Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité
|
|
- Élisabeth Labbé
- il y a 8 ans
- Total affichages :
Transcription
1 Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité
2 Table des matières Introduction 1 Des entreprises perdent des données client 1 Les clients sont informés de ces pertes 1 Le secteur des cartes bancaires souffre 1 Qu est-ce que la certification PCI? 2 Autres normes du secteur 2 Champ d application de la norme PCI DSS 2 Idées reçues et préjugés sur la certification PCI DSS 4 et l idée reçue la plus dangereuse : qui dit certification dit sécurité À qui s adresse la norme PCI DSS? 4 Évaluations PCI DSS 5 Absence de certification : risques et implications 5 Coût des atteintes à la sécurité des données 5 Autres conséquences des atteintes à la sécurité des données 5 Avantages concurrentiels associés à la certification PCI DSS 6 Trouver un fournisseur de services Cloud certifié PCI DSS 6 Critères à prendre en considération pour sélectionner un hébergeur 6 Critères de performance supplémentaires à retenir pour choisir un hébergeur 7 Conclusions et appel à l action 7 À propos de CompliancePoint 8
3 Introduction «Il n y a rien de pire qu une mauvaise publicité», lit-on parfois. Pourtant, il y a pire encore : l atteinte à la sécurité des cartes bancaires. Des entreprises perdent des données client Le 21 mai 2013, le St. Louis Post-Dispatch, journal du Missouri (États-Unis), indiquait que «au moins trois plaintes [avaient] été déposées contre [une chaîne d épiceries du Middle West] après la divulgation d actes de piratage impliquant environ 2,4 millions de cartes bancaires utilisées dans 79 magasins, de début décembre à fin mars.» Le titre de l article indiquait que ces actes de piratage pourraient coûter 80millions de dollars à la chaîne rien que pour l état de l Illinois. Parfois, un article de journal n a même pas besoin de citer des chiffres pour faire prendre conscience de la gravité de la situation. «Le gouvernement américain porte plainte contre [une chaîne hôtelière importante] suspectée de ne pas avoir protégé correctement les données bancaires de ses clients», pouvait-on lire dans un article du Huffington Post daté du 26 juin Les clients sont informés de ces pertes Les incidents de ce type ne sont pas rares. Selon le site PrivacyRights.org, plus de personnes ont été victimes d atteinte à la sécurité de leurs données depuis janvier Ce nombre est supérieur à la population actuelle des États- Unis. Un article paru récemment dans le magazine Forbes indiquait que le nombre d atteintes à la sécurité des données avait atteint son record en Ce nombre marque une augmentation de 48 pour cent par rapport à Les consommateurs sont inquiets. Selon le même article, s ils recevaient une notification d atteinte à la sécurité de leurs données en 2010, la probabilité qu ils soient effectivement victimes de fraude était alors de un sur neuf. Aujourd hui, cette probabilité est de un sur quatre. Un rapport d investigation publié en 2013 par Verizon sur le thème des atteintes à la sécurité des données analyse incidents signalés et 621 atteintes à la sécurité confirmées pour l année Ces incidents ont été pris parmi les 44 millions enregistrés pour cette même année. La créativité croissante des criminels n explique que partiellement ces chiffres. Bien que les catastrophes telles que celles mentionnées précédemment soient souvent évoquées publiquement, de nombreuses entreprises restent impassibles et ne prennent pas les mesures requises pour protéger leurs propres données. Pourtant, elles s exposent inutilement à des risques financiers et juridiques, à des amendes et à bien d autres problèmes qu elles pourraient éviter. Le secteur des cartes bancaires souffre Au mois de février 2012, le Huffington Post relatait également les mésaventures d une société de traitement de cartes bancaires : «Visa Inc. a rayé une société de traitement de cartes bancaires impliquée dans une série d atteintes à la sécurité des données de grande ampleur de sa liste de fournisseurs respectant ses normes pour la sécurité des données.» Livre blanc : Certification PCI DSS Page 1
4 «[Le PDG de cette grande société de traitement de paiements] indique que la société continue de traiter des transactions Visa mais que le fait d être rayé de cette liste risque de rendre ses partenaires réticents à traiter avec une entreprise qui a subi une atteinte à la sécurité des données.» «[Le PDG] a déclaré qu il s attendait à ce que [la société de traitement de paiements] soit réintégrée à cette liste lorsqu un nouveau rapport de conformité serait publié. Il s est cependant refusé à fixer une date. Il a affirmé que la situation était «parfaitement contenue» mais que l enquête se poursuivait et que certains points devaient encore être éclaircis.» Le secteur des cartes bancaires a élaboré un plan de riposte pour lutter contre les