Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1

Dimension: px
Commencer à balayer dès la page:

Download "Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1"

Transcription

1 Payment Card Industry (PCI) Normes en matière de sécurité des données Version 1.1 Date de publication : septembre 2006

2 Mettre en place et gérer un réseau sécurisé 1 ère exigence : installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de carte 2 ème exigence : ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système Protéger les données des titulaires de carte 3 ème exigence : protéger les données des titulaires de carte stockées 4 ème exigence : crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts Disposer d un programme de gestion de la vulnérabilité 5 ème exigence : utiliser et mettre à jour régulièrement un logiciel antivirus 6 ème exigence : développer et gérer des applications et systèmes sécurisés Mettre en œuvre des mesures de contrôle d'accès efficaces 7 ème exigence : limiter l accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue 8 ème exigence : attribuer une identité d utilisateur unique à chaque personne disposant d un accès informatique 9 ème exigence : limiter l accès physique aux données des titulaires de carte Surveiller et tester régulièrement les réseaux 10 ème exigence : suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte 11 ème exigence : tester régulièrement les systèmes et procédures de sécurité Disposer d une politique en matière de sécurité de l information 12 ème exigence : disposer d une politique régissant la sécurité de l information 1

3 Préface Ce document décrit les 12 exigences des Normes en matière de sécurité des données (Data Security Standard, DSS) de l industrie des cartes de crédit (Payment Card Industry, PCI). Les exigences PCI DSS s'organisent en 6 groupes logiques liés, qui sont des «objectifs de contrôle». Le tableau ci-dessous présente un certain nombre d éléments communément utilisés des données de titulaire de carte et d authentification sensibles ; indique si le stockage de chaque élément de données est autorisé ou interdit et précise si chaque élément de données doit être protégé. Ce tableau n est pas exhaustif, mais il est présenté de manière à illustrer les divers types d exigences qui s appliquent à chaque élément de données. Les exigences PCI DSS s appliquent si un Numéro de compte primaire (Primary Account Number, PAN) est stocké, traité ou transmis. En l absence de stockage, de traitement ou de transmission de PAN, les exigences PCI DSS ne s appliquent pas. Données de titulaire Élément de données Numéro de cpte primaire (PAN) Archivage autorisé Protection requise Exig. 3.4 PCI DSS OUI OUI OUI Nom du titulaire* OUI OUI* NON Code service* OUI OUI* NON Date d expiration* OUI OUI* NON Données d authentification sensibles** Bande magnétique complète NON s.o. s.o. CVC2/CVV2/CID NON s.o. s.o. PIN/bloc PIN NON s.o. s.o. * Ces éléments de données doivent être protégés s ils sont stockés conjointement avec le PAN. Cette protection doit être conforme aux exigences PCI DSS en liaison avec la protection générale de l environnement des titulaires de carte. En outre, d autres lois (par exemple, relatives à la protection des données personnelles des consommateurs, de vie privée, de vol d'identité ou de sécurité des données) peuvent imposer une protection spécifique de ces données, ou une divulgation adéquate des pratiques de la société dès lors que des données à caractère personnel sont collectées dans le cadre de l activité. Toutefois, les PCI DSS ne s'appliquent pas si des PAN ne sont pas stockés, traités ou transmis. ** Aucune donnée d authentification sensible ne doit être stockée après autorisation (même cryptée). Ces exigences en matière de sécurité s'appliquent à l'ensemble des «composantes du système». Ces composantes sont définies comme toute composante, tout serveur ou toute application du réseau, inclus dans l environnement de données du titulaire de carte, ou connecté à celui-ci. L environnement de données du titulaire de carte est la partie du réseau qui possède des données de titulaires de carte ou des données d authentification sensibles. Une segmentation adéquate du réseau, qui isole des systèmes stockant, traitant ou transmettant des données de titulaire de carte de ceux qui ne le font pas peut réduire le périmètre de l environnement de données du titulaire de carte. Au nombre des composantes de réseau 2

4 figurent notamment les pare-feux, commutateurs, routeurs, points d'accès sans fil, appareils de réseau et autres dispositifs de sécurité. Les divers types de serveur incluent notamment les suivants : Internet, base de données, authentification, courrier, mandataire, network time protocol (NTP) et serveur de nom de domaine (domain name server, DNS). Les applications englobent l ensemble des applications achetées et personnalisées, y compris internes et externes (Internet). 3

