider les solutions au fur et à mesure de l’avancement desinitiatives
• Récolter les évidences par requis :
ü Dans le cas d’un audit sur site, cette activité permettra àl’organisation de préparer le processus de certification.
ü Dans le cas d’une validation d’auto-évaluation, le niveau deconfort du QSA augmentera puisque l’organisation témoigned’une bonne compréhension des requis et d’évidences associés
• Documenter les contrôles compensatoires ainsi que lesplans de mitigation à partir de la « Fiche de contrôlescompensatoires » (Réf : PCI Standard)
• Référencer vos évidences en préparation pour lesprocessus de certification annuelle
2 2
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 23/25
ÉTAPE 3 – L’ATTESTATION DECERTIFICATION
2 3
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 24/25
L’ATTESTATION
• Deux types de validations:ü Questionnaire d’auto-évaluation validé : Le QSA passera en revue le
questionnaire avec l’organisation et validera la bonne compréhension
ü ROC : Le QSA testera les contrôles de sécurité en place et produira unrapport de conformité
ü Toutes les fiches documentées de contrôles compensatoires doivent être
disponibles ainsi que les ressources techniques
• Maintien de la certification:
ü Mise en place d’un comité de gouvernance trimestriel
ü Développer un cadre de conformité pour assurer le maintien de la
certificationü S’assurer d’exercer un contrôle serré au niveau des projets informatiques
2 4
7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012
http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 25/25
MERCI POUR VOTRE PARTICIPATION
25
DES QUESTIONS?