pirates. Si votre entreprise reçoit des paiements par carte bancaire de ses clients et ne veut pas subir les mêmes mésaventures que la société de traitement de paiements mentionnée précédemment lisez ce qui suit pour découvrir comment participer à cette riposte. Qu est-ce que la certification PCI? Les normes PCI DSS (Payment Card Industry Data Security Standards) sont un ensemble de normes auxquelles le secteur des cartes bancaires et les entreprises associées se conforment pour renforcer les contrôles sur les données bancaires, et pour réduire les fraudes à la carte bancaire via l exposition de ces données. La norme PCI a été créée en réponse à une augmentation du nombre d actes de fraude, avec en parallèle une augmentation des détournements de cartes d identité et de carte bancaires. L inefficacité de la réglementation des pouvoirs publics n a fait qu accroître ces problèmes. Aussi le secteur des cartes bancaires a-t-il créé la certification PCI DSS pour protéger ses intérêts professionnels. Autres normes du secteur Tous les acteurs du secteur des cartes bancaires doivent être sensibilisés à la certification PCI DSS, mais d autres normes peuvent également s appliquer à certains d entre eux. Norme PCI DSS (Payment Card Industry Data Security Standard) PA DSS (Payment Application Data Security Standard) PTS (PIN Transaction Security) Acteurs affectés Toutes les sociétés qui saisissent, transmettent, traitent ou stockent des données de cartes bancaires Tous les fournisseurs de logiciels qui développent, vendent et fournissent sous licence des applications qui saisissent, transmettent, traitent ou stockent des données de cartes bancaires Tous les fournisseurs de terminaux de transactions par carte bancaire ou code PIN Champ d application de la norme PCI DSS La norme PCI DSS vise tous les composants système et tous les processus métier qui stockent, traitent ou transmettent des données bancaires. Elle s intéresse à : 1. L endroit par lequel les données entrent dans une entreprise. 2. L endroit où ces données sont stockées. 3. L utilisation que font les entreprises des données qu elles traitent. 4. La manière dont les données sortent des entreprises. Livre blanc : Certification PCI DSS Page 2
5 Pour sécuriser les données à chacune de ces étapes, les entreprises doivent prendre des précautions spécifiques à différents niveaux : Segmentation du réseau (Firewalls/listes de contrôle d accès) Architecture tier-n adaptée (serveurs d applications/de bases de données) Contrôle physique Flux de travail/procédures métier La norme PCI DSS englobe 12 exigences, subdivisées en 6 catégories Domaine Élaborer et gérer un réseau sécurisé Exigence Exigence 1 : Installer et gérer un Firewall pour protéger les données bancaires. Exigence 2 : Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres options de sécurité. Protéger les données bancaires Exigence 3 : Protéger les données bancaires stockées Exigence 4 : Crypter la transmission des données bancaires sur les réseaux publics ouverts Mettre en œuvre un programme de gestion des vulnérabilités Exigence 5 : Utiliser un antivirus et le mettre à jour régulièrement Exigence 6 : Développer et gérer des systèmes et des applications sécurisés Implémenter des mesures strictes de contrôle d accès Exigence 7 : Restreindre l accès aux données bancaires grâce au principe «besoin de connaître» Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur Exigence 9 : Restreindre l accès physique aux données bancaires Suivre et tester régulièrement les réseaux Exigences 10 : Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires Exigence 11 : Tester régulièrement les systèmes et les processus de sécurité Gérer une stratégie de sécurité des informations Exigence 12 : Mettre en œuvre une stratégie répondant aux problèmes de sécurité de l information pour les salariés et les prestataires Livre blanc : Certification PCI DSS Page 3
6 Idées reçues et préjugés sur la certification PCI DSS Bien qu un certain nombre de sources crédibles accessibles gratuitement expliquent ce qu est la norme PCI DSS, certaines incompréhensions continuent de circuler. En voici un aperçu : Si j utilise une application certifiée PCI DSS, je suis certifié PCI DSS. Si je passe par un fournisseur de services certifié PCI DSS, je suis certifié PCI DSS. Je ne traite pas suffisamment de transactions par carte bancaire pour avoir besoin de la certification PCI DSS. Mon entreprise a rempli un questionnaire SAQ, donc elle est certifiée PCI DSS. Si je ne stocke pas de données bancaires, je n ai pas besoin d être certifié PCI DSS. et l idée reçue la plus dangereuse : qui dit certification dit sécurité La certification peut être considérée comme l une des composantes de la sécurité, mais elle ne garantit pas à elle seule la sécurité de vos données. La certification PCI DSS s intéresse uniquement aux applications et à l