5 Mettre en place et gérer un réseau sécurisé 1 ère exigence : installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de carte Les pare-feux sont des dispositifs informatiques qui contrôlent le trafic autorisé à entrer sur le réseau de la société, ou à en sortir, ainsi que le trafic dans des secteurs plus sensibles du réseau interne d'une société. Un pare-feu vérifie la totalité du trafic du réseau et bloque les transmissions non-conformes aux critères de sécurité édictés. Tous les systèmes doivent être protégés contre tout accès non autorisé par Internet, qu il s agisse d accès au système aux fins de commerce électronique, d accès Internet par des employés, grâce au navigateur de leur poste de travail, ou d accès par le biais du courrier électronique des employés. Il arrive fréquemment que des chemins apparemment insignifiants, vers et depuis l Internet, puissent constituer des voies d accès non protégées à des systèmes clés. Les pare-feux sont un mécanisme de protection essentiel de tout réseau informatique. 1.1 Mettre en place des normes de configuration de pare-feu incluant les aspects suivants : un processus formel d approbation et de test de toutes les connexions externes de réseau, ainsi que de l ensemble des modifications apportées à la configuration du parefeu ; un diagramme du réseau à jour, avec toutes les connexions à des données de titulaires de carte, y compris tous réseaux sans fil ; la nécessité d un pare-feu pour chaque connexion Internet et entre toute zone d'accueil (demilitarized zone, DMZ) et la zone de réseau interne ; la description des groupes, rôles et responsabilités en matière de gestion logique des composants de réseau ; une liste écrite des services et ports nécessaires à l activité ; la justification et la consignation par écrit de tous protocoles disponibles en dehors des protocoles http (hypertext transfer protocol, HTTP), SSL (secure sockets layer, SSL), SSH (secure shell, SSH) et de réseau privé virtuel (virtual private network, VPN) ; la justification et la consignation par écrit de tous protocoles à risque autorisés (par exemple, un protocole de transfert de fichiers (file transfer protocol, FTP), avec les raisons de l utilisation du protocole, et les mesures de sécurité utilisées) ; un examen trimestriel des ensembles de règles applicables aux pare-feux et aux routeurs ; des normes de configuration pour les routeurs ; 1.2 Développer une configuration de pare-feu bloquant tout trafic en provenance de réseaux et d'hôtes «non sécurisés», à l exception des protocoles nécessaires à l environnement des données de titulaire de carte. 1.3 Élaborer une configuration de pare-feu limitant les connexions entre des serveurs accessibles publiquement et des composantes de système stockant des données de titulaire de carte, y compris toute connexion depuis un réseau sans fil. Cette configuration de pare-feu doit en principe englober les aspects suivants : la restriction du trafic Internet entrant vers des adresses Internet dans la zone d'accueil (filtres d'entrée) ; ne pas laisser des adresses internes passer de l Internet à la zone d accueil ; 4

6 1.3.3 la mise en œuvre d une inspection dynamique, également désignée filtre dynamique à paquets (ce qui signifie que seule les connexions «établies» sont autorisées dans le réseau) ; le positionnement de la base de données dans une zone de réseau interne, distincte de la zone d accueil ; la limitation du trafic entrant et sortant à ce qui est nécessaire à l'environnement des données de titulaires de carte ; la sécurisation et la synchronisation de fichiers de configuration de routeur. Les fichiers de configuration d'exécution (pour le fonctionnement normal des routeurs) et les fichiers de configuration de démarrage (lors du redémarrage des machines) doivent par exemple présenter une configuration sécurisée identique ; l'interdiction de tout autre trafic, entrant ou sortant, dans la mesure où il n a pas été spécifiquement autorisé ; l'installation de pare-feux de périmètre entre tous réseaux sans fil et l environnement de données de titulaires de carte, et la configuration de ces pare-feux de manière à bloquer tout trafic provenant de l'environnement sans fil, ou pour contrôler tout trafic (lorsqu il est nécessaire à des fins commerciales) ; l'installation d un logiciel pare-feu personnel sur un ordinateur portable ou un ordinateur appartenant à un employé disposant d'une connectivité directe à l'internet (par exemple, les ordinateurs portables utilisés par les employés), utilisés pour accéder au réseau de l'organisation. 1.4 Interdire l accès public direct entre les réseaux externes et toute composante du système stockant des données de titulaire de carte (par exemple, les fichiers de base de données, journal et trace) Mettre en place une zone d accueil pour filtrer et vérifier l ensemble du trafic, ainsi que pour interdire les routes directes pour le trafic Internet entrant et sortant Restreindre le trafic sortant des applications de carte de paiement vers des adresses Internet situées dans la zone d accueil. 1.5 Mettre en œuvre un déguisement d adresse Internet, pour éviter que les adresses internes ne soient traduites et divulguées sur Internet. Utilisation de technologies mettant en œuvre l espace adresse RFC 1918, telles qu'une traduction d adresse de port (port address translation, PAT) ou une traduction d adresse de réseau (network address translation, NAT). 2 ème exigence : ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système Les pirates informatiques (externes et internes à une société) utilisent fréquemment des mots de passe par défaut du fournisseur et d autres paramètres par défaut du fournisseur pour s'introduire dans les systèmes. Ces mots de passe et paramètres sont bien connus des communautés de pirates et facilement déterminés au moyen des informations publiques. 2.1 Il est impératif de toujours modifier les réglages par défaut du fournisseur avant d installer un système sur le réseau (par exemple, inclure des mots de passe, des chaînes communautaires de protocole de gestion de réseau simple (simple network management protocol, SNMP) et la suppression de comptes inutiles) Dans le cas des environnements sans fil, modifier les réglages par défaut du fournisseur sans fil, y compris notamment les clés Wired Equivalent Privacy (WEP), le Service Set IDentifier (SSID) par défaut, les mots de passe et les chaînes communautaires SNMP. Désactiver les émissions en clair du SSID sur le réseau. Mettre 5

