Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI?

Transcription

1 LIVRE BLANC La solution de CA Technologies pour la conformité PCI Février 2012 Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI? agility made made possible possible

2 table of contents Résumé 3 SECTION 1 : Défi 4 Protection des informations confidentielles des titulaires de cartes de crédit SECTION 2 : Solution 6 Réalisation de la conformité PCI SECTION 3 : Avantages 14 2

3 executive summary Défi La conformité PCI fait désormais partie des exigences métier de toute entreprise amenée à traiter des informations de carte de crédit. Afin d y satisfaire, l entreprise doit mettre en place des contrôles de sécurité forts sur l ensemble des systèmes et applications dédiés au traitement et au stockage de ces informations. Ces contrôles de sécurité doivent permettre la mise en place de droits d accès à l ensemble des informations confidentielles, mais aussi l identification et la correction de toutes les zones pouvant présenter un risque d exposition des informations de cartes de crédit des clients de l entreprise. Le PCI Council a publié de nouvelles directives, prenant en compte de nouvelles exigences en matière de conformité PCI dans les environnements virtuels. Ces dernières impliquent la mise en oeuvre de nouvelles fonctionnalités de sécurité qui n étaient pas spécifiées dans la première version des directives PCI. Solution Les solutions éprouvées de gestion des identités et des accès (Identity and Access Management, IAM) de CA Technologies aident les organisations à atteindre la conformité PCI en garantissant la confidentialité de l ensemble des informations confidentielles des détenteurs de cartes bancaires et en détectant et en corrigeant les zones d exposition potentielles. Ces solutions assurent également un contrôle efficace des accès à vos applications, systèmes et données dans les environnements physiques, virtuels et Cloud. Enfin et surtout, elles intègrent des fonctionnalités de sécurité spécifiques aux environnements virtuels qui peuvent contribuer à simplifier de manière significative la conformité avec les nouvelles directives en matière de virtualisation. Avantages Les solutions IAM de CA Technologies vous permettent de créer des contrôles de sécurité afin de vous aider à atteindre la conformité PCI : en plus de contrôler et d auditer l accès aux informations sur les détenteurs de cartes de crédit, elles protègent les applications contre les attaques et détectent et corrigent efficacement les zones présentant un risque d exposition. Ces solutions constituent une excellente base pour un programme de conformité PCI complet. 3

4 Section 1 : Défi Protection des informations confidentielles des titulaires de cartes de crédit Introduction à la conformité PCI La norme PCI DSS (Payment Card Industry Data Security Standard, abrégée en «PCI») est née de la collaboration entre les principaux émetteurs de cartes de crédit dans le monde, parmi lesquels Visa, MasterCard, American Express et Discover. Elle vise à assurer la cohérence des normes de sécurité mises en oeuvre par ces organismes et à garantir aux détenteurs de cartes la sécurité de leurs informations de compte, quel que soit l endroit où ils utilisent leur carte en tant que moyen de paiement. La norme prévoit des sanctions financières à l encontre de tout fournisseur ou prestataire de services ne s y conformant pas ; cependant, la sanction la plus grave pour ces acteurs économique est de se voir refuser la capacité d accepter ou de traiter des transactions par carte de crédit, dans la mesure où cette sanction pourrait signifier la fin de leur activité. Résumé des exigences de la norme PCI La norme PCI n impose l utilisation d aucune technologie ni aucun produit spécifique. En contrepartie, elle définit des bonnes pratiques en matière de traitement, de communication et de stockage des informations de cartes de crédit, dans le but de réduire les risques d accès non autorisé à ces informations. La majeure partie des exigences de la norme PCI visent à renforcer le périmètre de sécurité de l organisation, afin d empêcher les «mauvaises personnes» d accéder à ses systèmes internes ou à des sources de données contenant des informations de titulaires de cartes de crédit. Comme l actualité le démontre souvent, avec des événements tels que le scandale CardSystems, les failles de sécurité les plus importantes trouvent souvent leur source à l intérieur même de l entreprise. C est la raison pour laquelle un certain nombre des exigences édictées par la norme PCI ont pour objectif de limiter l accès des collaborateurs de l entreprise à l intégralité des informations de cartes de crédit des clients. Le nombre de collaborateurs autorisés à visualiser les numéros de carte de crédit en entier, par exemple, doit être strictement limité au nombre des personnes qui ont réellement besoin de connaître cette information. La norme compte six grandes catégories d exigences, chacune d elles se divisant en plusieurs souscatégories. Le tableau suivant répertorie ces catégories et les principales exigences imposées par la norme PCI : Catégorie Création et gestion d un réseau sécurisé. Exigences 1. Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de carte 2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur Protection des données des titulaires de cartes de crédit. Entretien d un programme de gestion des vulnérabilités. 3. Protéger les données de titulaires de cartes stockées 4. Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts 5. Utiliser des logiciels antivirus et les mettre à jour régulièrement 6. Développer et gérer des systèmes et des applications sécurisés 4