infrastructure informatique qui affectent les données bancaires. Si votre entreprise a d autres données sensibles ou à fort impact, vous devez les sécuriser par d autres moyens. À qui s adresse la norme PCI DSS? Quelle que soit leur taille, tous les commerçants qui permettent à leurs clients de régler par carte bancaire doivent au moins avoir connaissance de la norme PCI DSS. La norme PCI DSS distingue les «niveaux de commerçants» suivants pour prendre en considération les commerçants qui acceptent des paiements par carte bancaire. (Les exigences associées à chaque niveau sont sujettes à des révisions et modifications périodiques.) En fonction de leur niveau, les commerçants doivent satisfaire à des exigences spécifiques pour être certifiés PCI DSS. Niveau de commerçant Critères Tout commerçant qui traite au moins 6 millions de transactions par carte bancaire par an Tout commerçant qui a été victime de piratage ou d une attaque compromettant la sécurité des données bancaires Tout prestataire de services qui traite plus de transactions par carte bancaire par an Tout commerçant qui traite au moins 1 million de transactions par carte bancaire par an Tout prestataire de services qui traite moins de transactions par an Tout commerçant e-commerce qui traite moins de 1 million de ransactions par an Tout commerçant qui traite moins de 1 million de transactions par an Exigences Évaluation annuelle sur site de la sécurité des données PCI DSS par un QSA (Qualified Security Assessor) Scans de réseau trimestriels effectués par un ASV (Approved Scanning Vendor) SAQ (Self-Assessment Questionnaire) rempli par le commerçant Scans de réseau trimestriels effectués par un ASV (Approved Scanning Vendor) Livre blanc : Certification PCI DSS Page 4
7 Évaluations PCI Les évaluations de certification PCI DSS couvrent trois domaines principaux : Contrôles administratifs politique de contrôle et procédures Contrôles techniques infrastructure informatique et de sécurité Sécurité physique Absence de certification : risques et implications L absence de certification PCI DSS peut accroître considérablement le risque d atteintes à la sécurité des données, avec les conséquences que cela entraîne. Coût des atteintes à la sécurité des données Selon CompliancePoint, le coût de l atteinte à la sécurité des données s élève à 354 USD par enregistrement impliqué. Ce coût se décompose de la manière suivante : Poste de coût Coût Découverte, réponse, notification 50$ Coût de productivité salarial 30$ Amendes réglementaires 60$ Restitution 30$ Remplacement de carte bancaire 35$ Exigences de sécurité et d audit 10$ Perte d opportunité client 139$ Total/enregistrement 354$ Autres conséquences des atteintes à la sécurité des données Les atteintes à la sécurité des données peuvent avoir encore d autres coûts, parmi lesquels : coûts des procédures judiciaires risque de débits compensatoires publicité négative des médias perte d opportunités commerciales amendes et augmentation des frais de transactions facturés par les sociétés de cartes bancaires entachement de la réputation de l entreprise et affaiblissement de son assise financière détérioration de l image de marque de l entreprise, due à un manque de confiance au sein de ses effectifs et à l extérieur Livre blanc : Certification PCI DSS Page 5
8 Avantages concurrentiels associés à la certification PCI DSS La certification PCI DSS permet à un commerçant de renforcer la confiance de ses clients et prospects et de ses partenaires commerciaux actuels et potentiels. De nombreuses entreprises abandonnent aujourd hui les data centres internes au profit des fournisseurs de services Cloud. Votre certification PCI DSS inspire confiance à vos clients. Pour préserver ce capital confiance, vous devez choisir un fournisseur de services lui aussi certifié PCI DSS. Sinon, votre entreprise ne pourra pas utiliser les serveurs de votre fournisseur de services pour ses données bancaires sans risquer de compromettre sa propre certification PCI DSS. Trouver un fournisseur de services Cloud certifié PCI DSS Vous avez besoin d un fournisseur de services Cloud certifié PCI DSS? Ne cherchez plus : rendez-vous simplement sur le site de CIS Security Benchmarks ( benchmarks.cisecurity.org/membership/roster/). Les membres de cette communauté se sont regroupés pour mettre en place des environnements informatiques toujours plus sûrs. Comme l indique le site Web de CIS Security Benchmarks : CIS Security Benchmarks, division de CIS, est reconnue comme une autorité indépendante et digne de confiance facilitant la collaboration des experts des secteurs public et privé, afin d établir un consensus sur des solutions pratiques et applicables. De par cette réputation, nos ressources sont recommandées pour leur capacité à renforcer les systèmes, et elles font référence dans le secteur. Elles sont utilisées par les entreprises concernées