Dans un précédent article, nous évoquions le sujet des tests de pénétration, leurs enjeux et leurs indications. Une de ces indications est le contrôle de conformité à la norme PCI-DSS, qui comprend entre autres un requis de tests de vulnérabilité tous les 90 jours. Mais qu’est-ce que PCI-DSS, au juste ? Est-ce que ce règlement s’applique à votre entreprise ? Quels sont les requis, et les enjeux de ce standard ?

PCI-DSS, c’est quoi, au juste ?

  La norme de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry – Data Security Standard) est un standard qui s’applique à tous les acteurs de la chaîne monétique : quiconque traite, transmet et stocke des informations de cartes de paiement est concerné. Fondée initialement par les 5 grands éditeurs de cartes bancaires, cette norme est depuis gérée par une agence indépendante, le conseil des normes de sécurité PCI (PCI-SSC). La norme comprend globalement deux catégories d’acteurs :  
  • Le commerçant : toute entreprise ou individu qui accepte des paiements par carte. C’est au commerçant que le client donne ses informations en tant que titulaire de la carte, et représente le premier maillon de la chaîne monétique ;  
  • Le prestataire de service, ou fournisseur d’hébergement : toute entreprise qui stocke, traite, ou transmet des informations de cartes de paiement au nom d’une autre entreprise. On peut considérer ces fournisseurs de services comme des intermédiaires qui fournissent divers services de paiement aux commerçants. Certaines entreprises sont considérées à la fois comme des commerçants, et des prestataires de services : une entreprise de télécommunications, par exemple, reçoit à la fois les informations de cartes d’un client, tout en permettant leur transmission. Elle est donc considérée à la fois comme commerçant, et prestataire de service.

Les enjeux des normes PCI-DSS

  Les normes PCI-DSS existent dans une optique de protection des utilisateurs finaux, mais aussi de tous les maillons de la chaîne : éviter les vols de données bancaires à travers un jeu de normes contraignantes mais complètes renforce la protection des utilisateurs, des intermédiaires, des banques et des commerçants. C’est également un standard devenu obligatoire à suivre dans de nombreux cas, pour pouvoir traiter avec Visa, Mastercard, JCB, Discover, American Express, et virtuellement tous les émetteurs de cartes bancaires. C’est pourquoi une politique complète de sécurité des données doit être envisagée, et aussi maintenue, à travers des tests de vulnérabilité réguliers ainsi que des tests de pénétration.

Les requis PCI-DSS

  La norme PCI-DSS comprend 12 sections, chacune ayant pour but de contribuer à la sécurité des données des titulaires de cartes. On peut résumer ces exigences grâce aux objectifs suivants :  
Source : https://www.pcisecuritystandards.org/
Objectif de contrôle Conditions du PCI DSS

Création et gestion d’un réseau et d’un système sécurisé

1. Installer et gérer une configuration de pare-feu pour protéger les données du titulaire de carte

2. Ne pas utiliser les mots de passe et autres paramètres de sécurité par défaut définis par le fournisseur

Protection des données du titulaire

3. Protéger les données stockées du titulaire

4. Chiffrer la transmission des données du titulaire sur les réseaux publics ouverts

Maintenir un programme de gestion des vulnérabilités

5. Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels anti-virus ou programmes

6. Développer et gérer des systèmes et des applications sécurisés

Mise en œuvre de mesures de contrôle d’accès strictes

7. Restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaître

8. Identifier et authentifier l’accès aux composants du système

9. Restreindre l’accès physique aux données du titulaire

Surveillance et test réguliers des réseaux

10. Suivre et surveiller tous les accès aux ressources réseau et aux données du titulaire

11. Tester régulièrement les processus et les systèmes de sécurité

Maintenir une politique de sécurité des informations

12. Maintenir une politique qui adresse des informations de sécurité pour l’ensemble du personnel

La validation de conformité

Pour attester de la conformité d’un système d’information aux normes PCI-DSS, une entité externe, appelée évaluateur de sécurité qualifié (ou QSA – Qualified Security Assessors) va réaliser soit un rapport de conformité (ROC – Report of Compliance), soit assister l’entreprise pour compléter un questionnaire d’auto-évaluation (ou SAQ – Self-Assessment Questionnaire). 4 niveaux de conformité à PCI-DSS existent pour les commerçants, selon le volume de transaction traitée annuellement par celui-ci :  
Niveau du commerçant Volume de transactions
e-commerce (par an)
Exigences
1 6 millions et plus