5 Mise en oeuvre de mesures de contrôle d accès strictes. 7. Restreindre l accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître dans le cadre de leur travail 8. Affecter un ID unique à chaque utilisateur d ordinateur 9. Restreindre l accès physique aux données des titulaires de cartes Surveillance et test réguliers des réseaux. 10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes 11. Tester régulièrement les processus et les systèmes de sécurité Gestion d une politique de sécurité des informations. 12. Gérer une politique de sécurité des informations pour l ensemble du personnel Mise à jour de la norme PCI dans le domaine de la virtualisation En juin 2011, le PCI Council a publié une importante mise à jour de la norme PCI (PCI DSS V2.0), intitulée «PCI DSS Virtualization Guidelines Supplement». Cette mise à jour, conséquence logique de l expansion rapide des environnements virtualisés, vise à mieux préciser les exigences en matière de protection des informations des titulaires de carte de crédit sur les machines et dans les environnements virtuels. Très complète, elle pose les problèmes et implications liés à la protection des informations dans un environnement virtualisé. Le périmètre défini dans la norme illustre l impact de ces nouvelles directives : Les conditions de la norme PCI DSS s appliquent à l intégralité d une machine virtuelle dans la mesure où celle-ci stocke, traite ou transmet des données de titulaires de carte, est connectée à ou fournit un point d entrée vers l environnement des données des titulaires de cartes. Dans ce cas, la norme s applique au système hôte sous-jacent de la machine virtuelle et à l hyperviseur, lesquels sont directement connectés à la machine virtuelle et ont un impact fondamental sur ses fonctionnalités et l état de sa sécurité. La nouvelle version de la norme clarifie les exigences liées à la conformité PCI et inclut les systèmes et les composants (hyperviseur) dans son champ d application de façon manifeste. Elle introduit un certain nombre de pratiques de sécurité destinées à améliorer la conformité avec les exigences de la norme PCI et inclut une toute nouvelle section (4.1.8), qui revêt un intérêt particulier dans le domaine des environnements virtuels. Cette section porte sur le renforcement de l hyperviseur et comprend les exigences technologiques suivantes : Restreindre l utilisation des fonctions d administration à des réseaux et périphériques terminaux définis, par exemple des ordinateurs portables ou de bureau spécifiques et approuvés. Exiger une authentification à plusieurs facteurs pour toutes les fonctions d administration. Séparer les fonctions d administration de façon à ce que les administrateurs des hyperviseurs ne soient pas en mesure de modifier, supprimer ou désactiver les journaux d audit des hyperviseurs. Séparer les tâches des fonctions d administration, de façon à ce que les informations de connexion de l hyperviseur ne permettent pas d accéder aux applications, données ou composants virtuels. 5

6 Avant de mettre en oeuvre une solution de virtualisation, vérifier les contrôles de sécurité supportés par celle-ci et vérifier dans quelle mesure ils permettent de limiter le risque de compromission de l hyperviseur. Ces exigences peuvent être réduites à la mise en oeuvre d un contrôle affiné des actions des utilisateurs à forts privilèges. Nous examinerons dans la section suivante la façon dont les solutions de CA Technologies rendent tout cela possible. Section 2 : Solution Réalisation de la conformité PCI La conformité PCI se définit par la réalisation d un nombre important d exigences dont le but commun est d élaborer un environnement sécurisé pour la communication et le traitement des informations de titulaires de cartes de crédit. Si certaines de ces exigences sont centrées sur la mise en oeuvre ou l amélioration de processus, le recours à la technologie peut aider les organisations dans leurs efforts. Les solutions de sécurité de CA Technologies permettent ainsi de répondre avec une efficacité optimale aux exigences PCI suivantes (première référence en gras) : Exigence n 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur Résumé de l exigence : Changer systématiquement les paramètres par défaut définis par le fournisseur avant d installer un système sur le réseau. Élaborer des normes de configuration pour tous les composants du système. Crypter tous les accès administratifs non console, à l aide d une cryptographie robuste. La solution de CA Technologies : CA ControlMinder Les exigences de cette section étant très étendues, il est très peu probable qu une seule solution suffise à répondre à toutes. Cependant, les fonctionnalités de CA ControlMinder contribuent à simplifier et automatiser de façon significative la conformité avec ces exigences. Ainsi, CA ControlMinder permet de modifier immédiatement les mots de passe des utilisateurs à forts privilèges, afin d empêcher l utilisation des mots de passe par défaut sur les comptes système administrateur. CA ControlMinder peut également modifier automatiquement les mots de passe selon un calendrier prédéfini, afin de garantir un état de «fraîcheur» constant des mots de passe administrateur (section 2.1). CA ControlMinder peut être configuré de façon à ce que les informations de connexion administrateur soient chiffrées (section 2.3) au moyen d algorithmes robustes standard. Exigence n 6 : Développer et gérer des systèmes et des applications sécurisés Résumé de l exigence : S assurer que les composants du système sont dotés des derniers correctifs de sécurité développés par le fournisseur et établir des processus afin de garantir que les applications sont exemptes de vulnérabilités. La solution de CA Technologies : CA SiteMinder Un élément clé, décrit dans la section 6.5 de la norme PCI, implique que toutes les applications personnalisées soient basées sur les directives de codage sécurisé. L objectif est de prévenir les vulnérabilités de codage ou, si elles sont présentes, leur exploitation. Il s agit de coder les applications de façon à éliminer les vulnérabilités, notamment celles de type entrée non validée, session mal protégée, attaque de script entre sites, dépassement de mémoire tampon et traitement d erreur incorrecte. 6