par les certifications FISMA, PCI DSS et IPAA et par les autres exigences de sécurité. Peer 1 Hosting met à la disposition de ses clients des installations, des pratiques d administration et une infrastructure conçues pour satisfaire aux exigences très strictes de la norme PCI DSS 2.0. Nous sommes également audités régulièrement par CompliancePoint, une entreprise indépendante. Critères à retenir pour sélectionner un hébergeur Si vous avez besoin d une liste de points à contrôler pour choisir un fournisseur certifié PCI DSS, nous vous suggérons de lire la page 11 du supplément d informations (en anglais) «Information Supplement: PCI DSS Cloud Computing Guidelines», rédigé par le groupe d intérêt spécial Cloud du PCI Security Standards Council. La liste ci-dessous rappelle les meilleures pratiques recommandées dans ce document : 1. Installer et gérer un Firewall pour protéger les données bancaires. 2. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres options de sécurité 3. Protéger les données bancaires stockées 4. Crypter la transmission des données bancaires sur les réseaux publics ouverts 5. Utiliser un antivirus et le mettre à jour régulièrement 6. Développer et gérer des systèmes et des applications sécurisés Livre blanc : Certification PCI DSS Page 6
9 7. Restreindre l accès aux données bancaires grâce au principe «besoin de connaître» 8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur 9. Restreindre l accès physique aux données bancaires 10. Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires 11. Tester régulièrement les systèmes et les processus de sécurité 12. Mettre en œuvre une stratégie répondant aux problèmes de sécurité de l information pour l ensemble du personnel Les auteurs abordent chacune de ces meilleures pratiques de manière détaillée et recommandent aux clients et aux fournisseurs de services de les appliquer. N oubliez pas que les entreprises qui font appel à un fournisseur de services certifié PCI DSS doivent aussi veiller à se conformer elles-mêmes aux exigences de la norme PCI DSS. Comme indiqué page 10, PEER 1 fait partie de la communauté CIS Security Benchmarks, et ce statut de membre nous aide à conserver notre certification PCI DSS et à mettre en œuvre les meilleures pratiques au fur et à mesure qu elles émergent. CompliancePoint est le QSA (Qualified Security Addessor) de PEER 1. C est à son équipe d experts que nous avons choisi de faire confiance pour maintenir la certification PCI DSS de PEER1. Notre partenariat est très précieux, tout comme la sécurité des données bancaires pour nos clients. Critères de performance supplémentaires à retenir pour choisir un hébergeur Lorsque vous disposerez de votre solution pleinement certifiée PCI DSS hébergée par Peer 1 Hosting, vous pourrez optimiser les performances de votre application grâce à un certain nombre de services proposés par CompliancePoint, parmi lesquels : Évaluation PCI DSS Élaboration d une politique PCI DSS Scans de vulnérabilité Tests de pénétration Formation de sensibilisation à la sécurité Surveillance de conformité et programme de gestion Portail d automatisation de la conformité Conclusion et appel à l action Peer 1 Hosting met à votre disposition un environnement de travail Cloud certifié PCI DSS. CompliancePoint facilite la mise en place de cet environnement grâce à son approche de la gestion de la conformité basée sur l ensemble du cycle de vie de la conformité. Nous réduisons les coûts et les efforts que nos clients doivent consentir pour obtenir la certification PCI DSS et la conserver. Nous permettons à nos clients de faire des économies lors de la mise en œuvre des contrôles physiques et techniques. L environnement PEER 1 Hosting est déjà audité, ce qui permet à nos clients de gagner du temps et d être plus efficaces lors de leurs propres audits. Livre blanc : Certification PCI DSS Page 7
10 Nous utilisons la même charte de conformité. Avec le partenariat Peer 1 Hosting- CompliancePoint, offrez à votre entreprise l offre de solutions de certification PCI DSS dont elle a besoin. Pour plus d informations sur les solutions d hébergement certifiées PCI DSS : Appelez Peer 1 au Rendez-vous sur le site et discutez en ligne avec un conseiller Pour obtenir des informations sur les services de certification PCI DSS, appelez CompliancePoint au À propos de CompliancePoint CompliancePoint occupe une position de leader sur le marché de la conformité et de la gestion des risques. Sa mission consiste à aider les entreprises à protéger leurs informations et à respecter la réglementation. À cet effet, CompliancePoint propose aux entreprises des évaluations effectuées par une tierce partie et les aide à élaborer des politiques et des programmes de sécurité d entreprise reposant sur les principes de sécurité de l information et sur les exigences réglementaires des normes PCI DSS v2.0 et PCI PA-DSS, HIPAA/HITECH, ISO 27001, SSAE SOC2 et FISMA/NIST. L approche en trois points utilisée par CompliancePoint pour identifier les niveaux de conformité, résoudre les problèmes de conformité et proposer un programme pour gérer plus efficacement les données, les documents et les activités de conformité aide les entreprises à obtenir la certification mais aussi à la conserver. Livre blanc : Certification PCI DSS Page 8
