Être conforme à la norme PCI OUI, c est possible!
Présentation Réseau Action TI 8 mai 2013 Johanne Darveau Directrice systèmes, portefeuille de projets et support applicatif Technologies de l information Clément Potvin Directeur de la sécurité de l information Administration 2
Objectif principal de notre présentation Partager nos expériences à titre de gestionnaires Sécurité de l information corporative et PCI 2009-2013 Technologies de l information 2010-2013 Atteinte de la conformité en 2013 3
Notre présentation n est pas : Une formation sur la norme PCI, ni... un tracé routier! 4
Profil de CAA-Québec 109 ans d existence Plus de 1,2 million de membres Plus de 1 000 employés 14 centres de services, 10 centres d immatriculation, 2 écoles de conduite, 3 bureaux administratifs et d autres points d affaires en développement La mission : CAA-Québec, organisme à but non lucratif, veut assurer sécurité et tranquillité d esprit à chacun de ses membres ainsi qu à ses clients en leur offrant des services et des produits de très haute qualité dans les domaines de l automobile, du voyage, de l habitation et des services financiers 5
La sécurité de l information chez CAA-Québec Une préoccupation de longue date Maintenant soumise à un cadre normatif réglementaire et légal, qui est différent et évolutif CAA-Québec possède une image de marque de grande valeur 6
Mise en contexte : qui assume les risques? La direction assume les risques de l entreprise Il y a un coût pour la mise en place de la sécurité de l information, qui doit être inférieur à la valeur du risque résiduel Il y a un coût pour le maintien de la sécurité de l information, qui doit être inférieur à la valeur du risque résiduel 7
Analyse quantitative des risques Plus de 500 000$ 500 000$ Coûts du risque en cas d incident Risques trop élevés $$$ Investissement maximal Mesures de contrôle trop élevées $$$ 250 000$ Seuil d acceptation du risque à décider avec la direction de CAA-Québec 150 000$ Coût des mesures de sécurité 8
Le risque et la norme PCI Trois choix seulement : L évitement, cesser l activité Le transfert du risque, par exemple à Paypal La réduction du risque, conformité à la norme PCI-DSS Une non-conformité selon PCI-DSS ne peut faire partie de la gestion du risque, même si l organisation l a jugé acceptable 9
PCI-DSS 2.0, seulement un numéro de carte de crédit? Du coupe-feu à la politique de sécurité de l information 1. Installer et gérer une configuration de coupe-feu pour protéger les données des titulaires de cartes de crédit 2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 3. Protéger les données des titulaires de cartes de crédit stockées 4. Crypter la transmission des données des titulaires de cartes de crédit sur les réseaux publics ouverts 5. Utiliser des logiciels antivirus et les mettre à jour régulièrement 6. Développer et gérer des systèmes et des applications sécurisés 7. Restreindre l accès aux données des titulaires de cartes de crédit aux seuls individus qui doivent les connaître 8. Affecter un ID unique à chaque utilisateur d ordinateur 10
PCI-DSS 2.0, seulement un numéro de carte de crédit? Du coupe-feu à la politique de sécurité de l information (suite) 9. Restreindre l accès physique aux données des titulaires de cartes de crédit 10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes de crédit 11. Tester régulièrement les processus et les systèmes de sécurité 12. Gérer une politique de sécurité de l information pour l ensemble du personnel ü 12 exigences ü 330 contrôles ü 33 pages à répondre «conforme oui ou non» 11
PCI : un chantier Travailler les processus de travail conjointement avec les lignes d affaires pour diminuer l impact Définir la portée où s appliqueront les contrôles Pour CAA-Québec, malgré les efforts de réduction de la portée, c est toute l organisation qui est visée : Patrouilleurs, agents de voyages, employés des finances, adhésions, assurances, boutiques, centre d appels, le Web, etc. Classeurs, salles informatiques, fichiers Excel, TPV, application de paiements du progiciel de gestion intégré, systèmes téléphoniques, etc. 12
Le démarrage des travaux Analyse d écart effectuée par un QSA Lancement officiel par la direction Création d un comité de sécurité composé de vice-présidents et de directeurs Mise en place d un budget Implication du personnel cadre (rencontres) Implication du personnel des opérations (rencontres et PSSI) Désignation d un responsable des travaux par secteur 13
Organisation du travail corporatif Prioriser les travaux Diminuer le risque ou débuter par les travaux qui ont une durée d implantation supérieure? Tenir compte des travaux où il y a des impacts majeurs : Technologies de l information (beaucoup de détails à voir) Processus d affaires (résistance aux changements) Sécurité physique de la portée PCI 14
Organisation du travail aux TI Implication des membres de la direction TI Création d un rôle de répondant pour la norme PCI (membre de l équipe non dédié aux opérations) UN canal de communication Éviter la désinformation Compréhension de la norme PCI Consultation auprès de la sécurité de l information Vulgarisation «Gardien» de la portée 15