7 CA SiteMinder intègre des fonctionnalités qui aident à satisfaire pleinement à certaines de ces exigences et partiellement à d autres. En particulier, CA SiteMinder offre un accès sécurisé aux applications personnalisées, de sorte que ces dernières ne sont accessibles qu aux seuls utilisateurs autorisés. CA SiteMinder protège le code des applications personnalisées de plusieurs façons : 1. L application filtre les URL afin de bloquer les tentatives d accès utilisant des caractères ou des chaînes de caractères pouvant être nuisibles pour l application ou ses utilisateurs. Le risque d attaques par des scripts entre sites est ainsi réduit, car les URL incorrectes ne peuvent pas franchir la protection de l agent CA SiteMinder. Aucune modification des applications n est nécessaire pour bénéficier de ces fonctionnalités. 2. Les puissantes fonctionnalités de gestion de session permettent de prévenir le détournement de sessions utilisateur par des individus non autorisés qui tenteraient d accéder aux ressources d autres utilisateurs. 3. Auparavant distribuée, la configuration est désormais centralisée, donc plus sûre. En plus de renforcer la sécurité de l application, cette fonctionnalité contribue à réduire les efforts administratifs de l organisation tout en améliorant son évolutivité vers d autres environnements applicatifs. En résumé, CA SiteMinder aide à prévenir les attaques par répétition, les détournements de sessions et les tentatives d usurpation d identité tout en protégeant les applications Web. Toutes ses fonctionnalités font de CA SiteMinder un outil idéal pour faciliter le développement et le déploiement d applications sécurisées et ainsi permettre à votre organisation d être en conformité avec cette section de la norme PCI. Exigence n 7 : Restreindre l accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître dans le cadre de leur travail Résumé de l exigence : L accès aux systèmes, applications et données (en particulier les données des titulaires de cartes) doit être strictement limité aux individus dont le besoin d obtenir cet accès est clairement défini. Les solutions de CA Technologies : CA GovernanceMinder, CA SiteMinder, CA ControlMinder, CA IdentityMinder Bien que cette section soit l une des plus courtes de la norme PCI, sa portée est très étendue. En conséquence, la réalisation des exigences qui y sont décrites appelle les efforts les plus importants. Selon la section 7.1.1, l organisation doit veiller à octroyer aux utilisateurs à forts privilèges les privilèges les plus faibles nécessaires pour la réalisation de leurs obligations professionnelles. CA GovernanceMinder supporte la réalisation de cet objectif : dans son interface centralisée, les administrateurs sont à même d explorer les privilèges des différents utilisateurs afin d identifier tout privilège octroyé de façon indue. L application peut également servir à définir des règles de conformité d identités, portant notamment sur la séparation des fonctions, et à automatiser des processus de certification des droits afin de valider les privilèges des utilisateurs. La section 7 implique la mise en place d un mécanisme de gestion des rôles, dont le but est de contrôler l accès de chaque utilisateur aux ressources protégées sur la base de ses responsabilités. La condition en particulier stipule que l octroi des privilèges doit se faire sur la base de la classification et de la fonction professionnelles de chaque employé. Les fonctions d analyse avancées de CA GovernanceMinder permettent de réduire le temps et les efforts de développement d un modèle de rôle précis. Une fois les rôles définis, l application assure leur gestion tout au long de leur cycle de vie. 7

8 La section stipule que les responsables doivent approuver les demandes d octroi de privilèges en les signant. CA GovernanceMinder supporte un workflow automatisé pour la validation des demandes de privilèges et la certification des accès. L automatisation des processus de certification est essentielle afin de confirmer que les privilèges d accès en place sont appropriés, ce qui est particulièrement important dans des situations dans lesquelles le processus de provisioning standard a pu être ignoré. La section 7 requière que toutes les ressources IT (de stockage ou de traitement des informations de cartes de crédit) soient accessibles uniquement aux personnes qui ont besoin de cet accès dans le cadre de leur travail. Le terme «ressource» est ici utilisé dans son sens le plus général : les solutions choisies doivent permettre de protéger toutes les ressources afin que l organisation puisse atteindre la conformité. L accès aux applications Web, aux applications de l entreprise, aux systèmes hôtes, aux bases de données, aux fichiers système et aux services système critiques, mais aussi aux droits d accès des superutilisateurs, doit faire l objet d un contrôle étroit. Toute solution qui ne permettrait pas de protéger l ensemble de ces ressources serait dans l incapacité de satisfaire à cette exigence. CA SiteMinder est une solution leader sur le marché de la gestion des accès aux applications Web. Elle permet de définir aisément des règles spécifiques afin de garantir que seules les personnes autorisées puissent accéder aux applications de traitement des informations confidentielles de carte de crédit. L accès des utilisateurs à forts privilèges à tout système hôte traitant des informations de carte de crédit doit également faire l objet d un contrôle strict. Qu elles soient involontaires ou malveillantes, les actions inappropriées des utilisateurs à forts privilèges peuvent avoir des effets désastreux sur les opérations informatiques, la sécurité générale et la confidentialité des actifs et des informations d entreprise. C est pourquoi il est essentiel que les utilisateurs à forts privilèges soient autorisés à exécuter uniquement les actions nécessaires à la réalisation de leurs fonctions spécifiques, et sur les actifs spécifiquement définis comme faisant partie de leur champ d action. CA ControlMinder est une solution de gestion des utilisateurs à forts privilèges leader : elle permet de contrôler l accès à des systèmes hôtes et aux fichiers et données critiques résidant sur ces systèmes. Il est possible de définir des règles afin de veiller à ce que seuls les utilisateurs dûment autorisés puissent accéder à chaque système ou ressource. CA ControlMinder étend ainsi les fonctionnalités de sécurité de base supportées par chacun de vos systèmes d exploitation natifs pour fournir un ensemble étendu, cohérent et affiné de fonctionnalités de sécurité pour l ensemble des systèmes de votre environnement. Quelles que soient les méthodes que l organisation mette en place afin de contrôler les accès aux informations des titulaires de cartes, il importe qu elle mettre en oeuvre une infrastructure robuste de gestion des droits d utilisateurs. Dans cette optique, une solution centralisée de gestion des identités permet de garantir que l ensemble des comptes d utilisateurs et droits d accès sont correctement établis et entièrement contrôlables. CA IdentityMinder est une solution robuste qui intègre une plate-forme de gestion des identités grâce à laquelle l organisation est en mesure d automatiser la création, la modification et la suspension des identités d utilisateurs et de leur accès aux ressources de l entreprise, afin de renforcer la sécurité et la conformité de son environnement. Ces quatre solutions sont des éléments clés de la solution de gestion de gestion d identité et d accès globale proposée par CA Technologies : elles offrent des fonctionnalités de gestion et de provisioning des identités, de gestion des rôles, de certification des identités, ainsi que de gestion des accès Web et des utilisateurs à forts privilèges. 8

