Les opportunités d'un audit PCI-DSS • Allistic

Des enjeux d’opportunités?

Parlons tout d’abord des différents enjeux :

l’obligation : oui, il est obligatoire de se conformer à la norme dès lors qu’une activité de traitement, stockage ou de transmission de données de titulaires de carte se produit dans l’un de vos processus d’entreprise ;
le coût : je ne vous apprend rien, il se peut, qu’il y ai, en fonction de l’importance que vous avez accordé à la sécurité de votre système d’information et de votre niveau de gouvernance IT, des coûts à prévoir ;
le projet : en fonction du nombre de transactions effectuées chaque année, de la taille de votre système d’information ou encore des parties prenantes (salariés, prestataires, fournisseurs, etc.), la feuille de route est à rédiger et chaque action réalisée comptera lors de l’audit de certification.

Maintenant que je vous ai fait peur, parlons des nombreuses opportunités que cela peut vous générer :

amélioration de la sécurité de son système d’information (Allistic vous accompagne) : la mise en place de certains dispositifs de sécurité (antivirus, scan de vulnérabilité, IDS, IPS, etc.) ainsi que leur maîtrise va vous permettre d’améliorer un certain nombre de vos processus IT ;
amélioration de la gouvernance SSI (Allistic vous accompagne) : la norme PCI-DSS comprend également un certain nombre de mesures orientées gouvernance où, vous aurez l’occasion d’encadrer la majorité de vos processus IT via de la documentation exhaustive et tenue à jour via une démarche itérative faisant penser à une autre norme bien connu de la gouvernance SSI ;
maîtriser ses traitements (Allistic vous accompagne) : se conformer à la norme PCI-DSS via un questionnaire d’auto-évaluation (SAQ) permet d’améliorer la connaissance de ses traitements de données de titulaires de carte et ainsi être en capacité de les maîtriser ;
devenir certifié (Allistic vous accompagne) : obtenir la certification a plusieurs finalités : se conformer à une réglementation ayant un caractère obligatoire dans un premier temps comme mentionné précédemment, mais également de disposer d’une validation, d’un acquis permettant de récompenser ainsi les efforts consentis lors du processus de mise en œuvre de la norme.
augmenter ses leads : avez-vous déjà entendu “tout travail mérite salaire”? Et bien on peut se dire que l’obtention de la certification PCI-DSS, permet également d’obtenir une rétribution supplémentaire. En effet, vous pourriez être amené à travailler avec de nouveaux partenaires ou prestataires car vous disposez d’arguments supplémentaires en ayant obtenu votre certification, qui, a coup sûr, préférerons collaborer avec une entreprise intéressée par ses enjeux de cybersécurité.

Retex sur les enjeux : du jour 1 au jour J

Que cela soit lié à une contrainte apparue soudainement ou à la volonté de viser la certification (dû ou non à son caractère obligatoire), les entreprises initiant la démarche de certification se retrouvent souvent seules face à cette norme de 164 pages. Face et fort de ce constat, la question suivante se pose :”qui va s’en occuper?”. Entre les solutions internes qui engendre la nomination d’un “PCI Manager” ou d’une ressource ayant une double casquette et, la possibilité de se faire accompagner sur une partie plus ou moins importante du processus par une ressource externe, il est nécessaire de poser des bases sereines pour démarrer convenablement son processus de certification.

Une fois l’équipe en place, les premières actions voient le jour, dont une des plus importantes qui est de définir son périmètre de certification que la norme appellera CDE pour “Cardholder Data Environment”. C’est dans ce dernier que les processus associés à la transmission, au stockage ou au traitement des données de titulaire de carte s’opéreront.

La réalisation de plusieurs actions viendra évidemment s’ajouter à votre planning de certification. En voici quelques unes :

disposer d’un schéma d’architecture globale identifiant le CDE ;

disposer d’une matrice de flux ;
réaliser une analyse de risque ;
disposer d’une PSSI à jour et connue ;
s’intéresser au scan de vulnérabilités chaque trimestre ;
réaliser un test d’intrusion chaque année ;
s’intéresser de près aux événements de journalisation ;
restreindre les accès physiques.

Si je peux vous donner un conseil, prenez votre temps et, si vous le pouvez, faites vérifier par un tiers la bonne réalisation de la plupart des actions menées au fur et à mesure de l’avancement de ces dernières.

L’avancement du projet se passe bien et vous souhaitez planifier l’audit de certification? Tâcher de vous poser certaines questions avant de vous faire auditer :

Où en sommes-nous?
L’ensemble des conditions (requirement) sont-ils respectés?
Suis-je en capacité de fournir l’ensemble des preuves demandées par l’auditeur le jour J?
L’ensemble de mes collaborateurs ont-ils pris connaissance du contexte de la certification et des attentes que cela peut exiger? (port d’un badge visible, attitudes à adopter dans les zone CDE, avoir connaissance de la PSSI, etc.