Organisation du travail aux TI (suite) Personnel TI (réalité quotidienne) Une trentaine d employés Opérations courantes Demandes de changements Projets Contribution aux projets dirigés par les autres unités administratives Évolution des systèmes en place Pas réaliste de croire que le personnel peut être dédié à 100 % aux travaux à réaliser pour la norme PCI 16
Démarche Découpage des travaux par catégorie Infrastructure (réseau, serveurs) Téléphonie Postes et imprimantes (gestion des correctifs) Les fournisseurs de solutions applicatives (évolution pour répondre à la norme PCI) Les partenaires d affaires (processus d échanges d information) Les consultants (expertise) Le personnel CAA-Québec (contribution aux changements requis) 17
De la théorie à la pratique Compréhension des exigences : les mesures de contrôles sont précises et strictes Décision sur la portée en lien avec la réalité de notre entreprise Accompagnement par un expert PCI Connaissance des processus actuels Compréhension plus poussée des tâches, des systèmes, des outils Imputabilité (responsabilités du rôle de «gardien» de solutions, de processus, de procédures, etc.) Plusieurs intervenants impliqués (connaissance et compréhension à partager) Élaboration des écarts 18
De la théorie à la pratique (suite) Analyse des solutions à envisager (mesures de contrôles, règles administratives, etc.) Choix de la solution et des moyens Maturité face à la norme PCI Plan d action pour le «sprint final» 19
Défis à relever aux TI C est plus qu un projet, c est un changement de culture! Disponibilité des ressources par rapport aux opérations courantes Compréhension de la norme PCI Assimilation des nouvelles règles qui découlent de la norme PCI Intégration de la norme PCI dans les habitudes de travail Réticence aux changements Jugement personnel Sécurité selon PCI, ce n est pas un ennemi! 20
Réticence aux changements aux TI Augmentation des tâches et responsabilités Imputabilité Tâches administratives Gestion documentaire Utilisation de l outil amélioré Documenter les actions 21
Les enjeux corporatifs Sensibilisation à l importance de la norme PCI pour CAA-Québec Maintien de l information (échanges au quotidien, répondre aux questionnements et aux requestionnements!) Adhésion Intégration (assimiler) Continuité (suivi) 22
Les constats corporatifs OPÉRATIONNEL Bien saisir la portée PCI dans les termes «traite, transmet et stocke un numéro de carte de crédit» Révision plus importante des processus de traitement des cartes de crédit L impact de traiter une carte de crédit par téléphone, d enregistrer l appel L impact de conserver le numéro de carte de crédit complet pour une utilisation ultérieure Mieux quantifier les bénéfices de diminuer la portée PCI en début de projet 23
Les constats corporatifs (suite) HUMAIN Adaptation à une nouvelle culture en matière de sécurité de l information Demeurer actif comme agent de liaison des différents secteurs de l organisation Ne pas sous-estimer le temps requis pour rendre opérationnel un changement de processus d affaires Efforts considérables en gestion documentaire hors TI, demander à du personnel non formé pour faire de la rédaction de processus, procédures, etc. 24
Les constats aux TI Révision complète des processus et des façons de faire (mémoire corporative) Développement d un plan de formation en début de projet Révision et définition des rôles et responsabilités de l équipe TI pour incorporer les activités PCI Expertise externe à transférer à l interne au fur et à mesure des mandats confiés (formation progressive) Efforts importants en gestion documentaire aux TI par rapport à la norme PCI (devient un avantage par l utilité) Développement de réflexes «PCI», c est l affaire de tous! (demandes de changements, projets, nouvelles activités, révision de méthodes, etc.) 25
OUI c est possible! ORGANISATION DU TRAVAIL au niveau TI Définition des rôles et responsabilités de tous les membres de l équipe TI Création de nouveaux postes aux TI Ajout de nouvelles tâches opérationnelles (gestion des correctifs de sécurité pour les serveurs et les postes, gestion des accès aux systèmes, sécurisation de notre infrastructure, standardisation des procédures, etc.) Impartition d opérations courantes de sécurité de l information (surveillance, journalisation et coupe-feu) Nouveaux outils de travail Nouveaux processus (gestion des changements) 26
OUI c est possible! (suite) ORGANISATION DU TRAVAIL au niveau TI BUDGET Expertise en sécurité (QSA, experts en sécurité, formation) Ajout de nouveaux équipements et outils de sécurité ORGANISATION DU TRAVAIL au niveau corporatif Suivi de projets par le comité de sécurité de l information Prises de décisions avec la participation de la direction Implication du personnel des opérations Suivi hebdomadaire avec le QSA Rôles du directeur de la sécurité de l information, être un auditeur interne et accompagnateur des lignes d affaires 27
Conclusion Ne négliger aucune des exigences, la note de la conformité à la norme PCI, c est 100 % C est une opportunité de révision de sécurité de l information dans l entreprise C est du développement important dans la connaissance commune des processus d affaires en matière de traitement de cartes de crédit Garder ça simple! PERSÉVÉRER! Avant l audit, ne pas oublier l expression suivante : le diable est dans les détails! 28
QUESTIONS? Merci! 29