9 Exigence n 8 : Affecter un ID unique à chaque utilisateur d ordinateur Résumé de l exigence : Toutes les actions entreprises en rapport avec des données et systèmes de nature critique peuvent faire l objet d un suivi et sont exécutées par des utilisateurs connus et autorisés. Cette longue section implique l application d exigences de sécurité spécifiques. Voici leur synthèse : Identifier tous les utilisateurs au moyen d un nom d utilisateur unique Faire appel à plusieurs méthodes d authentification, selon la sensibilité de l application ou des informations accédées Utiliser une authentification à deux facteurs pour autoriser l accès à distance au réseau S assurer que des stratégies de mots de passe existent et sont mises en oeuvre Mettre en oeuvre des restrictions d accès sur la base des échecs de tentatives d accès, ainsi que des périodes d inactivité des utilisateurs Révoquer immédiatement l accès de tout utilisateur dont le compte a été supprimé Supprimer/désactiver les comptes d utilisateur inactifs au moins tous les 90 jours Les solutions de CA Technologies : CA IAM, CA SiteMinder, CA AuthMinder, CA RiskMinder, UNIX Authentication Broker Les solutions CA IAM offrent l ensemble de ces fonctionnalités. CA SiteMinder, par exemple, supporte un éventail étendu de méthodes d authentification, ce qui permet à l organisation de choisir la méthode appliquée en fonction de la sensibilité des informations ou de l application concernées, au cas par cas. Par ailleurs, elle peut combiner ces méthodes en vue d obtenir l authentification à deux facteurs dont elle a besoin pour ses utilisateurs distants. De son côté, CA IdentityMinder offre des fonctionnalités de gestion et de contrôle des mots de passe à la fois flexibles et robustes. L organisation peut définir des règles spécifiques régissant la longueur, le format et la fréquence de modification des mots de passe, voire leur contenu. La force des mots de passe peut ainsi être alignée sur les besoins dictés par chaque environnement, ce qui permet de satisfaire aux exigences de cette section. De plus, CA IdentityMinder fournit des fonctionnalités de déprovisioning automatisé des accès utilisateur, de façon à ce que les privilèges des utilisateurs et les comptes qui leur sont associés puissent être supprimés de façon immédiate et simultanée. CA GovernanceMinder permet d identifier les comptes orphelins, c est-à-dire les comptes dont les utilisateurs ne sont plus enregistrés dans le système, éliminant ainsi une vulnérabilité de sécurité majeure présente dans un grand nombre d entreprises. L utilisation de mots de passe partagés entre les utilisateurs à forts privilèges (administrateurs, utilisateurs root) constitue un problème courant dans nombre d environnements IT. Le partage de mots de passe de compte et système entre administrateurs a pour effet d engendrer deux importants problèmes : premièrement, les utilisateurs de ces mots de passe partagés acquièrent un anonymat qui fait que leurs actions ne pourront plus leur être associées dans le cas où un audit se révélait nécessaire ; deuxièmement, cette situation crée des utilisateurs «surprivilégiés», dotés de droits dont ils n ont pas besoin dans le cadre de leurs fonctions habituelles. 9