7 en place une technologie d accès WiFi protégé (WPA et WPA2) pour le cryptage et l authentification lorsqu il existe une capacité WPA. 2.2 Développer des normes de configuration pour l ensemble des composants du système. Faire en sorte que ces normes prennent en compte l ensemble des vulnérabilités connues en matière de sécurité et soient cohérentes avec des normes de renforcement de la sécurité du système acceptées par l industrie, telles que définies, par exemple par le SysAdmin Audit Network Security Network (SANS), le National Institute of Standards Technology (NIST) et le Center for Internet Security (CIS) Mettre en œuvre uniquement une section primaire par serveur (ainsi, les serveurs Internet, de base de données et DNS doivent être mis en place sur des serveurs distincts) Désactiver tous les services et protocoles inutiles et non sécurisés (les services et protocoles qui ne sont pas directement nécessaires à l exécution de la fonction spécifiée des appareils) Configurer les paramètres de sécurité du système pour prévenir toute utilisation frauduleuse Supprimer toutes les fonctionnalités inutiles, telles que les scripts, lecteurs, dispositifs, sous-systèmes, systèmes de fichiers et serveurs Internet inutiles. 2.3 Crypter tous les accès administratifs non-console. Utiliser des technologies telles que SSH, VPN ou SSL/TLS (transport layer security) pour la gestion par Internet et les autres accès administratifs non-console. 2.4 Les fournisseurs d hébergement doivent protéger les données et l environnement hébergé de chaque entité. Ces fournisseurs doivent se conformer à des instructions spécifiques figurant en Annexe A : «Application des normes PCI en matière de sécurité des données (DSS) des fournisseurs d hébergement». 6

8 Protéger les données des titulaires de carte 3 ème exigence : protéger les données des titulaires de carte en stock Le cryptage est une composante essentielle de la protection des données de titulaires de carte. Si un intrus parvient à franchir les autres contrôles de sécurité du réseau et à accéder à des données cryptées, sans les clés de cryptographie adéquates, les données ne sont pas lisibles ni utilisables par lui. D autres méthodes efficaces de protection des données stockées doivent également être envisagées comme des opportunités d atténuation possible du risque. Ainsi, au nombre des méthodes de minimisation des risques figurent notamment le non-stockage des données de carte de crédit à moins que cela ne soit absolument nécessaire, le fait de tronquer les données du titulaire de carte si un PAN complet n est pas nécessaire, ainsi que la transmission des PAN exclusivement par courrier électronique crypté. 3.1 Le stockage des données de titulaire de carte doit être limité au minimum. Élaborer une politique en matière de conservation et d élimination de données. Limiter les quantités stockées et les délais de conservation des données au strict nécessaire au plan économique, légal et/ou réglementaire, comme prévu dans la politique en matière de conservation des données. 3.2 Ne pas stocker de données d authentification sensibles après autorisation (même si elles sont cryptées). Au nombre des données d authentification sensibles figurent les données indiquées dans les Exigences à ci-après : Ne jamais stocker la totalité du contenu d une quelconque piste de la bande magnétique (au dos d'une carte, sur une puce ou ailleurs). Les données sont alternativement désignées piste complète, piste 1, piste 2 et données de bande magnétique. Dans le cours normal de l activité, il est possible qu il soit nécessaire de conserver les éléments de données de la bande magnétique ci-après : le nom du titulaire du compte, le numéro de compte primaire (primary account number, PAN), la date d expiration et le code de service. Afin de minimiser le risque, stocker uniquement les éléments de données nécessaires à l'activité. NE JAMAIS stocker le code de vérification de la carte, ni la valeur, ni non plus des éléments de données de valeur de vérification du code PIN. Remarque : pour plus d information, se reporter au «Glossaire» Ne pas stocker de code de validation de carte, ni de valeur (à trois ou quatre chiffres, imprimés sur le côté face ou au verso d'une carte de paiement) utilisée pour vérifier des transactions cartes absente (card-not-present, CNP). Remarque : pour plus d information, se reporter au «Glossaire» Ne pas stocker le numéro d identification personnel (personal identification number, PIN), ni le bloc PIN crypté. 3.3 Masquer le PAN lorsqu il s affiche (les six premiers chiffres et les quatre derniers sont le nombre maximum de chiffres affichés). Remarque : cette exigence ne s applique pas aux employés et aux autres parties ayant spécifiquement besoin d avoir connaissance de la totalité du PAN ; de même, cette exigence ne remplacera-t-elle pas des obligations plus rigoureuses existantes applicables à l affichage de données de titulaire de carte (par exemple, dans le cas de reçus de point de vente [point of sale, POS]). 3.4 Rendre le PAN, au minimum, illisible où qu il soit stocké (y compris des données sur support numérique portable, support de sauvegarde, journaux et données reçues de, ou stockées par des réseaux sans fil), en utilisant l'une ou l'autre des approches suivantes : des fonctions efficaces de hachage à sens unique (index hachés) ; 7

