IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Transcription

1 IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009

2 PCI Security Standards Council organisation créée en 2005 par l'industrie de la carte de paiement pour renforcer la sécurité des paiements en promouvant un nouveau standard fondée par: American Express Discover Financial Services JCB MasterCard Worldwide Visa International examine et certifie les outils et auditeurs pour la mise en conformité «Approved Scanning Vendors» pour les outils de scan «Qualified Security Assessor» pour les auditeurs 2

3 PCI Data Security Standard le PCI Council publie le Data Security Standard («DSS») définit les mesures de protection minimale qui doivent être mises en place pour toute entité qui traite, transmet, ou stocke des données de carte bancaire définit les exigences en fonction du volume de transactions pour les commerçants gérant des transactions et les hébergeurs des systèmes de paiement pour renforcer la sécurité des paiements sur Internet, le Groupement Cartes Bancaires adhère au programme PCI-DSS ( SG 2009 sur 3

4 Les Douze Exigences du PCI-DSS Mettre en place et gérer un réseau sécurisé 1ère exigence : installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de carte 2ème exigence : ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système Protéger les données des titulaires de carte 3ème exigence : protéger les données des titulaires de carte stockées 4ème exigence : crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts Disposer d un programme de gestion de la vulnérabilité 5ème exigence : utiliser et mettre à jour régulièrement un logiciel antivirus 6ème exigence : développer et gérer des applications et systèmes sécurisés Mettre en œuvre des mesures de contrôle d'accès efficaces 7ème exigence : limiter l accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue 8ème exigence : attribuer une identité d utilisateur unique à chaque personne disposant d un accès informatique 9ème exigence : limiter l accès physique aux données des titulaires de carte Surveiller et tester régulièrement les réseaux 10ème exigence : suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte 11ème exigence : tester régulièrement les systèmes et procédures de sécurité Disposer d une politique en matière de sécurité de l information 12ème exigence : disposer d une politique régissant la sécurité de l information 4

5 Évolution du Standard version 1.1 du standard publié en Sept standard en version 1.2 en vigueur depuis Oct les certifications obtenues avec la version 1.1 ne sont valables qu au 31 Dec désormais le CVSS définit la sévérité des failles audit des applications web devenue obligatoires chiffrage type WEP pour interdit 5

6 Classification et Exigences des Commerçants et Des Hébergeurs des Systèmes de Paiement 6

7 Tendances selon VISA: L implication de VISA dans la gestion d incidents leur permet de dire que: la perte de confidentialité est constatée aussi bien à la suite d une transaction effectuée avec le détendeur de la carte présent que sans le volume des données perdues par les marchands niveau 1 est plus important, mais le volume d incidents chez les niveaux inférieurs est plus important les restaurants, les commerces, et les milieux académiques sont les cibles privilégiées 7

8 Top des Vulnérabilités selon VISA: Après analyse de multiples incidents de sécurité, VISA a rédigé un Top 5 des problèmes récurrents: stockages d informations interdites (pistes magnétiques intégrales, CVV2, PIN) applications et systèmes d exploitation pas à jour (patch disponible mais pas installé) configuration usine inchangée (mot de passe constructeurs/éditeurs) applications web mal conçues et erreur dans le code source (SQL injection) services superflus et vulnérables sur les systèmes mauvaise exploitation des données des logs 8

9 Un Constat Etonnant selon verisign «Top Ten PCI Audit Failures and Common Preventative Measures» d un échantillon de 60 clients en 2007, 53% n ont pu obtenir leur ROC d un échantillon de 60 clients en 2006, 73% n ont pu obtenir leur ROC historiquement, aucun client n a obtenu son «Report on Compliance» (ROC) du premier coup dans la moitié de constat négatif, les clients audités étaient en défaillance sur l exigence 11: «Surveiller et tester régulièrement les réseaux», «tester régulièrement les systèmes et procédures de sécurité» 9

10 Non-Compliance Rate Un Constat Etonnant selon verisign «Top Ten PCI Audit Failures and Common Preventative Measures» Top 10 PCI Audit Failures 60% 50% 40% 30% 48% 45% 45% 42% 40% 38% 37% 37% 37% 27% 20% 10% 0% Regular Testing Secure Applications Protect Data Unique User ID Track Access Security Policy Maintain Firewall Avoid Program Defaults Restrict Physical Access Encrypt Transmitted Data PCI Requirement Based on a sampling of 60 assessments through July 17,

11 Un Casse en Détail selon VISA: le scan: par exemple les pirates ont scanné les magasins de l Internet scan de port pour trouver des failles: failles systèmes d exploitation et des applications failles des applicatifs web résultat: accès à distance disponible avec paramétrage par défaut et non sécurisé outils de piratage disponibles librement sur l Internet résultat: les pirates ont trouvé les données des pistes de cartes 11

12 Un Casse en Détail: S Installer selon VISA: les pirates attaquent aussi bien les routers que les serveurs implantation de «sniffers» et «rootkits» dans les réseaux pour capturer les données tirer profit des failles dans les systèmes d exploitation, applications de paiement, et composants réseaux les pirates disposent de peu de moyens mais de beaucoup de temps échanges entre les pirates pour collaborer sur les techniques et méthodes 12

13 Le Coût d une Donnée Perdue selon Ponemon Institute 2009: Le coût d une perte d une donnée s élève à $202 en % plus qu en % plus qu en

14 Les Bonnes Pratiques selon verisign «Top Ten PCI Audit Failures and Common Preventative Measures» selon VISA: stockez le moins possible vous ne pouvez pas perdre ce que vous n avez pas ne stockez jamais la piste ou les numéros CVV2 protégez/chiffrez les données que vous devez stocker intégrez la sécurité dans l architecture même il faut connaître les besoins métiers d échange de données utilisez une méthode d authentification forte et chiffrez les donnée en transit en local aussi bien qu à distance la segmentation des réseaux, systèmes, et applications réduit le risque mais aussi le scope de PCI auditez vous vous-même PCI-DSS est une façon de faire, pas une fin lancez les scan de détection des vulnérabilités servez vous des données de logs pour détecter des anomalies formez et sensibilisez les personnes manipulant les données/systèmes sont souvent le maillon faible prenez en compte les clients, partenaires, intégrateurs, et utilisateurs 14

15 Questions / Réponses téléchargez gratuitement le guide pour la mise en conformité: ce qu est le PCI DSS les 12 exigences du standard la démarche de mise en conformité 10 bonnes pratiques comment QualysGuard peut vous aider Leif Kremkow (LKremkow@qualys.com) 15