Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Transcription

1 Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI

2 Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup de personnes éprouvent encore des réticences à effectuer des achats en ligne. De nombreuses mesures ont été mises en place pour vaincre ces réticences. Ainsi, 63 % des commerçants en ligne demandent le numéro de vérification de carte (CVV, Card Verification Value) lors du règlement et 47 % d entre eux affichent des logos tels que «Hacker Safe» sur leur page d accueil 1. Outre ces mesures isolées, le secteur des cartes de crédit a quasi unanimement adopté les normes PCI DSS (Payment Card Industry Data Security Standard). Les normes PCI DSS offrent aux commerçants et acheteurs la garantie d un paiement et d un traitement sécurisés, et démontrent l engagement du secteur pour la sécurité des données. Les normes PCI DSS se déclinent en six catégories : Création et maintenance d un réseau sécurisé Protection des données des titulaires de carte Organisation d un programme de vulnérabilité Mise en œuvre de mesures de contrôle d accès renforcé Surveillance et tests réguliers des réseaux Application de règles de sécurité de l information À l ère du phishing, du sous-cryptage et de la cupidité des pirates, les normes PCI DSS sont généralement interprétées comme un moyen de limiter une menace externe. L adoption des protocoles SSL, TLS, IPSEC et d autres mesures antivol et anti-intrusion est recommandée. Toutefois, le risque de perte de données est rarement pris en compte, bien qu implicitement mentionné par les normes PCI DSS. La conformité aux normes PCI DSS suppose obligatoirement de mettre en œuvre des mesures strictes de prévention de la perte de données (DLP, Data Loss Prevention). Les fuites d informations sont beaucoup plus courantes que les brèches de sécurité externes. D après une enquête récente réalisée par le Ponemon Institute 2, les fuites de données fortuites, qui sont souvent dues à des erreurs ou des accidents, représentent 81 % des pertes d informations et le coût moyen de ce type d incident s élève à 4,8 millions de dollars. Toutefois, dans un environnement de traitement des paiements et de stockage, ce coût peut être beaucoup plus élevé, notamment en raison de la nature des données. Bien que la nécessité d empêcher les intrusions soit largement acceptée, la prévention de la perte de données pourrait bien devenir beaucoup plus importante dans un proche avenir. Une seule fuite peut occasionner des coûts de résolution substantiels, une détérioration de l image de marque d une entreprise et une perte de part de marché.

3 PCI DSS = DLP Il est quasiment impossible de se conformer totalement aux normes PCI DSS sans mettre en œuvre une solution de prévention de la perte de données. Les données doivent être protégées contre les risques de fraude, d où qu ils proviennent. Les normes n effectuent aucune discrimination entre les menaces internes et externes ; une perte de données est une perte de données, quelle qu en soit la cause. Or, en concentrant toute leur attention sur les menaces externes, les entreprises négligent souvent le risque plus probable de perte. La malveillance représente seulement 6 % des pertes de données 3, tandis que la négligence et les erreurs constituent des causes plus courantes qui, pour la majorité d entre elles, pourraient être évitées. Les pertes de données peuvent avoir des causes multiples et, en apparence, banales. Cependant, de simples maladresses peuvent avoir des conséquences désastreuses. Les pertes de données sont souvent dues à : un envoi de données confidentielles à l aide de comptes personnels (ex., Yahoo! Mail, Gmail ou Hotmail) ; une copie de données sur le mauvais lecteur ; un envoi erroné d informations à une personne non autorisée à les recevoir ; un envoi de données au mauvais destinataire à l intérieur ou à l extérieur de l entreprise. Qu elles soient dues à une erreur ou à une intention délibérée de nuire, les pertes de données peuvent avoir des conséquences tout aussi graves. Une fois que les informations sur les cartes de crédit des clients sont rendues publiques, vous perdez tout contrôle. Regagner la confiance des clients après une fuite n est pas une chose aisée. Les dommages pour les clients et l entreprise peuvent durer pendant des années. Une brèche de sécurité d une carte de paiement se traduit souvent par la mise en place de services de surveillance du crédit des clients concernés, le paiement de frais de justice et une perte d activité. En interne, vous devez revoir vos processus de gestion, investir dans la restauration de votre image de marque et payer des audits de contrôle des informations, parfois pendant cinq ans. Votre entreprise ne ressort jamais indemne d une telle expérience. Une solution de prévention de la perte de données comprenant des processus de gestion, un programme de formation des employés et des technologies peut réduire les risques de fuite et vous aider à vous conformer aux normes PCI DSS. Dans un environnement fortement transactionnel, une solution automatisée est cruciale. Des technologies de prévention de la perte de données peuvent surveiller l entreprise, appliquer automatiquement des mesures de contrôle des informations et envoyer des notifications aux responsables. Il convient cependant de noter que toutes les solutions DLP ne se valent pas. Les différentes approches technologiques donnent des résultats variables. Pour atteindre une conformité PCI DSS totale, un processus rigoureux de sélection de la solution DLP s impose.