9 une troncature ; des jetons et pads index (les pads doivent être stockés de manière sécurisée) ; une cryptographie performante, avec des processus et procédures de gestion clés associés. En ce qui concerne les coordonnées de compte, au MINIMUM, le PAN doit être rendu illisible. Si, pour une raison ou pour une autre, une société n est pas en mesure de crypter des données de titulaire de carte, se reporter à l'annexe B : «Contrôles destinés à suppléer au défaut de cryptage des données stockées» Si un cryptage par disque est utilisé (au lieu d un cryptage par fichier ou base de données au niveau colonne), l'accès logique doit être géré indépendamment des mécanismes de contrôle d'accès au système d'exploitation natif (par exemple, en n'utilisant pas un système local, ni des comptes Active Directory). Les clés de décryptage ne doivent pas être liées à des comptes d utilisateur. 3.5 Protéger les clés de cryptage utilisées pour le cryptage des données de titulaire de carte, à la fois contre la divulgation et l utilisation illicite limiter l accès aux clés au plus petit nombre possible de dépositaires, en fonction des nécessités ; stocker les clés, de manière sécurisée, en un nombre de lieux et de formes aussi réduit que possible. 3.6 Consigner et mettre en œuvre complètement l ensemble des processus et procédures de gestion de clés pour les clés utilisées pour le cryptage des données des titulaires de carte, y compris les suivantes : génération de clés performantes ; distribution de clé sécurisée ; stockage de clé sécurisé ; changement périodique des clés : comme tenu pour nécessaire et recommandé par l application associée (par exemple, le changement de clé, ou re-keying), de préférence automatiquement ; au moins annuellement ; destruction des anciennes clés ; répartition des informations et mise en place d un double système de contrôle des clés (de manière à ce que deux ou trois personnes, chacune d elles connaissant une partie de la clé, reconstituent la clé dans son intégralité) ; la prévention des substitutions de clés non autorisées ; le remplacement des clés dont compromises ou suspectées de l être ; l'annulation des clés anciennes ou invalides ; l'obligation, pour les principaux dépositaires de clés, de signer un formulaire indiquant qu ils comprennent et acceptent les responsabilités liées à leurs fonctions de dépositaire. 4 ème exigence : crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts Les informations sensibles doivent être cryptées lors de leur transmission sur des réseaux permettant aux pirates, ainsi qu ils le font couramment, d intercepter, de modifier et de détourner des données en cours de transit. 8