Foire aux questions (FAQ)
Foire aux questions (FAQ) Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la Norme PCI DSS? Qui définit cette Norme? Où puis-je obtenir plus d informations sur la
Plus en détail1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?
1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS? Au titre de sa mission de suivi des politiques de sécurité mises en œuvre par les émetteurs et les accepteurs, l Observatoire a souhaité,
Plus en détailGLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.
ISO 27001 & PCI-DSS Une approche commune a-t-elle du sens? version 1.00 (2009.01.21) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO 27001 Lead Auditor, ISO 27005
Plus en détailIDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?
IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council
Plus en détailMISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné
NetBenefit Green Side 400 Avenue Roumanille 06906 Sophia Antipolis Cedex France +33 (0)4 97 212 212 www.netbenefit.fr MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné Ce document
Plus en détailNorme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité
Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale
Plus en détailRéf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement
La sécurisation des transactions électroniques a toujours été au cœur des préoccupations des acteurs du paiement, qu'ils soient commerçants, institutions financières ou fournisseurs de services. L'industrie
Plus en détailRetour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014
Retour d expérience PCI DSS Gérard Boudin 8 avril 2014 Fraude Adobe 2,9 puis 38 millions de comptes affectés 2 Autres fraudes SONY (2011) 77 millions de comptes Network PlayStation affectés Subway (Sept
Plus en détailSécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC
Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................
Plus en détailFonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée
Fonctionne avec toute plate-forme de virtualisation pas de dépendance à l égard d un fournisseur de virtualisation Propose un contrôle centralisé des postes de travail et serveurs physiques, virtuels et
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailSolutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement
Assurer la conformité PCI et la protection des données des porteurs de cartes avec les bonnes pratiques de sécurité. Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des
Plus en détailPCI DSS un retour d experience
PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un
Plus en détailGestion de la sécurité de l information par la haute direction
Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut
Plus en détailLIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité
Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.
Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailIntégrer l assurance dans la gestion des risques liés à la sécurité des données
Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1
Plus en détailExcellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
Plus en détailPCI (Payment Card Industry) Data Security Standard
PCI (Payment Card Industry) Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Modifications apportées au document Version Description Pages Octobre 2008
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailSécurisation des paiements en lignes et méthodes alternatives de paiement
Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude
Plus en détailLIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités
Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace
Plus en détailEVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité
en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité Vue d ensemble des principaux avantages Permet au service informatique de gérer les données mobiles en définissant des règles
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailUne approche à multiples niveaux en matière de sécurité des cartes de paiement
Une approche à multiples niveaux en matière de sécurité des cartes de paiement Une approche à multiples niveaux en matière de sécurité des cartes de paiement SANS PRÉSENCE DE LA CARTE 1 Une récente étude
Plus en détailCompte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI
Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup
Plus en détailAttention, menace : le Trojan Bancaire Trojan.Carberp!