10 Il importe, dans un souci de renforcement de la sécurité et de la conformité PCI, de mettre en place une méthode plus sécurisée pour l allocation des mots de passe aux utilisateurs à forts privilèges. CA ControlMinder intègre une chambre forte de mots de passe qui permet de générer des mots de passe temporaires et à usage unique afin de garantir la traçabilité des accès privilégiés. Une fois utilisé, le mot de passe n est plus valide et ne peut donc plus être partagé avec d autres administrateurs. La chambre forte de mots de passe assure également la traçabilité des actions des administrateurs par le biais de fonctions d audit sécurisées qui permettent de relier toutes les actions administrateur à leurs auteurs (conformément aux exigences de cette section). Un autre problème potentiel, lié à l authentification des utilisateurs, peut affecter la conformité PCI : il agit de l authentification des utilisateurs UNIX/Linux, qui implique généralement de gérer des enregistrements séparés de ceux des utilisateurs Windows. Cela complique la synchronisation des mots de passe et peut provoquer des retards au niveau du déprovisioning des utilisateurs. CA ControlMinder intègre UNIX Authentication Broker (UNAB), un composant qui permet de gérer les utilisateurs UNIX dans un référentiel unique : Windows Active Directory (AD). Les informations d authentification et de comptes sont ainsi consolidées dans un seul répertoire AD d entreprise plutôt que d être réparties sur plusieurs systèmes UNIX/Linux. Cette fonctionnalité contribue à centraliser et renforcer les fonctionnalités d authentification de l organisation, pour améliorer son profil de conformité PCI. L une des exigences les plus importantes définies dans cette section réside dans l utilisation d une authentification forte à plusieurs facteurs. Cette section comporte de nombreuses exigences, mais elles peuvent toutes se résumer à une seule : déployer une authentification performante à deux facteurs. Alors même que cette authentification à deux facteurs est essentielle pour la gestion de transactions de valeur élevée ou d utilisateurs distants, peu d entreprises l utilisent : elles ne souhaitent pas utiliser des jetons matériels à deux facteurs dont la gestion semble difficile. CA AuthMinder est un serveur d authentification polyvalent dont les nombreuses fonctionnalités de gestion des informations d identification et de l authentification permettent de satisfaire à l exigence n 8 de la norme PCI. Il intègre notamment CA ArcotID, une information d identification logicielle sécurisée qui, en plus de satisfaire à l exigence d une authentification à deux facteurs, est facile à mettre en oeuvre par les utilisateurs finals. Elle élimine le besoin de suivi de l historique des mots de passe : d une part, chaque combinaison mot de passe/clé est unique ; d autre part, le mot de passe n est ni stocké dans une base de données, ni transféré au cours du processus d authentification. Les utilisateurs sont ainsi protégés contre les risques de vol d identité et de fraude sans pour autant que leur expérience de connexion habituelle n en soit affectée et sans avoir à utiliser un jeton matériel séparé. Cette solution permet également d éliminer les efforts de gestion et les coûts associés à la mise en oeuvre de solutions d authentification à deux facteurs matérielles. Sous la forme d une interface de connexion standard, ArcotID utilise en fait une méthode question-réponse basée sur une infrastructure à clé publique qui lui permet de vérifier l identité de l utilisateur avant de lui accorder l accès aux applications. Elle protège ainsi l organisation contre les attaques en force, par interception, d hameçonnage et de pharming, ainsi que contre le déchiffrement des mots de passe. Le mot de passe CA ArcotID est un mot de passe logiciel sécurisé à deux facteurs et à usage unique. Cette information d identification peut être déployée en tant que client ou application pour téléphone mobile. Le téléphone mobile de l utilisateur peut servir de facteur d authentification : le mot de passe à usage unique est alors généré directement sur le téléphone ou envoyé dessus par SMS, courriel ou message vocal. C est une autre façon confortable d obtenir l authentification à deux facteurs requise et de tirer profit du surcroît de sécurité offert par une méthode de livraison hors-bande. Ces solutions constituent d excellents outils pour satisfaire aux exigences d identifiants uniques et de méthodes d authentification à deux facteurs décrites dans la nouvelle norme. 10

11 CA RiskMinder est une solution de détection des fraudes et d authentification basée sur les risques qui prévient la survenue de fraude dans les services en ligne de clients et d entreprises. Utilisée conjointement avec CA AuthMinder, elle donne aux organisations la capacité de sélectionner et d appliquer différents niveaux d authentification, sur la base d une évaluation du risque contextuelle de chaque activité ou transaction. Selon le score de risque calculé et les règles en place, les organisations peuvent avoir besoin de faire appel à des formes d authentification supplémentaires, afin de faire correspondre le niveau de sécurité et le niveau de risque perçu. CA AuthMinder et CA RiskMinder peuvent être déployées sur le site du client ou fournies en tant que services Cloud, dans le cadre de la solution CA CloudMinder Advanced Authentication. Elles peuvent être utilisées seules ou en combinaison avec les fonctionnalités d authentification étendues de CA SiteMinder, afin de répondre aux exigences en matière de conformité et de protéger l accès aux données des titulaires de cartes. IdentityMinder fournit également des fonctionnalités de déprovisioning automatisé des accès utilisateur, de façon à ce que les privilèges des utilisateurs dont le compte est supprimé puissent être également et immédiatement supprimés. Exigence n 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes Résumé de l exigence : La mise en place de mécanismes de consignation et de suivi des activités des utilisateurs est essentielle. Il est impératif de consigner l activité des administrateurs et des utilisateurs afin d effectuer le suivi et d analyser l ensemble des événements de sécurité. Cette section compte un nombre important d exigences très spécifiques. Voici leur synthèse : Définir un processus pour associer chaque accès aux composants du système (en particulier les accès avec des droits d administrateur, tels que root) à un utilisateur spécifique Implémenter des pistes d audit automatisées Enregistrer tous les événements de sécurité importants dans l environnement Sécuriser les pistes d audit afin d empêcher leur modification Vérifier les journaux pour tous les composants du système au moins une fois par jour Conserver l historique des pistes d audit sur une période dont la durée est en adéquation avec sa période d utilisation effective Les solutions de CA Technologies : CA User Activity Reporting (CA UAR), CA ControlMinder CA User Activity Reporting est un module complémentaire qui génère des rapports sur les activités des utilisateurs et leur conformité pour nos principaux produits IAM. Il offre toutes les fonctionnalités décrites précédemment, pour aider les organisations à simplifier leurs analyses et leur reporting en matière de conformité IT. Il collecte, normalise et archive les journaux d activités des utilisateurs informatiques de sources multiples et offre des fonctionnalités de recherche, d analyse et de reporting qui peuvent contribuer à réduire de manière significative le coût et la complexité de la justification de la conformité PCI de l organisation. Des centaines de requêtes et de rapports sont disponibles immédiatement. En utilisant ces requêtes et rapports préconfigurés et mappés sur les réglementations PCI, l organisation est en mesure d identifier et d analyser l activité des comptes «System Administrator», «root» ou autre compte administrateur par défaut afin de détecter une éventuelle violation de l exigence 10.2 de la norme PCI. L organisation peut également configurer des alertes automatisées afin d être prévenue de la survenue de telles violations. CA User Activity Reporting garantit la collecte et le transport sécurisés et fiables des journaux et offre un accès basé sur les rôles aux données d activité informatique, tout cela afin de réduire les risques d accès et de modifications non autorisés. CA ControlMinder exploite les fonctionnalités de CA UAR pour consigner l ensemble des événements d accès à des objets tels que des programmes, dossiers et fichiers. L organisation dispose ainsi d une vue complète sur les personnes qui ont accédé à ces objets, dont certains peuvent contenir des informations de carte de crédit protégées. La capacité à suivre les accès permet de corriger rapidement tout droit d accès inapproprié, mais aussi d identifier les individus qui pourraient abuser de leurs droits d accès à ces informations confidentielles. 11