10 4.1 Utiliser des techniques de cryptographie et des protocoles de sécurité performants, comme par exemple des protocoles SSL (Secure Sockets Layer)/TLS (Transport layer security) et IPSEC (Internet Protocol Security) pour protéger les données sensibles des titulaires de carte lors de leur transmission sur des réseaux publics ouverts. L Internet, le WiFi (IEEE x), le réseau de téléphonie mobile (Global System for Mobile Communications, GSM) et le General Packet Radio Service (GPRS) sont des exemples de réseaux publics ouverts relevant du périmètre des normes PCI DSS Dans le cas des réseaux sans fil transmettant des données de titulaire de carte, crypter les transmissions en utilisant la technologie d accès protégé au WiFi (WPA ou WPA2), IPSEC VPN ou SSL/TLS. Ne jamais se fier uniquement au protocole WEP (Wired Equivalent Privacy) pour protéger la confidentialité et l accès à un réseau LAN sans fil. En cas d utilisation de WEP, prendre les mesures suivantes : utiliser avec une clé de cryptage d au moins 104 bits et une valeur d initialisation de 24 bits au minimum ; utiliser UNIQUEMENT en liaison avec la technologie d accès protégé au WiFi (WPA ou WPA2), VPN ou SSL/TLS ; permuter les clés WEP partagées une fois par trimestre (ou automatiquement si la technologie le permet) ; permuter les clés WEP partagées en cas de changement des personnels disposant d un accès aux clés ; restreindre l accès basé sur l'adresse MAC (media access code). 4.2 Ne jamais envoyer de PAN non cryptés par courrier électronique. Disposer d un programme de gestion de la vulnérabilité 5 ème exigence : utiliser et mettre à jour régulièrement un logiciel ou des programmes antivirus Nombre de vulnérabilités et de virus dangereux entrent dans le réseau par le biais des activités des employés. Un logiciel anti-virus doit être utilisé sur tous les systèmes ordinairement affectés par les virus afin de protéger les systèmes contre les logiciels dangereux. 5.1 Déployer un logiciel anti-virus sur tous les systèmes généralement affectés par les virus (en particulier les ordinateurs personnels et les serveurs) Remarque : les systèmes d exploitation sous UNIX et les ordinateurs centraux ne figurent pas au nombre des systèmes couramment affectés par les virus Faire en sorte que les programmes anti-virus soient capables de détecter d autres formes de logiciels nuisibles, y compris les logiciels d espionnage (ou «spyware») et publicitaires, de les supprimer et d'assurer une protection contre ceux-ci. 5.2 Faire en sorte que tous les mécanismes anti-virus soient à jour, qu ils fonctionnent activement et qu'ils soient capables de générer des listes de contrôle. 6 ème exigence : développer et gérer des applications et systèmes sécurisés Il arrive que des individus peu scrupuleux utilisent les vulnérabilités en matière de sécurité pour accéder aux systèmes. Il est remédié à nombre de ces vulnérabilités par des correctifs de sécurité mis à disposition par le fournisseur. Tous les systèmes doivent être équipés des correctifs appropriés les plus récents, afin de les protéger des intrusions d'employés ou de pirates informatiques, ainsi que contre les virus. Remarque : les correctifs appropriés sont ceux qui ont été suffisamment évalués et testés pour déterminer qu ils n entrent pas en conflit avec les configurations de sécurité en place. En ce qui concerne 9

11 les applications développées en interne, de nombreuses vulnérabilités peuvent être évitées par des processus de développement de système standard, ainsi que par des techniques de codage sécurisées. 6.1 S'assurer que toutes les composantes et tous les logiciels du système disposent des correctifs de sécurité les plus récents mis à disposition par le fournisseur. Installer les correctifs de sécurité dans un délai d un mois suivant leur publication. 6.2 Mettre en place un processus destiné à identifier les vulnérabilités en matière de sécurité nouvellement identifiées (par exemple, souscrire un abonnement à des services d alerte disponibles gratuitement sur l'internet). Mettre les normes à jour afin de faire face aux nouveaux problèmes de vulnérabilité. 6.3 Développer des applications logicielles sur la base des meilleures pratiques sectorielles et intégrer la sécurité de l information dans l ensemble du cycle de développement de logiciel Tester tous les correctifs de sécurité, ainsi que toutes modifications de configuration de système ou de logiciel avant déploiement Séparer les environnements de développement, de test et de production Séparation des obligations entre les environnements de développement, de test et de production Les données de production (PAN actifs) ne sont pas utilisées aux fins de test ou de développement Suppression des données et comptes de tests avant que les systèmes de production ne deviennent actifs Suppression des comptes d application, noms d utilisateur et mots de passe usuels avant que les applications ne deviennent actives ou ne soient mises à la disposition de clients Examen du code personnalisé avant de mettre à la disposition de la production ou de clients afin d identifier toute vulnérabilité de cryptage éventuelle. 6.4 Se conformer aux procédures en matière de contrôle des changements pour toutes les modifications apportées au système et au logiciel. Les procédures doivent inclurent les éléments suivants : consignation écrite de l impact ; approbation par signature de la direction par les parties appropriées ; vérification de la fonctionnalité opérationnelle ; procédures de sauvegarde. 6.5 Développer toutes les applications Internet sur la base de principes directeurs en matière de codage sécurisé tels que ceux de l'open Web Application Security Project (OWASP). Étudier un code d application personnalisé, afin d identifier les vulnérabilités en matière de codage. Prévenir les vulnérabilités de codage courantes dans les processus de développement de logiciel, afin d inclure les éléments suivants : les entrées non validées ; un contrôle d accès compromis (par exemple, une utilisation malveillante d identités d utilisateur) ; une authentification et une gestion de session compromises (l utilisation d'éléments d authentification de compte et les cookies de session) ; les attaques par Cross-Site Scripting (XSS ou CSS) ; les attaques par débordement de tampon ; les attaques par injection (par exemple, une injection de commandes SQL (Structured Query Language)) ; une gestion d erreur inadéquate ; 10

