Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

20/09/2022

Cybersecurity Insights

Les bonnes pratiques PCI DSS dans le cloud

PCI DSS ou Payment Card Industry Data Security Standard est un standard édicté par le conseil des normes de sécurité PCI (PCI SSC) listant des exigences claires et précises en ce qui concerne la protection des données de cartes bancaires.

Il s’applique à tout acteur (banque acquéreur, commerçant, fournisseur de services) qui traite, transmet et stocke des informations de cartes bancaires ou qui peut avoir un impact sur la confidentialité de celles-ci.

Ce standard se compose précisément de 12 exigences qui couvrent une panoplie de domaines et qui doivent être complètement traitées par les acteurs cités précédemment afin d’être conformes et qui sont les suivants :

Installer et maintenir des mesures de sécurité du réseau

Appliquer des configurations sécurisées à tous les composants du système
Protéger les données de cartes bancaires stockées
Protéger les données des titulaires de carte grâce à une cryptographie robuste lors de la transmission sur des réseaux publics ouverts
Protéger tous les systèmes et réseaux contre les logiciels malveillants

Développer et maintenir des systèmes et des logiciels sécurisés

Limiter l’accès aux composants système et aux données des titulaires de cartes en fonction des besoins de l’entreprise
Identifier les utilisateurs et authentifier l’accès aux composants système

Limiter l’accès physique aux données des titulaires des cartes

Enregistrer et surveiller tous les accès aux composants système et aux données des titulaires de cartes
Tester régulièrement la sécurité des systèmes et des réseaux
Renforcer la sécurité des informations à l’aide de politiques et des programmes organisationnels

PCI DSS a évolué au fil des années et s’applique actuellement non seulement aux infrastructures de paiement et de transactions On Premise mais également aux infrastructures hébergées dans le Cloud, et pour ce besoin spécifique le PCI SSC a élaboré un document en avril 2018 nommé PCI SSC Cloud Computing Guidelines et contenant des conseils de mise en œuvre des exigences dans un environnement Cloud.

Nombreuses sont les entreprises soumises à la conformité PCI DSS qui ont relevé le défi de basculer vers le Cloud, mais cette démarche rend-elle la conformité au standard plus difficile ? Les responsabilités diminuent-elles lorsque les données / infrastructures sont hébergées dans le Cloud ?

Cette externalisation vers le Cloud engage toujours l’entreprise en termes de mise en œuvre des exigences édictées par PCI DSS, que ce soit pour les phases de construction du projet (BUILD) ou de maintien en activité (RUN) ; Le basculement vers le Cloud ne diminue en aucun cas le niveau d’efforts global mais il répartit plutôt ce dernier entre l’entreprise et son fournisseur Cloud.

Le client et son fournisseur Cloud doivent tout d’abord définir une matrice selon le modèle retenu (IaaS, PaaS, SaaS) et au niveau de laquelle les niveaux de responsabilités sur les différentes exigences du standard PCI DSS doivent être définis. De manière simple, nous pouvons résumer comme suit : le fournisseur Cloud s’assure que son infrastructure cloud (matériel, centres de données, etc.) est conforme au standard PCI DSS alors que le client doit s’assurer que son environnement est correctement configuré.

Certes les efforts sont répartis entre les deux parties mais notons que c’est toujours l’entreprise client qui est responsable (accountable) de la surveillance de son sous-traitant pour s’assurer qu’il reste conforme (exigence 12.8.4) et ce après avoir conclu un accord écrit avec ce dernier (exigence 12.8.2). Par ailleurs, dans le cadre des audits de certification menés par un QSA (Qualified Security Assessor), ce dernier devra à la fois vérifier que ce processus de suivi est bien respecté et que des AoC (Attestation of Compliance) à jour ont bien été récupérées par l’entreprise et qu’elles couvrent l’ensemble des services Cloud sur lesquels elle s’appuie, mais également vérifier que l’entreprise se conforme aux exigences PCI DSS résiduelles qu’elle a en charge.