12 CA ControlMinder permet également de surveiller les actions de chacun des utilisateurs d un compte partagé (administrateur ou root par exemple). En plus de rendre la mise en conformité difficile, dans la mesure où les actions ne peuvent pas être reliées à des individus spécifiques, l utilisation de ce type de compte cache souvent des actions inappropriées. Grâce à CA ControlMinder, l organisation sait systématiquement quel utilisateur effectue chaque action, même s il utilise un compte partagé. Enfin, CA ControlMinder peut enregistrer les sessions réelles (y compris l activité clavier et souris) de vos utilisateurs à forts privilèges. En cas d anomalie apparente, l application permet de visualiser l écran tel que le voit l administrateur, pour observer ses actions. Cette capacité à recréer les véritables interactions aide l organisation à fournir des garanties du respect des règles de conformité aux auditeurs, ainsi qu à identifier d éventuelles actions inappropriées des administrateurs. La conformité PCI dans les environnements virtuels Une section précédente a résumé les nouvelles exigences de la norme PCI concernant les environnements virtuels. Comme nous l avons vu, ces exigences sont strictes : dans la mesure où des informations de carte de crédit sont présentes dans un seul composant d un environnement virtuel, alors tous les composants de cet environnement doivent être conformes aux exigences de la norme PCI. La plupart des nouvelles exigences visent la mise en place de meilleures pratiques en matière de sécurité : restriction des accès physiques, implémentation des privilèges les plus faibles nécessaires, mise en oeuvre d une séparation des fonctions, vérification des configurations système, etc. Même si toutes ces pratiques devraient être mises en place dans tous les environnements, elles sont particulièrement importantes dans les environnements virtuels. Le renforcement de l hyperviseur est une exigence qui s applique exclusivement aux environnements virtuels. En tant que point d échec unique, l hyperviseur doit impérativement être sécurisé, afin de garantir la confidentialité de toutes les informations des titulaires de cartes de crédit hébergées dans l environnement virtuel, quel que soit leur emplacement exact. CA ControlMinder for Virtual Environments est une solution de sécurité conçue spécifiquement pour protéger les systèmes et les informations des environnements virtuels. Elle sécurise l accès des utilisateurs à forts privilèges aux machines virtuelles, aux hyperviseurs et aux appliances virtuelles. Elle permet ainsi aux entreprises de contrôler les actions de ces utilisateurs, de sécuriser l accès à leur environnement virtuel et de se conformer aux exigences du secteur. Elle offre des fonctionnalités clés permettant, en particulier, de gérer les mots de passe et de surveiller l activité des utilisateurs à forts privilèges, ainsi que de renforcer l hyperviseur. Elle intègre également Hytrust Appliance, qui surveille et contrôle l intégrité de l infrastructure virtuelle et fournit un système complet de consignation des changements survenant dans l environnement. Voici quelques-unes de ses fonctionnalités clés : Gestion des mots de passe d utilisateurs à forts privilèges : fournit un accès sécurisé aux comptes à forts privilèges et aide à préserver la responsabilisation des utilisateurs à forts privilèges. Elle permet l émission de mots de passe à usage unique ou à la demande, sur une base temporaire, tout en garantissant la responsabilisation des utilisateurs à forts privilèges par rapport à leurs actions, à travers une fonction d audit sécurisée. Un workflow simple de demande et de récupération d un mot de passe à usage unique généré par le système simplifie l extraction des mots de passe, ce qui évite de les partager. Surveillance de l activité utilisateur : audite les activités qui ont lieu sur l hyperviseur et assure un suivi de l utilisation qui est faite des comptes à forts privilèges sur la base de l ID utilisateur initial. De plus, l intégration avec le module CA User Activity Reporting permet à nos clients d étendre leurs capacités d audit au-delà des événements CA ControlMinder, afin d obtenir une vue d ensemble des activités de leurs utilisateurs à forts privilèges dans l environnement IT. Séparation des fonctions : permet l application de règles sectorielles de séparation des fonctions sur l hyperviseur. Par exemple, elle peut empêcher l administrateur de l hyperviseur d accéder aux configurations des machines virtuelles via l hyperviseur, ce qui oblige à utiliser uniquement les consoles de gestion pour apporter toute modification à l environnement virtuel. 12

