Les opportunités d'un audit PCI-DSS
Des enjeux d’opportunités?
Parlons tout d’abord des différents enjeux :
l’obligation : oui, il est obligatoire de se conformer à la norme dès lors qu’une activité de traitement, stockage ou de transmission de données de titulaires de carte se produit dans l’un de vos processus d’entreprise ;
le coût : je ne vous apprend rien, il se peut, qu’il y ai, en fonction de l’importance que vous avez accordé à la sécurité de votre système d’information et de votre niveau de gouvernance IT, des coûts à prévoir ;
le projet : en fonction du nombre de transactions effectuées chaque année, de la taille de votre système d’information ou encore des parties prenantes (salariés, prestataires, fournisseurs, etc.), la feuille de route est à rédiger et chaque action réalisée comptera lors de l’audit de certification.
Maintenant que je vous ai fait peur, parlons des nombreuses opportunités que cela peut vous générer :
-
amélioration de la sécurité de son système d’information (Allistic vous accompagne) : la mise en place de certains dispositifs de sécurité (antivirus, scan de vulnérabilité, IDS, IPS, etc.) ainsi que leur maîtrise va vous permettre d’améliorer un certain nombre de vos processus IT ;
-
amélioration de la gouvernance SSI (Allistic vous accompagne) : la norme PCI-DSS comprend également un certain nombre de mesures orientées gouvernance où, vous aurez l’occasion d’encadrer la majorité de vos processus IT via de la documentation exhaustive et tenue à jour via une démarche itérative faisant penser à une autre norme bien connu de la gouvernance SSI ;
-
maîtriser ses traitements (Allistic vous accompagne) : se conformer à la norme PCI-DSS via un questionnaire d’auto-évaluation (SAQ) permet d’améliorer la connaissance de ses traitements de données de titulaires de carte et ainsi être en capacité de les maîtriser ;
-
devenir certifié (Allistic vous accompagne) : obtenir la certification a plusieurs finalités : se conformer à une réglementation ayant un caractère obligatoire dans un premier temps comme mentionné précédemment, mais également de disposer d’une validation, d’un acquis permettant de récompenser ainsi les efforts consentis lors du processus de mise en œuvre de la norme.
-
augmenter ses leads : avez-vous déjà entendu “tout travail mérite salaire”? Et bien on peut se dire que l’obtention de la certification PCI-DSS, permet également d’obtenir une rétribution supplémentaire. En effet, vous pourriez être amené à travailler avec de nouveaux partenaires ou prestataires car vous disposez d’arguments supplémentaires en ayant obtenu votre certification, qui, a coup sûr, préférerons collaborer avec une entreprise intéressée par ses enjeux de cybersécurité.
Retex sur les enjeux : du jour 1 au jour J
Que cela soit lié à une contrainte apparue soudainement ou à la volonté de viser la certification (dû ou non à son caractère obligatoire), les entreprises initiant la démarche de certification se retrouvent souvent seules face à cette norme de 164 pages. Face et fort de ce constat, la question suivante se pose :”qui va s’en occuper?”. Entre les solutions internes qui engendre la nomination d’un “PCI Manager” ou d’une ressource ayant une double casquette et, la possibilité de se faire accompagner sur une partie plus ou moins importante du processus par une ressource externe, il est nécessaire de poser des bases sereines pour démarrer convenablement son processus de certification.
Une fois l’équipe en place, les premières actions voient le jour, dont une des plus importantes qui est de définir son périmètre de certification que la norme appellera CDE pour “Cardholder Data Environment”. C’est dans ce dernier que les processus associés à la transmission, au stockage ou au traitement des données de titulaire de carte s’opéreront.
La réalisation de plusieurs actions viendra évidemment s’ajouter à votre planning de certification. En voici quelques unes :
disposer d’un schéma d’architecture globale identifiant le CDE ;
disposer d’une matrice de flux ;
réaliser une analyse de risque ;
disposer d’une PSSI à jour et connue ;
s’intéresser au scan de vulnérabilités chaque trimestre ;
réaliser un test d’intrusion chaque année ;
s’intéresser de près aux événements de journalisation ;
restreindre les accès physiques.
Si je peux vous donner un conseil, prenez votre temps et, si vous le pouvez, faites vérifier par un tiers la bonne réalisation de la plupart des actions menées au fur et à mesure de l’avancement de ces dernières.
L’avancement du projet se passe bien et vous souhaitez planifier l’audit de certification? Tâcher de vous poser certaines questions avant de vous faire auditer :
Où en sommes-nous?