L’auditeur n’est pas là pour vous piéger. Il souhaite comprendre votre organisation, ses enjeux, le périmètre de certification et disposer d’interlocuteurs sachant sur les différents requirement afin de mener à bien son audit. Je rappellerai ici, si nécessaire, que l’on peut s’auditer soi-même ou si possible, de réaliser un audit à blanc, qui servira de grande répétition général avant le jour J.

Cet audit, que je trouve indispensable, apportera le complément d’informations qui aurait pu vous manquer le jour J sur un processus incomplet ou l’incapacité à fournir une preuve technique.

Après les dernières corrections, arrive le grand jour, le jour J. On parlera même d’une période J, étant donné que l’audit se réalise sur plusieurs jours. Comptez en moyenne 5 jours si votre CDE est applicable sur l’ensemble des conditions de la norme et que vous disposez d’un volume de transaction vous rendant éligible à la rédaction d’un ROC (Report Of Compliance), qui est, entre autre, le rapport prenant en compte le plus grand ensemble de mesures de sécurité applicables de la norme.

Pour avoir plus d’informations sur votre éligibilité aux différents niveaux d’éligibilité à la norme PCI-DSS, je vous invite à consulter ce document vous donnant un certain nombre d’informations pertinentes sur le sujet : lien

Les jours passent, et vous arrivez à la fin de la condition 12 (la dernière dans la version actuelle 3.2.1), ce qui en toute logique constitue la fin de l’audit, l’auditeur vous remercie pour votre accueil et s’engage à vous communiquer le rapport dans les meilleurs délais sans pour autant vous donner d’indication sur l’obtention ou non de la certification.

Il dispose de 30 jours maximum pour vous envoyer le rapport (ROC ou le questionnaire d’auto-évaluation SAQ) ainsi que l’AOC (Attestation Of Compliance) signé. Vous recevez un mail et/ou un coup de fil, c’est l’auditeur qui vous indique que vous avez rempli avec réussite l’ensemble des conditions et que vous êtes dorénavant certifié! Félicitations, le chemin fut long, parfois semé d’embûches, vous allez pouvoir souffler et annoncer à vos collaborateurs ainsi qu’à vos prospects l’obtention de la certification, vous permettant peut être d’avancer sur certains sujets qui étaient jusqu’alors bloqué de par cette condition sine qua non.

La norme étant valide 1 an, il sera important d’être rigoureux sur les contrôles périodiques à réaliser tout au long de l’année afin de ne pas avoir de surprise l’année d’après. Attention si votre CDE évolue de manière importante, un nouvel audit, pendant l’année de validité sera nécessaire. Je vous invite donc à mettre en place vos changements majeurs durant la période approchant la fin de validité de votre certification en cours.

Ce qu’Allistic peut vous apporter

Allistic peut vous accompagner tout au long de votre parcours de mise en place de la certification PCI-DSS. Nous pouvons vous aider à :

définir votre périmètre (CDE) ;
construire votre planning de mise en oeuvre ;
vous accompagner dans la définition de vos processus IT ;
sur la mise en place des scans de vulnérabilités ;
réalisation d’audit à blanc / pré-audit de certification ;
complétude du questionnaire d’auto-évaluation (SAQ).

La liste étant non-exhaustive, n’hésitez pas à nous contacter afin d’obtenir des réponses à vos questions. Nous sommes à votre disposition.

Nous contacter ⬇️

Nom et Prénom

E-mail

Téléphone

Site web

Message

En cochant cette case et en soumettant ce formulaire, j'accepte que les informations saisies soient utilisées pour me recontacter dans le cadre de ma demande et uniquement pour cet usage. *

En cochant cette case, j'accepte d'être contacté à des fins commerciales.

LES ARTICLES QUI POURRAIENT ÉGALEMENT VOUS INTÉRESSER ..

Comment Sécuriser Votre Active Directory : Techniques et Meilleures Pratiques de Durcissement

Jean-Michel
25 avril 2024
blog

Commençons franchement, le durcissement d'un Active Directory n’est pas quelque chose de facile. Pour autant, garantir la sécurité de votre Active Directory est primordial. Quelles solutions s’offrent à vous ?

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

Jean-Michel
7 février 2024
blog

EDR, le premier rempart contre les cyberattaques Les solutions EDR, pour Endpoint Detection & Response,…

Grandir et faire grandir - Interview d'Anthony

Jean-Michel
15 janvier 2024
blog

Ce mois ci, nous avons décidé d'interviewer Anthony. Anthony a rejoint Allistic en tant qu'alternant dans le cadre de son Mastère Expert Cybersécurité

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

Jean-Michel
18 décembre 2023
blog

La période de Noël apporte son lot de joie et de célébrations, mais elle s'accompagne…

Sécurité informatique des PME et ETI : L'externalisation, un allié stratégique

Jean-Michel
12 décembre 2023
blog

La cybersécurité demeure un enjeu crucial pour les PME et ETI, confrontées à des défis…

Allistic Obtient le Label Expert Cyber !

Nous sommes fiers et ravis d'annoncer une nouvelle réalisation qui témoigne de notre engagement constant envers l'excellence en matière de cybersécurité : Allistic a obtenu le prestigieux label Expert Cyber !

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.