Protégez votre univers L aveugle ne craint pas le serpent Attention, menace : le Trojan Bancaire Trojan.Carberp! Attention, menace : le Trojan Bancaire Trojan.Carberp! Voici un exemple de contamination
Plus en détailLe nuage : Pourquoi il est logique pour votre entreprise
Le nuage : Pourquoi il est logique pour votre entreprise TABLE DES MATIÈRES LE NUAGE : POURQUOI IL EST LOGIQUE POUR VOTRE ENTREPRISE INTRODUCTION CHAPITRE 1 CHAPITRE 2 CHAPITRE 3 CONCLUSION PAGE 3 PAGE
Plus en détailLa solution e-commerce
Payment Services La solution e-commerce Votre clé du succès dans le commerce en ligne 2 Le bon choix pour vos paiements en ligne et omni-canal Omni-canal est la combinaison de différents canaux de vente
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailPCI-DSS : un standard contraignant?!
PCI-DSS : un standard contraignant?! Synthèse de la conférence thématique du CLUSIF du 7 avril 2011 à Paris Devant l augmentation des fraudes et des incidents liés à la carte bancaire, les cinq grands
Plus en détailCheck-List : Les 10 principales raisons de passer au Cloud
Check-List : Les 10 principales raisons de passer au Cloud Check-List : Les 10 principales raisons de passer au Cloud «Le SaaS va devenir le mode de déploiement par défaut de la technologie RH...» - Paul
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailLIVRE BLANC. Migration de Magento Community Edition MD à Magento Enterprise Edition MD
LIVRE BLANC Migration de Magento Community Edition MD à Magento Enterprise Edition MD INTRODUCTION La plateforme de commerce électronique Magento MD offre aux commerçants une solution complète, souple
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailSymantec Control Compliance Suite 8.6
Automatiser et gérer la conformité IT dans le cadre de la réduction des coûts et de la complexité Présentation Symantec Control Compliance Suite automatise les principaux processus de conformité informatique.
Plus en détail) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011.
Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT 27 avril 2011 Paris ) ) ) ) Ce document est la propriété de Provadys SAS et ne peut être reproduit
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailTRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.
TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace
Plus en détailPrésentation ITS Interactive Transaction Solutions
Présentation ITS Interactive Transaction Solutions ITS Interactive Transaction Solutions Plus de 10 ans d expérience dans les transactions sécurisées et la carte d achat 150 000 transactions / jour 25
Plus en détailLa sécurité de l'information
Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus
Plus en détailRECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne
RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne Sommaire Avant-propos de Parry Aftab 3 Expert de la sécurité en ligne Achats en ligne : la vérité 4 Recommandations et mises en
Plus en détailFace aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012
Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI
Plus en détailPROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt
PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt ASPECTS TECHNIQUES M. Raphaël VINOT CIRCL SEMINAIRE UIA ENJEUX EUROPEENS ET MONDIAUX DE LA PROTECTION DES
Plus en détailGRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation
GRIFES Gestion des risques et au-delà Pablo C. Martinez TRMG Product Leader, EMEA Symantec Corporation Gestion des risques et conformité Principaux soucis Se conformer aux mandats Rester loin des menaces
Plus en détailLe commerce et la sécurité : comment protéger les données des clients tout en réalisant des économies de temps et d argent
Livre blanc Le commerce et la sécurité : comment protéger les données des clients tout en réalisant des économies de temps et d argent Présentation Dans le secteur du commerce, les environnements IT connaissent
Plus en détailConditions Générales d Hébergement et de Livraison du Cloud Oracle Date d Effet : 1er décembre 2014 Version 1.4
Conditions Générales d Hébergement et de Livraison du Cloud Oracle Date d Effet : 1er décembre 2014 Version 1.4 Sauf mention contraire, les présentes Conditions Générales d Hébergement et de Livraison
Plus en détailSÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/
SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailNombre de reconnaissances et d awards prestigieux concourent à démontrer la réussite de cette stratégie.