13 Hébergement multiclient sécurisé : étend la segmentation réseau physique traditionnelle aux environnements virtuels. Elle permet de mieux isoler les clients hébergés pour une meilleure mise en conformité et pour répondre aux besoins des fournisseurs de services gérés (MSP). Elle permet également de contrôler le trafic entre machines virtuelles selon une structure basée sur des règles et d accroître la densité de ces machines sur le matériel physique en autorisant des invités bénéficiant de différents niveaux de confiance à partager un hôte commun, par l octroi d un accès à moindres privilèges entre les membres des différentes zones. Renforcement de l hyperviseur : contrôle l accès aux ressources du système, aux programmes, aux fichiers et aux processus selon une série stricte de critères incluant l heure, la méthode de connexion, les attributs réseau et le programme d accès. Il est possible de paramétrer les derniers serveurs développés par VMware selon l une des configurations de sécurité prédéfinies afin de surveiller en permanence les hôtes VMware vsphere et d identifier les erreurs de configuration à l aide de structures d évaluation préintégrées et de résoudre de manière active les problèmes rencontrés avec une interruption de service minimale. Prévention des pertes de données, pour une conformité PCI plus performante La prévention des pertes de données (CA DataMinder ) peut contribuer à considérablement renforcer les contrôles qui garantissent la protection des informations des titulaires de cartes de crédit. Comme DataMinder satisfait aux exigences de plusieurs catégories en matière de conformité PCI, cette section s attachera à résumer les avantages qu elle apporte dans plusieurs de ces catégories. La solution CA DataMinder offre deux fonctionnalités critiques dans le cadre de programmes de conformité PCI : 1. Détection de données non protégées et pertinentes en matière de conformité PCI : CA DataMinder analyse l environnement de l entreprise afin de rechercher des données telles que des numéros de carte de crédit, des informations de titulaires de comptes ou similaires. Si elle trouve ce type d informations à un emplacement dont le niveau de protection n est pas suffisant, elle peut les transférer vers un emplacement sécurisé et les supprimer de leur emplacement initial. L entreprise est ainsi protégée contre les risques de voir des copies de «sauvegarde» malveillantes de ses données client se retrouver à des emplacements inappropriés. Elle est en mesure d ÉVALUER elle-même ses vulnérabilités et de CORRIGER les risques associés en intervenant immédiatement sur les données non protégées détectées. 2. Détection des données non protégées en transit ou en cours d utilisation dans l entreprise : dans l éventualité où un employé obtient l accès à des données qui devraient être protégées, CA DataMinder aide à satisfaire aux exigences de conformité PCI en détectant et en empêchant le déplacement de ces données. Le déplacement peut survenir sous de nombreuses formes : courrier électronique (SMTP), FTP, HTTP, messagerie instantanée, Webmail ou nombre d autres protocoles. Il peut aussi survenir au niveau de ressources terminales (au niveau d un ordinateur portable ou d une station de travail par exemple), au moment où un utilisateur final tente de transférer des données protégées conformément à la norme PCI sur un support amovible (lecteur USB) ou de les imprimer. CA DataMinder peut protéger les données en bloquant leur transfert sur le support ou vers un emplacement externe à l entreprise. CA DataMinder génère également des rapports solides sur l ensemble des risques détectés et des actions entreprises. 13

14 CA DataMinder intègre plusieurs règles préconfigurées pour détecter les données de titulaires de carte de crédit suivantes : Numéros de carte de crédit Numéros de carte de crédit - seuil Numéros de carte de crédit avec informations d identification personnelle supplémentaires Partage des mots de passe et noms d utilisateur Protéger et contrôler les numéros de carte de crédit parmi divers formats ou plages. Protéger et contrôler un nombre spécifique (ou seuil) de numéros de cartes de crédit parmi divers formats et plages. Protéger et contrôler les numéros de cartes de crédit lorsqu ils sont accompagnés d une autre information d identification : adresse, date de naissance, nom. Protéger et contrôler la divulgation et le partage des mots de passe et empêcher la distribution des noms d utilisateur ou mots de passe dans un format non sécurisé. En résumé, CA DataMinder joue un rôle important dans la mise en conformité de l entreprise avec les normes PCI, en lui permettant d ÉVALUER ses vulnérabilités, pour les CORRIGER (en temps réel) et créer des RAPPORTS à leur sujet. Conformité PCI pour les systèmes mainframe Toute stratégie de mise en conformité PCI complète doit prendre en compte les mainframes, des systèmes critiques dans tout environnement. Plusieurs affaires récentes ayant impliqué la fuite de données de cartes de crédit étaient liées à des mesures de sécurité mainframe inappropriées. CA Technologies propose un certain nombre de solutions de sécurité mainframe afin de vous permettre d intégrer vos systèmes mainframe dans votre stratégie de mise en conformité PCI, parallèlement aux autres solutions de sécurité CA distribuées. La liste des solutions de sécurité mainframe de CA comprend les solutions suivantes : CA ACF2 et CA Top Secret intègrent des fonctionnalités de gestion des identités et des droits flexibles et robustes. Il est possible de mettre en oeuvre des règles spécifiques régissant la longueur, le format et la complexité des mots de passe. Vous pouvez contrôler la vie des mots de passe utilisateur sur le plan global ou individuel. L entreprise peut gérer la force des mots de passe en fonction des spécificités de son environnement IT. CA ACF2 et CA Top Secret vous aident à satisfaire à plusieurs des exigences de la norme PCI, notamment celles des sections 7.1.4, 7.2.1, 7.2.3, 8.1, et CA ACF2 et CA Top Secret Option for DB2 vous permettent de contrôler la sécurité de vos bases de données DB2 pour les environnements z/os là où c est le plus pratique, c est-à-dire au sein du système CA ACF2 ou CA Top Secret ControlMinder existant, pour satisfaire aux exigences PCI des sections 6.2, 6.3.6, 7.1.4, 7.2.1, 8.1, 8.5.8, 10.1, 10.2, , 12.5 et CA Auditor for z/os permet d identifier l exposition des systèmes, des applications et des systèmes de sécurité dans les environnements z/os due à une configuration inappropriée et à des erreurs opérationnelles, au détournement volontaire de contrôles ou à des attaques malveillantes. Cette solution vous aide à satisfaire aux exigences PCI des sections 6.2, 6.4, et