4 PCI et Websense Data Security Suite Websense Data Security Suite appréhende la prévention de la perte de données et le contrôle des informations de manière originale. Websense exploite la technologie DCC (Deep Content Control), qui privilégie une approche contextuelle de la prévention des fuites. Au lieu de se concentrer exclusivement sur les données, Websense applique des indicateurs contextuels, tels que la source des données, les éléments de données liés (ex., points de données correspondants), le nombre d enregistrements envoyés et des informations sur l utilisateur final, afin de déterminer si une communication comporte un risque de fuite ou constitue une activité normale. L évaluation des données contextuelles réduit le nombre de faux négatifs (fuites de données réelles non décelées par la solution) et de faux positifs (données anodines identifiées comme une fuite). Non seulement la technologie DCC donne des résultats plus précis, mais elle réduit également la charge de travail liée aux fuites pour les chefs de division et d autres membres du personnel. Websense Data Security Suite inclut des modèles de conformité PCI DSS que vous pouvez adapter à vos propres règles de sécurité de l information. Par exemple, vous pouvez configurer Websense Data Security Suite pour qu il alerte les parties prenantes uniquement lorsqu un (par exemple) comporte au moins cinq instances d enregistrements contenant un numéro de carte de crédit et les numéros CVV à trois ou quatre chiffres associés. La raison de ce seuil peut être qu un contenant un seul enregistrement de carte de crédit peut correspondre à une transaction personnelle. Bien évidemment, le seuil de cinq enregistrements peut être abaissé à un seul ou élevé à autant que l entreprise le juge approprié, en fonction des règles de conformité PCI DSS. Pour atteindre la conformité PCI DSS, la solution employée doit être efficace. Des règles sibyllines et des solutions inadéquates peuvent ralentir l activité et grever les coûts d exploitation et de mise en conformité. En optant pour Websense, vous pouvez vous conformer aux normes PCI DSS, réduire vos coûts et optimiser la sécurité de l information. Pour obtenir une évaluation gratuite de l ensemble des produits Websense ou pour visionner nos démonstrations en ligne, consultez le site 1 Mulpuru, Scharita, Carrie A. Johnson et Peter Hult. Trends 2007: ecommerce and Online Retail. Forrester, 16 mars ,3 The Business Impact of Data Breach. Ponemon Institute LLC. 15 mai 2007.

5 Exigences des normes PCI DSS PCI DSS 3.1 Minimiser le stockage des données du titulaire de carte. Développer des règles de conservation et de destruction des données. Limiter le volume de stockage et la durée de conservation en fonction des besoins de l entreprise, des organismes juridiques et/ou des autorités de réglementation, tels qu indiqués dans les règles de conservation des données. PCI DSS 3.2 Ne pas stocker de données d authentification confidentielles après autorisation (même cryptées). Les données d authentification confidentielles incluent les données citées dans les clauses à PCI DSS 3.3 Masquer le numéro PAN (numéro de compte principal ou Primary Account Number) lorsqu il est affiché (les six premiers et les quatre derniers chiffres constituent le nombre maximal de chiffres pouvant être affichés). PCI DSS 3.4 Rendre le numéro PAN, au minimum, illisible partout où il est stocké. PCI DSS 3.5 Protéger les clés de cryptage utilisées pour crypter les données des titulaires de carte afin de les protéger contre la divulgation et l utilisation abusive. Satisfaction des exigences Websense Data Security Suite peut automatiquement découvrir les données des titulaires de carte stockées au sein de l entreprise (sur des postes de travail, des ordinateurs portables, des serveurs de fichiers et dans des bases de données) qui enfreignent les règles PCI relatives à la conservation et la destruction des données. Une fois découverte, la solution peut automatiquement exécuter des actions prédéfinies, telles que mettre en quarantaine, crypter, transférer et détruire les fichiers. En optant pour Websense Data Security Suite, les entreprises ont l assurance que les copies ou les données des titulaires de carte sont stockées conformément à leurs règles internes et à la réglementation. Websense Data Security Suite peut automatiquement découvrir les données d authentification confidentielles, les codes de validation de carte et les numéros d identification personnels stockés au sein de l entreprise. Il peut également détecter l utilisation ou la transmission de ces informations. Une fois identifiés, les administrateurs peuvent exécuter autant d actions prédéfinies ou personnalisées qu ils le souhaitent, telles que mettre en quarantaine, crypter, transférer et détruire les fichiers. Websense Data Security Suite fournit des données d investigation détaillées sur les infractions PCI en masquant le numéro de compte principal (PAN, Primary Account Number), conformément à la norme PCI DSS 3.3. De plus, les données d investigation et d autres détails sont configurables au moyen d accès et de contrôles basés sur les rôles afin de limiter les détails des incidents visibles par les administrateurs/contrôleurs. Websense Data Security Suite peut identifier et signaler l emplacement des numéros PAN stockés au sein de l entreprise. Forts de ces informations, les administrateurs peuvent recourir à des contrôles de règles intégrés pour lancer automatiquement le cryptage des fichiers et d autres actions personnalisées en réponse à l infraction. Websense Data Security Suite surveille les canaux de communication internes et externes, notamment le Web, la messagerie électronique, FTP, la messagerie instantanée, les documents imprimés, etc., et peut automatiquement détecter les clés de cryptage non sécurisées, et ainsi empêcher toute utilisation abusive et divulgation. Cette solution peut également déclencher automatiquement la gestion des droits pour restreindre les contrôles d accès aux clés de cryptage en fonction des règles de garde. Des fonctions de découverte intégrées permettent aux gestionnaires de rechercher de manière transparente des clés non sécurisées au sein de l entreprise, puis de les sécuriser.

