in

Avec un SIEM, répondre aux exigences de PCI DSS – Par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint

« L’Europe est en retard pour le respect des normes PCI DSS » titre Maria Korolov, editor et publisher d’Hypergrid Business, dans un article repris par Réseaux & Télécoms. S’appuyant sur un rapport de Verizon, l’article affirme que « 80% des entreprises sont hors des critères entre les audits. » Pourquoi une telle situation ? Que recouvrent ces normes ? Est-il possible d’évoluer et d’accélérer la mise en conformité des entreprises européennes ? Ce point de vue apporte une réponse à ces questions.

Les normes de sécurité des données pour l’industrie des cartes de paiement sont appelées Payment Card Industry Data Security Standard, plus connues sous l’acronyme PCI DSS. Les données d’une carte bancaire – le numéro de la carte, la date de fin de validité et les trois chiffres qui figurent au dos de la carte – sont évidemment des informations sensibles. Elles permettent d’effectuer des paiements via internet, sans la présence physique de la carte. Cet usage très pratique pour le titulaire de la carte représente un réel danger. Il attire les hackers qui cherchent à s’emparer des codes des cartes bancaires en attaquant les systèmes d’information où ils sont stockés. Le programme de sécurisation PCI DSS a été conçu pour améliorer la sécurité physique et logique des systèmes d’information. Il concerne toutes les entreprises qui traitent, transportent et stockent des données de cartes bancaires, c’est-à-dire les commerçants de proximité, boutiques sur internet, réseaux de transport, centres d’appels, banques, émetteurs de cartes… Le standard PCI DSS exige la mise en œuvre de points de contrôle sur les systèmes d’information qui capturent, transportent, stockent et traitent les données des cartes bancaires. Les bonnes pratiques de sécurité se rapportent aux techniques informatiques et aux procédures de contrôle organisationnel. Leur respect est indispensable, mais encore faut-il avoir la meilleure visibilité possible sur l’ensemble du système d’information. Une solution de Security Information and Event Management en est l’outil essentiel.

Un contrôle permanent

Le SIEM1 facilite la gestion des événements du système d’information et permet à l’entreprise d’exercer un contrôle continu de la sécurité de son système d’information. Il dépiste les comportements anormaux des utilisateurs, des serveurs, des applicatifs et du réseau, permettant de détecter les attaques, d’agir pour remédier aux fraudes et d’empêcher les tentatives d’exfiltration de données. Le SIEM signale incidents et dysfonctionnements et constitue une aide précieuse pour déceler les anomalies et contrôler la conformité à la fois avec la politique de sécurité définie et avec les exigences du règlement PCI DSS. Il permet d’effectuer des analyses forensic (investigation numérique) en exploitant les logs dont il garantit l’intégrité. Enfin, il fournit des tableaux de bord de sécurité opérationnelle.

Un outil incontournable

Parmi les exigences sécuritaires de PCI DSS figurent la consignation des données bancaires, la conservation des journaux, la mise en place de procédures d’examen quotidien des logs et de surveillance de l’intégrité des fichiers. Toute modification apportée aux journaux doit être détectée. Une solution SIEM de qualité s’adapte parfaitement à de tels impératifs. Elle assure la surveillance et le contrôle de la sécurité du SI en temps réel et notamment des logs, permettant de repérer les fraudes, les accès interdits aux données des cartes bancaires, les modifications non autorisées, les exfiltrations de données bancaires et d’enquêter a posteriori sur les incidents de sécurité. Le SIEM répond aux exigences de collecte, de conservation et d’analyse des logs et produit automatiquement et rapidement les rapports de conformité PCI DSS.

Un élément-clé de la stratégie

Cette conformité PCI DSS doit être considérée comme faisant partie de la stratégie globale de sécurité de l’information et de gestion des risques de l’entreprise ; et ce, dès la construction du système d’information gérant les transactions. L’article cité en tête montre que ce n’est évidemment pas le cas pour la plus grande partie des entreprises concernées. Des actions de sensibilisation doivent être menées auprès de ces entreprises européennes. L’amélioration très nette de la sécurité des données des comptes de paiement est un nouveau pas vers la protection des données personnelles, droit fondamental sur lequel l’Union européenne ne semble pas vouloir transiger. Cette dernière demande en effet l’application stricte des nouvelles règles de protection des données qui doivent être considérées comme des principes internationaux impératifs de droit international public et privé.

Pour combler leur retard, l’ensemble des acteurs européens utilisant les moyens de paiement soumis à la norme PCI DSS doivent notamment prendre conscience que le SIEM est une solution simple qui renforcera considérablement leur potentiel de tenir les objectifs de sécurité et de mise en conformité réglementaire.  D’autant que les solutions SIEM récentes ont une interface simple, une capacité d’intégration rapide dans tous les environnements et génèrent des tableaux et des rapports immédiatement opérationnels.

1 SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

 

FSFrédéric Saulet est Directeur Régional Europe du Sud de LogPoint.

Il est chargé de la croissance des opérations en France, Belgique, Luxembourg et Europe du Sud incluant l’Italie, l’Espagne et le Portugal. A 36 ans, Frédéric Saulet est un professionnel chevronné doté d’une expérience de 15 années dans l’industrie des technologies de l’information et de la cyber-sécurité. Avant de rejoindre LogPoint, il était Managing Director pour les régions EMEA Sud, le Benelux et les pays nordiques chez Qualys, responsable de la stratégie commerciale et en charge du développement et de la gestion du réseau d’alliances et de partenaires. Auparavant, Frédéric avait animé le réseau de partenaires de NEXThink en France et en Italie et occupé plusieurs postes de manager chez Trend Micro et BigFix.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.