15 CA Cleanup offre une surveillance des identités et des droits sur les systèmes mainframe pour la sécurité CA ACF2, CA Top Secret et/ou IBM RACF dans les environnements z/os. Il est possible de définir des règles spécifiques afin de surveiller l utilisation (ou l absence d utilisation) des identités et droits afin, le cas échéant, d archiver et de supprimer ceux-ci du système après une période d inactivité définie. Cela permet d éviter l émergence d identités et de droits orphelins qui risqueraient d avoir un impact négatif sur les données PCI. CA Cleanup peut réduire le nombre d autorisations et d identifiants utilisateur non utilisés sans engendrer les coûts élevés habituellement liés à leur gestion manuelle. Cette solution vous permet de satisfaire aux exigences PCI des sections 2.1, 7, 8.5.5, et 10. CA Compliance Manager for z/os assure la surveillance de toutes les activités liées à des données PCI (et non-pci), et définit et gère un mode d accès à privilèges moindres pour tous les utilisateurs qui demandent à accéder à des données PCI dans le cadre de leurs fonctions. CA Compliance Manager vous aide dans la réalisation et la maintenance du modèle d accès à privilèges moindres. Ce modèle garantit que l accès d un utilisateur à un objet correspond au niveau d accès minimal lui permettant de réaliser son travail. Cette solution vous aide à satisfaire aux exigences PCI des sections 6.4, 7, 10.2, 10.3, , et Pour des informations détaillées sur ces solutions de conformité PCI pour systèmes mainframe, rendez-vous à l adresse suivante : ca.com/mainframe/pci Résumé La conformité avec les exigences de la norme PCI est devenue un impératif pour les entreprises amenées à traiter des nombres importants de transactions par carte de crédit ou fournissant des services de cartes de crédit à d autres entreprises. Elle requiert généralement les efforts concertés de plusieurs groupes au sein de l organisation IT. La conformité PCI implique des modifications au niveau de différents processus IT, mais l adoption de solutions technologiques peut également beaucoup contribuer aux efforts de mise en conformité. CA Technologies propose des solutions qui protègent les ressources et les informations des titulaires de cartes de crédit, et automatisent un grand nombre des processus IT liés à la protection de ces informations, ce qui permet de réduire les coûts IT globaux de l organisation. Section 3 : Avantages Les solutions éprouvées de gestion des accès et des identités de CA Technologies assurent la protection de vos actifs IT sur l ensemble des plates-formes et environnements de votre entreprise. Elles vous permettent de bénéficier des avantages clés suivants : Activation de la conformité PCI : leurs fonctionnalités de mise en conformité automatisées et centralisées vous aident à réduire vos coûts, tout en vous fournissant des contrôles forts et des preuves de contrôle à même de renforcer la sécurité de vos environnements et d améliorer vos capacités d audit. Réduction des coûts de gestion et efficacité améliorée : vous êtes à même de réduire vos coûts de centre d assistance et de gestion de la sécurité, mais aussi d améliorer la productivité globale de vos utilisateurs. En centralisant la gestion des identités des utilisateurs et de leurs droits d accès, les solutions de CA Technologies facilitent la gestion des règles, réduisant par la même les risques d erreur et les coûts associés. 15

16 Réduction des risques de sécurité : en centralisant la gestion des droits d accès, les solutions IAM CA Technologies garantissent que seuls les utilisateurs dûment autorisés peuvent accéder à vos ressources critiques. Les droits des utilisateurs sont accordés en fonction de leur rôle au sein de l entreprise. Ils reçoivent très exactement les droits requis pour accéder aux ressources informatiques protégées et/ou aux autres ressources dont ils ont besoin pour assumer leurs fonctions. Facilitation de l activité : grâce à l automatisation, la centralisation et l amélioration du contrôle de leurs fonctions de sécurité, les organisations sont en mesure de renforcer le niveau de sécurité de leurs applications en ligne et d offrir des expériences utilisateur en ligne positives et personnalisées à un écosystème d employés, de clients, de fournisseurs et de partenaires en pleine expansion. Pour en savoir plus sur la façon dont CA Content-Aware IAM peut vous aider à réduire vos coûts de sécurité, à protéger les actifs de votre entreprise et à assurer la mise en conformité réglementaire via une solution de sécurité mieux intégrée et plus complète, rendez-vous sur ca.com/iam. CA Technologies est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d information dont l expertise couvre tous les environnements informatiques, du mainframe au Cloud et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements, en permettant à ses clients de fournir des services IT plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes informatiques en constante évolution. Pour plus d informations, suivez l actualité de CA Technologies sur ca.com. Copyright 2012 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est uniquement fourni à titre d information. CA décline toute responsabilité quant à l exactitude ou l exhaustivité des informations qu il contient. Dans les limites permises par la loi applicable, CA fournit le présent document «tel quel», sans garantie d aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l adéquation à un besoin particulier ou l absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l utilisation de ce document, notamment la perte de profits, l interruption de l activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages. CA ne fournit pas d assistance juridique. Ni ce document ni aucun produit logiciel CA référencé dans le présent document ne peuvent être substitués à l obligation du lecteur de respecter la législation en vigueur, notamment sous forme de loi, règlement, réglementation, règle, directive, norme, mesure, politique, instruction administrative, décret-loi, ou autre (désignés collectivement sous le nom de «Lois»), évoquée dans le présent document. Le lecteur doit consulter un conseiller juridique compétent pour toute information concernant lesdites Lois. CS1993_0212