12 6.5.8 un stockage non sécurisé ; un refus de service ; une gestion de configuration non sécurisée. 6.6 Faire en sorte que toutes les applications d interface Internet soient protégées contre les attaques connues grâce à l une ou l autre des méthodes suivantes : faire contrôler par une organisation spécialisée dans la sécurité des applications, tout code d'application personnalisé aux fins de détection des vulnérabilités courantes ; Installer un pare-feu de couche application qui protège les applications d interface Internet. Remarque : cette méthode est considérée comme une «meilleure pratique» jusqu au 30 juin 2008, après quoi, elle devient obligatoire. Mettre en œuvre des mesures de contrôle d'accès efficaces 7 ème exigence : limiter l accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue Cette exigence est destinée à garantir que seuls les personnels autorisés peuvent accéder aux données critiques. 7.1 Limiter l accès aux ressources de calcul et aux informations des titulaires de carte aux seules personnes qui, en raison de leurs fonctions, sont tenues d'y accéder. 7.2 Mettre en place un mécanisme pour les systèmes avec de multiples utilisateurs limitant l accès en fonction du besoin de l'utilisateur d'en avoir connaissance et réglé sur «interdire à tous», sauf autorisation spécifique. 11

13 8 ème exigence : attribuer une identité d utilisateur unique à chaque personne disposant d un accès informatique L attribution d un identifiant unique (identité d utilisateur) à chaque personne disposant d un accès garantit que les actions concernant des données et systèmes critiques seront exécutées par des utilisateurs connus et dûment autorisés, et en assure la traçabilité. 8.1 Identifier tous les utilisateurs par un nom d utilisateur unique avant de les autoriser à accéder aux composants du système ou aux données de titulaires de carte. 8.2 En plus de l attribution d une identité d utilisateur unique, employer au moins l une des méthodes ci-après pour identifier l ensemble des utilisateurs : mot de passe ; jetons (par exemple, SecureID, certificats ou clé publique) ; biométrie. 8.3 Mettre en œuvre une authentification à deux facteurs pour l'accès distant au réseau par des employés, administrateurs et tiers. Utiliser des technologies telles que l authentification à distance et un service de renseignement par téléphone (RADIUS) ou un système de contrôle d accès de contrôleur d accès au terminal (Terminal Access Controller Access Control System, TACACS) avec des jetons ; ou VPN (basé sur SSL/TLS ou IPSEC) avec des certificats individuels. 8.4 Crypter tous les mots de passe pour leur transmission et leur stockage sur toutes les composantes du système. 8.5 Assurer une gestion adéquate de l identification et des mots de passe d utilisateur pour des utilisateurs non consommateurs et des administrateurs sur toutes les composantes du système, comme suit : contrôler l ajout d'identités d utilisateur, d identifiants et d autres éléments d identification, leur suppression et leur modification ; vérifier l identité de l utilisateur avant de procéder à une réinitialisation de mot de passe ; mettre en place un mot de passe initial, avec une valeur unique, pour chaque utilisateur et le modifier immédiatement après la première utilisation ; mettre fin immédiatement à l accès des utilisateurs ayant cessé d être employés par l entreprise ; supprimer les comptes d utilisateur inactifs au moins tous les 90 jours ; activer les comptes utilisés par des fournisseurs aux fins de maintenance à distance uniquement durant la période nécessaire ; communiquer les procédures et politiques en matière de mot de passe à tous les utilisateurs ayant accès aux données de titulaires de carte ; ne pas utiliser de comptes et mots de passe collectifs, partagés ou génériques ; changer les mots de passe d utilisateur au moins tous les 90 jours ; exiger que les mots de passe comptent au moins sept caractères ; utiliser des mots de passe contenant des caractères à la fois numériques et alphabétiques ; ne pas autoriser une personne à soumettre un nouveau mot de passe identique à l un ou l autre des quatre derniers mots de passe utilisés par elle ; limiter le nombre de tentatives d accès en verrouillant l identité d utilisateur après au plus 6 tentatives ; fixer la période de verrouillage à trente minutes, ou jusqu'à ce qu'un administrateur active l'identité d'utilisateur ; 12

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures d audit de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Procédures d audit de sécurité...