Description générale Spécialiste européen en solutions ICT, EBRC se distingue en répondant aux problématiques et enjeux de la gestion de l information et des infrastructures sensibles par une offre centrée
Plus en détailDocument de présentation
Document de présentation LIVEVAULT 1 DIX RAISONS D OPTER POUR LA SAUVEGARDE ET LA RÉCUPÉRATION EN LIGNE INTRODUCTION La sauvegarde des renseignements essentiels est cruciale pour la survie des entreprises
Plus en détailPourquoi les entreprises privilégient OpenText Cloud Fax Services
Pourquoi les entreprises privilégient OpenText Cloud Fax Services De nombreuses entreprises ont encore largement recours au fax et les solutions de fax automatisées dans le Cloud n ont jamais connu un
Plus en détailccredit Des paiements sans frontières en toute sécurité. Paiements par carte au point de vente (POS).
Payment Services ccredit Des paiements sans frontières en toute sécurité. Paiements par carte au point de vente (POS). Avec ccredit, SIX Payment Services offre une solution de paiement intégrée à la caisse
Plus en détailThe Path to Optimized Security Management - is your Security connected?.
The Path to Optimized Security Management - is your Security connected?. David GROUT, PreSales Manager FRANCE CISSP, Comptia S+, Lead Audito ISO21001:2005 Agenda Etat des lieux des risques aujourd hui
Plus en détailLa protection des systèmes Mac et Linux : un besoin réel?
La protection des systèmes Mac et Linux : un besoin réel? Les risques encourus par les postes de travail tournant sous d autres plates-formes que Windows se confirment. En effet, les systèmes Mac et Linux,
Plus en détailLe stockage de données qui voit les affaires à votre manière. En hausse. nuage
Le stockage de données qui voit les affaires à votre manière. En hausse. nuage Désormais, rien n est plus facile que d intégrer l information d une entreprise et ses processus d affaires : il suffit d
Plus en détailmieux développer votre activité
cloud computing mieux développer votre activité Les infrastructures IT et les applications d entreprise de plus en plus nombreuses sont une source croissante de contraintes. Data centers, réseau, serveurs,
Plus en détailE-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg
E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour
Plus en détail10 bonnes pratiques de sécurité dans Microsoft SharePoint
10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft
Plus en détailVector Security Consulting S.A
Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante
Plus en détailSolution de gestion des journaux pour le Big Data
Solution de gestion des journaux pour le Big Data PLATE-FORME ÉVOLUTIVE D INFORMATIONS SUR LES JOURNAUX POUR LA SÉCURITÉ, LA CONFORMITÉ ET LES OPÉRATIONS INFORMATIQUES Plus de 1 300 entreprises de secteurs
Plus en détailSite Web e-rcs GUIDE UTILISATEUR SAFERPAY V1.5
GUIDE UTILISATEUR SAFERPAY V1.5 GUIDE UTILISATEUR SAFERPAY SOMMAIRE 1. A propos de ce guide 3 1.1. Symboles utilisés 3 1.2. Terminologie 3 2. Plateforme de paiement électronique Saferpay 4 2.1. Nouveau
Plus en détailCHAPITRE 3 : INTERVENTIONS SUR INCIDENTS
CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le
Plus en détailSécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance»
Sécuriser le e-commerce avec la technologie XCA Les enjeux du e-commerce mondial Dès 2006, la barre des 100 millions d acheteurs européens en ligne a été dépassée. Avec un montant moyen d achats de 1000
Plus en détailCréer un tableau de bord SSI
Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com
Plus en détailPayment Card Industry (PCI) Normes en matière de sécurité des données
Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures d audit de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Procédures d audit de sécurité...
Plus en détailSécuriser. connecter. simplifier. Your multi-channel payment partner.
Sécuriser. connecter. simplifier. Your multi-channel payment partner. Anticiper l innovation pour offrir à nos clients une technologie de pointe. Technologies de proximité Le groupe Verifone est leader
Plus en détailLivre blanc. Le Cloud Computing : battage publicitaire ou stratégie d entreprise intelligente?