L’ensemble des conditions (requirement) sont-ils respectés?
Suis-je en capacité de fournir l’ensemble des preuves demandées par l’auditeur le jour J?
L’ensemble de mes collaborateurs ont-ils pris connaissance du contexte de la certification et des attentes que cela peut exiger? (port d’un badge visible, attitudes à adopter dans les zone CDE, avoir connaissance de la PSSI, etc.
L’auditeur n’est pas là pour vous piéger. Il souhaite comprendre votre organisation, ses enjeux, le périmètre de certification et disposer d’interlocuteurs sachant sur les différents requirement afin de mener à bien son audit. Je rappellerai ici, si nécessaire, que l’on peut s’auditer soi-même ou si possible, de réaliser un audit à blanc, qui servira de grande répétition général avant le jour J.
Cet audit, que je trouve indispensable, apportera le complément d’informations qui aurait pu vous manquer le jour J sur un processus incomplet ou l’incapacité à fournir une preuve technique.
Après les dernières corrections, arrive le grand jour, le jour J. On parlera même d’une période J, étant donné que l’audit se réalise sur plusieurs jours. Comptez en moyenne 5 jours si votre CDE est applicable sur l’ensemble des conditions de la norme et que vous disposez d’un volume de transaction vous rendant éligible à la rédaction d’un ROC (Report Of Compliance), qui est, entre autre, le rapport prenant en compte le plus grand ensemble de mesures de sécurité applicables de la norme.
Pour avoir plus d’informations sur votre éligibilité aux différents niveaux d’éligibilité à la norme PCI-DSS, je vous invite à consulter ce document vous donnant un certain nombre d’informations pertinentes sur le sujet : lien
Les jours passent, et vous arrivez à la fin de la condition 12 (la dernière dans la version actuelle 3.2.1), ce qui en toute logique constitue la fin de l’audit, l’auditeur vous remercie pour votre accueil et s’engage à vous communiquer le rapport dans les meilleurs délais sans pour autant vous donner d’indication sur l’obtention ou non de la certification.
Il dispose de 30 jours maximum pour vous envoyer le rapport (ROC ou le questionnaire d’auto-évaluation SAQ) ainsi que l’AOC (Attestation Of Compliance) signé. Vous recevez un mail et/ou un coup de fil, c’est l’auditeur qui vous indique que vous avez rempli avec réussite l’ensemble des conditions et que vous êtes dorénavant certifié! Félicitations, le chemin fut long, parfois semé d’embûches, vous allez pouvoir souffler et annoncer à vos collaborateurs ainsi qu’à vos prospects l’obtention de la certification, vous permettant peut être d’avancer sur certains sujets qui étaient jusqu’alors bloqué de par cette condition sine qua non.
La norme étant valide 1 an, il sera important d’être rigoureux sur les contrôles périodiques à réaliser tout au long de l’année afin de ne pas avoir de surprise l’année d’après. Attention si votre CDE évolue de manière importante, un nouvel audit, pendant l’année de validité sera nécessaire. Je vous invite donc à mettre en place vos changements majeurs durant la période approchant la fin de validité de votre certification en cours.
Ce qu’Allistic peut vous apporter
Allistic peut vous accompagner tout au long de votre parcours de mise en place de la certification PCI-DSS. Nous pouvons vous aider à :
définir votre périmètre (CDE) ;
construire votre planning de mise en oeuvre ;
vous accompagner dans la définition de vos processus IT ;
sur la mise en place des scans de vulnérabilités ;
réalisation d’audit à blanc / pré-audit de certification ;
complétude du questionnaire d’auto-évaluation (SAQ).
La liste étant non-exhaustive, n’hésitez pas à nous contacter afin d’obtenir des réponses à vos questions. Nous sommes à votre disposition.
Nous contacter ⬇️
LES ARTICLES QUI POURRAIENT ÉGALEMENT VOUS INTÉRESSER ..
MFA : Multi Factor Authentication
- Jean-Michel
- 9 juillet 2024
- blog
Le gestionnaire de mots de passe
- Anthony SCANDELLA
- 15 juin 2024
- blog / sécurité opérationnelle
Protégez votre réseau informatique
- Jean-Michel
- 2 mai 2024
- blog / Gouvernance / sécurité opérationnelle
Comment sécuriser votre Active Directory
- Jean-Michel
- 25 avril 2024
- blog / sécurité opérationnelle
EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes
- Jean-Michel
- 7 février 2024
- blog
Grandir et faire grandir - Interview d'Anthony
- Jean-Michel
- 15 janvier 2024
- blog