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité Commerçants utilisant des terminaux autonomes, à connexion IP de PTS Point d interaction

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité Commerçants possédant des systèmes d application de paiement connectés à Internet- Sans

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service Prestataires de services éligibles pour le SAQ Version

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Toutes les fonctions de données de titulaire de carte sous-traitées. Aucun stockage, traitement

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Commerçants carte absente, toutes les fonctions de données de titulaires de carte sont

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Toutes les fonctions de données de titulaires de carte sous-traitées. Aucun stockage, traitement

Plus en détail

Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité

Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité Commerçants utilisant des terminaux virtuels basés sur le Web - sans stockage électronique

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3. Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement

Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper Conformité PCI DSS Réduire les risques en gérant les identités et les accès Ce livre blanc explique comment la suite IAM d Evidian peut vous aider à vous conformer aux exigences PCI DSS. white paper 39

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Dispositif d impression ou terminal par ligne commutée autonome uniquement, aucun stockage

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation C-VT Version 3.0 Février 2014 Section 1 : Informations relatives à l évaluation

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation Instructions et directives Version 2.0 Octobre 2010 Modifications apportées au document Date Version Description 1er Octobre

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Principes de mise en réseau & Manuel d installation réseau pour l imprimante Crystal Printer

Principes de mise en réseau & Manuel d installation réseau pour l imprimante Crystal Printer Principes de mise en réseau & Manuel d installation réseau pour l imprimante Crystal Printer 1. Présentation Ce manuel fournit les connaissances de base sur la mise en place d un réseau sans fil pour que

Plus en détail

Questionnaire d'auto-évaluation A et attestation de conformité

Questionnaire d'auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation A et attestation de conformité Toutes les fonctions de données de titulaires de carte sous-traitées. Aucun stockage, traitement

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Tous les autres commerçants et prestataires de services qualifiés SAQ Version 2.0 Octobre

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes Payment Card Industry (PCI) Normes en matière de sécurité des données Glossaire, abréviations et acronymes AAA Acquéreur Actif Administrateur de base de données Adresse IP Analyse cryptographique (AES)

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité des évaluations sur site Prestataires de services Version 3.0 Février 2014 Section 1 : Informations relatives

Plus en détail

PCI (Payment Card Industry) Data Security Standard

PCI (Payment Card Industry) Data Security Standard PCI (Payment Card Industry) Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Modifications apportées au document Version Description Pages Octobre 2008

Plus en détail

Comprendre l'objectif des exigences

Comprendre l'objectif des exigences Payment Card Industry (PCI) Data Security Standard Navigation dans les normes PCI DSS Comprendre l'objectif des exigences Version 1.2 Octobre 2008 Modifications apportées au document Date Version Description

Plus en détail

Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS)

Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS) Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS) Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Copyright

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Comprendre l'objectif des conditions

Comprendre l'objectif des conditions Payment Card Industry (PCI) Data Security Standard Navigation dans la norme PCI DSS Comprendre l'objectif des conditions Version 2.0 Octobre 2010 Modifications apportées au document Date Version Description

Plus en détail

Payment Card Industry (PCI) Payment Application Data Security Standard

Payment Card Industry (PCI) Payment Application Data Security Standard Payment Card Industry (PCI) Payment Application Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2008 Modifications apportées au document Version Description

Plus en détail

Tableau Online Sécurité dans le cloud

Tableau Online Sécurité dans le cloud Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security apporte à votre ordinateur une excellente protection contre les codes malveillants. Fondé sur la technologie

Plus en détail

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA») ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA») AVIS IMPORTANT: Afin d'accéder et / ou utiliser ce service Cloud (tel que défini ci-dessous) Vous devez

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Sécurité informatique des PME

Sécurité informatique des PME Sécurité informatique des PME Dominique PRESENT I.U.T. de Marne la Vallée Trois principaux risques menacent la PME Aujourd hui, les pannes des systèmes d information coûtent cher aux entreprises. Exemple

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-860 Désignation Firewall UTM NETDEFEND 860 Clientèle cible PME comptant jusqu à 150 utilisateurs Accroche marketing Le firewall UTM DFL-860 est une solution tout-en-un

Plus en détail

Clarification de l objectif de la condition. Garantit que la rédaction concise de la norme reflète l objectif souhaité des conditions.

Clarification de l objectif de la condition. Garantit que la rédaction concise de la norme reflète l objectif souhaité des conditions. Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la entre les versions 3.0 et 3.1 Avril 2015 Introduction Ce document apporte un récapitulatif des

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Payment Card Industry (PCI) Data Security Standard (DSS) et Payment Application Data Security Standard (PA-DSS) Glossaire, abréviations et acronymes

Payment Card Industry (PCI) Data Security Standard (DSS) et Payment Application Data Security Standard (PA-DSS) Glossaire, abréviations et acronymes Payment Card Industry (PCI) Data Security Standard (DSS) et Payment Application Data Security Standard (PA-DSS) Glossaire, abréviations et acronymes Version 1.2 Octobre 2008 AAA Accès à distance Acquéreur