6 Exigences des normes PCI DSS PCI DSS 3.6 Documenter de façon exhaustive et mettre en œuvre l ensemble des processus et procédures de gestion des clés utilisées pour crypter les données des titulaires de carte. PCI DSS 4.2 Ne jamais envoyer de numéros PAN non cryptés par . PCI DSS Ne pas utiliser les données de production (numéros PAN actifs) à des fins de tests et de développement. PCI DSS 7.1 Limiter l accès aux ressources informatiques et aux informations des titulaires de carte aux personnes qui en ont besoin dans le cadre de leurs fonctions. PCI DSS 7.2 Établir un mécanisme pour les systèmes utilisés par plusieurs personnes qui restreigne l accès en fonction des besoins de chaque utilisateur et soit configuré pour refuser systématiquement l accès, sauf autorisation expresse. PCI DSS 8.4 Crypter tous les mots de passe durant la transmission et le stockage sur tous les composants système. Satisfaction des exigences Websense Data Security Suite permet de mettre en œuvre des processus et procédures de gestion des clés de cryptage et des données des titulaires de carte qui automatisent la découverte, la surveillance et le contrôle, conformément à la norme PCI DSS Websense Data Security Suite surveille les s internes et externes, et peut précisément identifier les numéros PAN non cryptés (y compris dans les pièces jointes), puis rediriger les s qui contiennent ces numéros vers une passerelle de cryptage. Cette méthodologie est couramment utilisée pour protéger les données des titulaires de carte et d autres informations confidentielles. Websense Data Security Suite peut découvrir les numéros PAN actifs qui résident sur des systèmes de test et déclencher automatiquement une action prédéfinie ou manuelle pour sécuriser les données. Il peut également surveiller les communications des systèmes de test afin de veiller à ce que les informations des titulaires de carte ne soient pas utilisées, notamment dans les s, sur le Web, sur FTP, dans les documents imprimés ou dans les transferts vers des supports amovibles. Websense Data Security Suite peut identifier les informations des titulaires de carte stockées à des emplacements et/ou avec des autorisations d accès inappropriés et, grâce aux technologies intégrées de gestion des droits, appliquer automatiquement les droits d accès appropriés pour sécuriser leur utilisation. Websense Data Security Suite peut restreindre l accès aux fichiers à certains utilisateurs en fonction du type d informations auquel ils tentent d accéder. Les administrateurs peuvent rapidement configurer des règles par défaut pour refuser tous les accès aux fichiers qui contiennent des données de titulaires de carte, sauf indication contraire. De plus, cette solution peut empêcher l ensemble ou une partie des utilisateurs de couper/copier, de coller, d imprimer et d effectuer une capture d écran si des données de titulaires de carte sont affichées à l écran par une application. Websense Data Security Suite peut précisément identifier les données des titulaires de carte transmises via des canaux de communication professionnels et forcer leur cryptage par une passerelle de cryptage intégrée. Il peut également appliquer un cryptage au niveau des fichiers (avec intégration) en cas de découverte de données PCI stockées au sein de l entreprise.