Sur le plan technique maintenant, la conformité PCI DSS réussie dans les environnements Cloud va nécessiter l’alignement sur un certain nombre de bonnes pratiques pour faciliter les travaux et s’assurer la bonne mise en œuvre des exigences du standard, notamment :

  • Vérifier la conformité du fournisseur au standard PCI DSS et des services à disposition de ce dernier avant de les utiliser en réclamant l’AoC (Attestation of Compliance). Ces services vont représenter le cœur battant de votre architecture et sur lesquels certainement il y a aura du traitement, transmission et stockage des données de cartes bancaires, ainsi une première bonne pratique à adopter c’est de s’assurer de leur conformité à PCI DSS. De plus, il est recommandé d’adopter le concept de due-diligence et ceci en réalisant un suivi régulier avec le fournisseur Cloud pour vérifier le maintien de sa conformité au standard.
  • Définir l’offre du fournisseur Cloud qui est plus adaptée au besoin, plus précisément choisir entre les trois modèles IaaS (Infrastructure as a service), PaaS (Platform as a service) ou SaaS (Software as a service) ; chose qui va influencer certainement la portée des exigences que le client sous-traite au fournisseur. Un modèle IaaS par exemple augmente considérablement le taux d’efforts alors que c’est le contraire pour un modèle SaaS. Le bon équilibre dépend du besoin et de l’activité du client et c’est dans ce sens qu’une matrice de répartition des responsabilités respectives doit être définie entre les deux parties au préalable.
  • Classifier les données qui seront hébergées dans le Cloud pour identifier leur criticité (sensibles, confidentielles…). Cela influencera certainement les choix en termes de stockage. Par exemple les données confidentielles peuvent être mises dans des bases de données et d’autres de criticité faible peuvent être stockées directement dans des Data lakes.
  • Maitriser la segmentation qui est fortement recommandée par le standard et qui permettra en même temps de minimiser le périmètre PCI DSS et les efforts de BUILD & RUN.Dans le Cloud, la segmentation vise principalement à interdire la communication entre les subnets CDE, non-CDE et les subnets hors périmètre en utilisant les réseaux virtuels (VPC ou Vnet) ; et une bonne pratique sera d’adopter le concept de Zoning édicté par PCI DSS de la manière suivante :
    • Un ou plusieurs VPC/Vnet pour les subnets CDE : Zone 1
    • Un ou plusieurs VPC/Vnet pour les subnets non-CDE : Zone 2
    • Un ou plusieurs VPC/Vnet pour les subnets hors périmètre

    Pour bien maitriser et comprendre la notion de segmentation, il est conseillé de se rapprocher des fournisseurs Cloud pour récupérer les guides de segmentation mis à disposition par ces derniers tel que le document publié par AWS en Mai 2019 nommé « Architecting for PCI DSS Scoping and Segmentation on AWS ».

  • Être vigilant quant à l’utilisation de la virtualisation, et ceci dans le sens ou les environnements virtuels peuvent représenter des surfaces d’attaques si l’hyperviseur est mal configuré et/ou sécurisé. Ce composant en lui-même représente la porte d’entrée à cet environnement ainsi s’il est compromis, tous les autres composants le seront également d’où la nécessité de challenger les moyens de sécurité et de durcissement de ce dernier avec le fournisseur Cloud.

La prise en compte de ces bonnes pratiques permettra ainsi de tracer une trajectoire claire vers la conformité PCI DSS en minimisant les difficultés. De plus, il est possible de s’appuyer sur des outillages pour aider à la mise en œuvre technique des exigences PCI DSS ou d’en assurer la bonne application sur les briques utilisées dans le Cloud. Nous pouvons notamment citer une approche basée sur l’utilisation de CIS CAT (Les outils du CIS et la compliance PCI DSS – Almond).

La conformité PCI DSS dans le Cloud repose sur la collaboration « client / fournisseur » mais nécessite également l’intervention d’un professionnel de PCI DSS notamment les experts QSA (Qualified Security Assessor) ainsi que les experts Cloud pour venir soutenir et accompagner le client dans sa démarche d’externalisation.

N’hésitez pas à nous contacter pour étudier ensemble votre projet.

Kawtar CHAFRA

Consultante Governance, Risks & Compliance

Aurélien BARRAUD

Manager GRC & Responsable de l’offre PCI DSS

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/