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque élevé Exigences de cybersécurité Description Raisons de l'importance 1. Protection des actifs et configuration

Plus en détail

Conseils avancés. Configuration du réseau privé virtuel (VPN) SSL (Secure Sockets Layer) Pour les PME. Présentation. Principales caractéristiques

Conseils avancés. Configuration du réseau privé virtuel (VPN) SSL (Secure Sockets Layer) Pour les PME. Présentation. Principales caractéristiques Conseils avancés Configuration du réseau privé virtuel (VPN) SSL (Secure Sockets Layer) Présentation Un réseau privé virtuel Secure Sockets Layer (VPN SSL) fournit une connexion sécurisée aux ressources

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques WIFI Le wifi est une technologie de réseau informatique sans fil mise en place pour fonctionner en réseau interne Utilisateur

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi VERSION V0.3 Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Février 2014 MINISTÈRE DES AFFAIRES SOCIALES

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Programme de niveau de service pour les services Ariba Cloud. «SAP» désigne la société SAP avec laquelle le Client a contracté le Service.

Programme de niveau de service pour les services Ariba Cloud. «SAP» désigne la société SAP avec laquelle le Client a contracté le Service. Programme de niveau de service pour les services Ariba Cloud Garantie d'accessibilité au service Sécurité Divers 1. Garantie d'accessibilité au service a. Applicabilité. La Garantie d'accessibilité au

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

Glossaire. Acces Denied

Glossaire. Acces Denied Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse

Plus en détail

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

Systeme d authentification biometrique et de transfert de donnees cryptees

Systeme d authentification biometrique et de transfert de donnees cryptees Systeme d authentification biometrique et de transfert de donnees cryptees Securisez vos acces et protegez vos donnees Les composants ActiveX développés par NetInf associés aux produits de sécurisation

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4 BlackBerry Professional Software pour IBM Lotus Domino Version: 4.1 Service Pack: 4 SWD-311541-0911043520-002 Table des matières 1 Gestion des comptes d'utilisateur... 7 Ajouter un compte utilisateur...

Plus en détail

Gestion du serveur WHS 2011

Gestion du serveur WHS 2011 Chapitre 15 Gestion du serveur WHS 2011 Les principales commandes Windows Home Server 2011 reprend l ergonomie de Windows 7 et intègre les principales commandes de Windows Server 2008 R2. Les commandes

Plus en détail

POLITIQUE DE RESPECT DE LA VIE PRIVÉE

POLITIQUE DE RESPECT DE LA VIE PRIVÉE POLITIQUE DE RESPECT DE LA VIE PRIVÉE En tant qu'utilisateur de www.candycrushperfumes.com, veuillez lire attentivement cette politique de respect de la vie privée. Vous pourrez accéder ici à toutes les

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Glossaire, abréviations et acronymes

Glossaire, abréviations et acronymes Norme de sécurité des données (DSS) de l industrie des cartes de paiement (PCI) et Norme de sécurité des données de l application de paiement (PA-DSS) Glossaire, abréviations et acronymes Version 3.0 Janvier

Plus en détail

Récapitulatif des modifications entre les versions 2.0 et 3.0

Récapitulatif des modifications entre les versions 2.0 et 3.0 Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Récapitulatif des modifications entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte

Plus en détail

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction...

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction... Table des matières Introduction 1 Structure du livre 2 Nouveautés par rapport à la 3 e édition 2 Conventions typographiques 3 1 Vue d ensemble des réseaux 5 Qu est-ce qu un réseau? 6 Pourquoi créer un

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

Une sécurité de pointe pour les imprimantes et multifonctions Lexmark

Une sécurité de pointe pour les imprimantes et multifonctions Lexmark Une sécurité de pointe pour les imprimantes et multifonctions Lexmark Les données sont le bien le plus précieux de l entreprise. Lexmark vous aide à les conserver! Vous êtes sur le point d ajouter un nouvel

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK 1. OBJET Les présentes conditions générales fixent les modalités d accès et de fonctionnement du service de banque en ligne fourni par ECOBANK (le

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Politique sur l utilisation à distance d un réseau privé virtuel (VPN)

Politique sur l utilisation à distance d un réseau privé virtuel (VPN) Politique sur l utilisation à distance d un réseau privé virtuel (VPN) 1.0 Objectif de la politique L objectif de la politique est de définir un standard pour accéder à distance aux systèmes de gestion

Plus en détail

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM Le WiFi sécurisé 16 Octobre 2008 PRATIC RIOM Plan Introduction Les réseaux sans fil WiFi Les risques majeurs liés à l utilisation d un réseau WiFi Comment sécuriser son réseau WiFi La cohabitation entre

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 8.5

UserLock Quoi de neuf dans UserLock? Version 8.5 UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les

Plus en détail