1.Rapport et attestation de conformité (ROC + AOC) suite à un audit annuel réalisé par un QSA

2. Scan de vulnérabilité, dont un test de pénétration exhaustif

2 1 million à 6 millions

1. SAQ

2. Scan de vulnérabilité

3. Attestation de conformité (AOC)

3 20 000 à 1 million
4 Moins de 20 000

Le questionnaire d’auto-évaluation (SAQ)

  Ce questionnaire consiste en une série de questions fermées, ayant pour but d’évaluer le niveau de préparation PCI-DSS d’une entité. Celui-ci doit être complété par toutes les entités soumises au PCI-DSS ne dépassant pas le volume de transaction qui requiert un rapport de conformité. Il existe une variété de questionnaires selon la nature exacte du traitement de données monétiques par l’entreprise souhaitant une certification. Ceux-ci varient de 20 à 300 questions. Une entreprise peut décider de choisir et remplir ce questionnaire elle-même, ou faire intervenir un évaluateur indépendant.

Scan de vulnérabilité

  Un scan de vulnérabilité consiste à utiliser un outil d’analyse de failles, sur toutes les applications en réseau d’une entreprise accessibles depuis Internet, ou dans certains cas d’un Intranet (par exemple dans le cas de sites privés accessibles depuis un VPN par des clients). Ces scans sont effectués par un vendeur approuvé par le PCI-SSC, tous les 90 jours, pour maintenir la conformité.

Attestation de conformité (AOC)

  L’attestation de conformité est simplement une déclaration complétée et signée par le prestataire de services ou le commerçant, attestant que celui-ci a rempli le questionnaire d’auto-évaluation et adhère aux règles PCI-DSS. Cette attestation peut également être complétée par l’évaluateur si la situation de l’entreprise la soumet à un rapport de conformité (Commerçants niveau 1).

Rapport de conformité (ROC)

  Contrairement à l’attestation de conformité et du questionnaire d’auto-évaluation, le rapport de conformité est émis par un évaluateur de sécurité qualifié (QSA). Ces évaluateurs sont appointés par le PCI-SSC, et attestent indépendamment de la conformité aux règles PCI-DSS.

L’importance du PCI-DSS

  Bien que PCI-DSS ne soit pas une norme de jure, légalement requise dans le cadre de traitement de données monétiques, c’est une norme de facto, puisque c’est un pré-requis demandé par virtuellement toutes les marques de cartes de paiement. Cependant, il est important de noter que les données de titulaire de carte sont considérées par certains états comme des données personnelles, et tombent donc sous le coup du RGPD (Règlement Général sur la Protection des Données). Cette notion n’est pas clairement expliquée dans le texte de loi, mais toutes données permettant d’identifier une personne, tel que des numéros d’identification uniques, sont considérées comme des données personnelles. Additionnellement, certains états américains font directement référence au standard PCI-DSS dans leurs textes de loi, en faisant de facto un standard obligatoire. Qui plus est, les émetteurs de cartes de crédit peuvent décider de refuser de servir un commerçant ou prestataire de services ne se conformant pas au standard. Toutes ces considérations font que PCI-DSS, bien que non-obligatoire, est à la fois une marque de confiance et de sérieux, et un aspect primordial de la sécurité des systèmes en réseau. Toutes les règles PCI-DSS peuvent également former un bon cadre pour toutes vos données sensibles, et pas seulement des données monétiques ; c’est une base initiale solide pour renforcer la sécurité des systèmes d’information.
Les réseaux et datacenters de Sonema sont régulièrement audités par un cabinet externe, et sont conformes à PCI-DSS. Depuis plus de 30 ans, Sonema fournit à ses clients des services de connectivité, d’hébergement et de sécurité sur-mesure, répondant à leurs besoins les plus exigeants. Pour plus d’informations, contactez-nous.