Livre blanc Le Cloud Computing : battage publicitaire ou stratégie d entreprise intelligente? Livre blanc Le Cloud Computing : battage publicitaire ou stratégie d entreprise intelligente? Construire une
Plus en détailLe contrat Cloud : plus simple et plus dangereux
11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin
Plus en détail3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde
3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques
Plus en détailLa gestion des risques en entreprise de nouvelles dimensions
La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent
Plus en détailAxe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM
BROCHURE SOLUTIONS Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM L IDENTITE AU COEUR DE VOTRE PERFORMANCE «En tant que responsable informatique,
Plus en détailSélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1
POUR L EVALUATION DE LA CONFORMITE DU GIM-UEMOA A LA NORME PCI-DSS, LEVEL 1 TERMES DE REFERENCE Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA à la norme
Plus en détailMenaces du Cyber Espace
Menaces du Cyber Espace Conférence 02-04-2014 David WARNENT Police Judiciaire Fédérale Namur Regional Computer Crime Unit Faits Divers Tendances Social Engineering Hacktivisme Anonymous et assimilés Extorsions
Plus en détailComment choisir la solution de gestion des vulnérabilités qui vous convient?
Comment choisir la solution de gestion des vulnérabilités qui vous convient? Sommaire 1. Architecture 2. Sécurité 3. Evolutivité et convivialité 4. Précision/Performance 5. Découverte/Inventaire 6. Analyse
Plus en détailEditeurs de logiciels. Votre guide SMS
Votre guide SMS SMS et logiciels Les éditeurs de logiciels intègrent de plus en plus le SMS dans leurs produits, notamment pour permettre l envoi d alertes, de rappels de rendez-vous ou encore de notifications.
Plus en détailPayment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité
Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Dispositif d impression ou terminal par ligne commutée autonome uniquement, aucun stockage
Plus en détailTEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME
TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME Vo t r e s p e a k e r a u j o u r d h u i : F r a n ç o i s W e b S e c u r i t y M a n a g e r Agenda Partie
Plus en détailL'infonuagique, les opportunités et les risques v.1
L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.
Plus en détailComment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude
Comment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude Table des matières Introduction Investir dans la sécurité 3 Types de fraude Une criminalité aux nombreux
Plus en détailAtelier C06. Cyber résilience : Protéger ses données et celles de ses clients
1 Atelier C06 Cyber résilience : Protéger ses données et celles de ses clients Atelier C06 Cyber résilience : Protéger ses données et celles de ses clients Intervenants Jérôme GOSSÉ Anne MAGNAN Hubert
Plus en détailDécouverte et investigation des menaces avancées PRÉSENTATION
Découverte et investigation des menaces avancées PRÉSENTATION AVANTAGES CLÉS RSA Security Analytics offre les avantages suivants : Surveillance de la sécurité Investigation des incidents Reporting sur
Plus en détailMieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE
Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1
Plus en détailAlliance Healthcare : automatiser pour mieux fluidifier les processus
www.itbusinessreview.fr N 6 Alliance Healthcare : automatiser pour mieux fluidifier les processus page 12 N 6 - Mars 2014 POSTES DE TRAVAIL Fin du support de Windows XP : quelles conséquences pour les
Plus en détailCloudSwitch sécurise les clouds d entreprise
livre blanc Le cloud en toute sérénité avec CloudSwitch CloudSwitch sécurise les clouds d entreprise Nombreuses sont les entreprises qui souhaiteraient bénéficier des avantages du cloud-computing mais
Plus en détailL hygiène informatique en entreprise Quelques recommandations simples
L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailLa sécurité des PABX IP. Panorama des risques et introduction des mesures de protection
La sécurité des PABX IP Panorama des risques et introduction des mesures de protection Marc LEFEBVRE Consultant Sécurité Orange Consulting - 25 avril 2013 Consulting Services cybersécurité by Orange unité
Plus en détailPanorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)
Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1 L évolution des usages TIC
Plus en détailPrésentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.
Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche
Plus en détailGestion du risque numérique
Gestion du risque numérique Auguste DIOP Arnaud PRINCE AGBODJAN TALENTYS www.talentys.ci 2ème édition des Journées de l Entreprise Numérique, 9 & 10 avril 2015 Qui sommes-nous? Fondée en 2007, TALENTYS
Plus en détailLa payement par Carte Bancaire sur Internet
Une documentation Côtière Informatique Mise à jour du 06/11/2012 Sommaire : La payement par Carte Bancaire sur Internet 1) Préambule page 1 2) Historique page 1 3) Une situation actuelle anormale page
Plus en détail