7 Exigences des normes PCI DSS PCI DSS 10 Suivre et surveiller tous les accès aux ressources réseau et données des titulaires de carte. PCI DSS 12.2 Définir des procédures de sécurité opérationnelle journalières conformes aux exigences de cette spécification. PCI DSS 12.3 Définir des règles pour les technologies stratégiques utilisées par le personnel afin de garantir leur utilisation correcte par l ensemble des employés et sous-traitants. PCI DSS 12.5 Attribuer à un individu ou à une équipe les responsabilités suivantes pour la gestion de la sécurité de l information : : Définir, documenter et diffuser des règles et des procédures de sécurité : Surveiller et analyser les alertes et informations de sécurité, et les transmettre au personnel concerné : Définir, documenter et diffuser des procédures de réponse et d escalade en cas d incident de sécurité afin de garantir une gestion rapide et efficace de toutes les situations. Satisfaction des exigences Websense Data Security Suite peut surveiller passivement ou appliquer activement (selon les règles) les droits d accès aux documents contenant des données de titulaire de carte, ainsi que déclencher des actions lorsque les utilisateurs copient/collent, impriment, envoient, placent sur FTP ou publient ces données sur le Web. Cette solution inclut des outils d investigation détaillée, de reporting et d audit afin de fournir aux contrôleurs les informations requises. Websense Data Security Suite comprend un workflow intégré et automatisé pour étendre la sensibilisation à la confidentialité des données des titulaires de carte et informer les employés et sous-traitants qu il leur incombe de les protéger. Des notifications et des confirmations permettent de former les utilisateurs en temps réel et d appliquer les règles. De plus, l intégration aux solutions de gestion de la sécurité de l information permet d analyser l utilisation des données. Websense Data Security Suite envoie des notifications et confirmations automatisées aux employés et sous-traitants sur les règles et leurs infractions. Il peut alerter les utilisateurs et responsables, ainsi que mettre des messages en quarantaine et demander l approbation du responsable pour les libérer (PCI DSS ). Le système peut être configuré pour fonctionner de manière autonome en utilisant les outils de messagerie existants pour autoriser les divisions à entreprendre des actions correctives. Websense Data Security Suite prévient automatiquement les utilisateurs, leurs responsables et les administrateurs de la sécurité en cas d incident. Les alertes peuvent être personnalisées et incluent des détails sur les incidents. Cette solution offre également des fonctions avancées de reporting programmables pour une diffusion automatisée. Les incidents liés aux infractions d une règle particulière peuvent être signalés quotidiennement, hebdomadairement, mensuellement ou à toute autre fréquence configurable à tous les membres de l entreprise. Une piste d audit est conservée dans le système afin de fournir des détails sur la réponse à l incident et les chefs de groupe peuvent surveiller et générer des rapports sur les progrès de chaque gestionnaire d incident. Tous les détails sur les incidents fournis par Websense Data Security Suite sont sécurisés en fonction des droits d accès des utilisateurs : Surveiller et contrôler tous les accès aux données.

8 Exigences des normes PCI DSS PCI DSS 12.6 Mettre en œuvre un programme formel de sensibilisation à la sécurité afin que tous les employés comprennent l importance de la sécurité des données des titulaires de carte. PCI DSS 12.9 Mettre en œuvre un plan de réponse aux incidents. Être prêt à répondre immédiatement à une brèche de sécurité du système. Satisfaction des exigences Websense Data Security Suite inclut des notifications automatisées et personnalisables pour les données inutilisées, utilisées et en transit. Des modèles de notification communiquent automatiquement les règles de sécurité aux utilisateurs et à leurs responsables en cas d infraction et fournissent des instructions afin d éviter que des incidents similaires ne se reproduisent ultérieurement. Websense Data Security Suite est une solution DLP entièrement intégrée qui assure une surveillance passive et une mise en œuvre automatisée. La gestion et le reporting centralisés permettent aux administrateurs d identifier et de répondre rapidement aux infractions des règles pour les données inutilisées, utilisées et en transit. Cette solution offre des fonctions intégrées d analyse des tendances et de reporting qui améliorent la visibilité et facilitent la création, la mise en œuvre et l évaluation de l efficacité de la réponse aux incidents Websense, Inc. Websense est une marque commerciale déposée de Websense, Inc. Aux Etats-Unis ainsi que dans certains marchés internationaux. Websense possède de nombreuses autres marques commerciales non déposées aux Etats-Unis et dans le monde. Toutes les autres marques commerciales appartiennent à leurs sociétés respectives.