Le Conseil sur les normes de sécurité pour les cartes de paiement

Le Conseil Payment Card Industry Security Standards Council (PCI SSC) a récemment sorti la norme Data Security Standard (DSS) 3.0 ; trois ans après la version précédente. La norme PCI DSS s’applique à toute entité impliquée dans le traitement des cartes de paiement – y compris les commerçants, équipementiers, acheteurs, émetteurs et fournisseurs de services, ainsi qu’à toute autre entité qui vend, traite ou transmet les données des titulaires de cartes (DTC) et/ou les données d’authentification sensibles (DAS). Représentant l’une des normes internationales de sécurité de données les plus importantes, la dernière version était attendue avec impatience par les acteurs de la sécurité informatique.

Les évolutions de la version 3.0 sont de trois ordres : clarifications, évolutions de certains articles et conseils complémentaires. Les clarifications constituent la majeure partie des changements mais le Conseil PCI SSC a modifié la plupart des 12 critères majeurs pour inclure de nouveaux sous-critères ou les modifier. Par exemple, l’article 5.3 a été ajouté pour valider que les solutions anti-virus doivent être activement en cours d’exécution (anciennement sous l’article 5.2), et qu’elles ne peuvent être désactivées ou altérées par les utilisateurs, sauf par autorisation spécifique de la direction, et, au cas par cas.

La commission a également inclus des conseils complémentaires pour aider les équipes opérationnelles dédiées à la sécurité à mieux comprendre les exigences de la norme. En plus d’une nouvelle rubrique « conseils » avec des informations complémentaires pour chaque article, la version 3.0 contient une nouvelle section qui fournit un guide des « bonnes pratiques » pour l’intégration de la sécurité dans les activités métiers courantes (« business as usual » (BAU)) et pour le maintien de la conformité PCI DSS.

Implications pour la gestion de logs

Contrairement à de nombreuses autres règlementations et normes, la norme PCI DSS exige l’implémentation d’une solution de gestion de logs au sein des entreprises. L’article 10 l’exige explicitement : la mise en place de mécanismes d’historisation des événements et de gestion de logs et la possibilité de suivre les activités des utilisateurs sont critiques dans la prévention, la détection ou la minimisation de l’impact d’une compromission des données. La présence des logs dans tous les environnements permet de suivre, d’alerter et d’analyser finement les évènements dès qu’un incident se produit. Il est difficile, voire impossible, de déterminer la cause d’une compromission sans les logs d’activité du système.

La dernière version de la norme PCI DSS continue ainsi à mettre l’accent sur l’importance de la gestion de logs :

L’article 10.2.5 a été modifié pour exiger l’historique des modifications, des ajouts ou des suppressions au niveau des accès des comptes administrateur en plus des mécanismes d’identification et d’authentification. L’historique des modifications faites aux accès des comptes administrateur donne une visibilité sur les utilisateurs malveillants contournant ou usurpant des comptes légitimes.

L’article 10.2.6 a également été revu pour exiger un journal des logs,

...