20/09/2022
Cybersecurity Insights
Les bonnes pratiques PCI DSS dans le cloud
PCI DSS ou Payment Card Industry Data Security Standard est un standard édicté par le conseil des normes de sécurité PCI (PCI SSC) listant des exigences claires et précises en ce qui concerne la protection des données de cartes bancaires.
Il s’applique à tout acteur (banque acquéreur, commerçant, fournisseur de services) qui traite, transmet et stocke des informations de cartes bancaires ou qui peut avoir un impact sur la confidentialité de celles-ci.
Ce standard se compose précisément de 12 exigences qui couvrent une panoplie de domaines et qui doivent être complètement traitées par les acteurs cités précédemment afin d’être conformes et qui sont les suivants :
Installer et maintenir des mesures de sécurité du réseau
Développer et maintenir des systèmes et des logiciels sécurisés
Limiter l’accès physique aux données des titulaires des cartes
PCI DSS a évolué au fil des années et s’applique actuellement non seulement aux infrastructures de paiement et de transactions On Premise mais également aux infrastructures hébergées dans le Cloud, et pour ce besoin spécifique le PCI SSC a élaboré un document en avril 2018 nommé PCI SSC Cloud Computing Guidelines et contenant des conseils de mise en œuvre des exigences dans un environnement Cloud.
Nombreuses sont les entreprises soumises à la conformité PCI DSS qui ont relevé le défi de basculer vers le Cloud, mais cette démarche rend-elle la conformité au standard plus difficile ? Les responsabilités diminuent-elles lorsque les données / infrastructures sont hébergées dans le Cloud ?
Cette externalisation vers le Cloud engage toujours l’entreprise en termes de mise en œuvre des exigences édictées par PCI DSS, que ce soit pour les phases de construction du projet (BUILD) ou de maintien en activité (RUN) ; Le basculement vers le Cloud ne diminue en aucun cas le niveau d’efforts global mais il répartit plutôt ce dernier entre l’entreprise et son fournisseur Cloud.
Le client et son fournisseur Cloud doivent tout d’abord définir une matrice selon le modèle retenu (IaaS, PaaS, SaaS) et au niveau de laquelle les niveaux de responsabilités sur les différentes exigences du standard PCI DSS doivent être définis. De manière simple, nous pouvons résumer comme suit : le fournisseur Cloud s’assure que son infrastructure cloud (matériel, centres de données, etc.) est conforme au standard PCI DSS alors que le client doit s’assurer que son environnement est correctement configuré.
Certes les efforts sont répartis entre les deux parties mais notons que c’est toujours l’entreprise client qui est responsable (accountable) de la surveillance de son sous-traitant pour s’assurer qu’il reste conforme (exigence 12.8.4) et ce après avoir conclu un accord écrit avec ce dernier (exigence 12.8.2). Par ailleurs, dans le cadre des audits de certification menés par un QSA (Qualified Security Assessor), ce dernier devra à la fois vérifier que ce processus de suivi est bien respecté et que des AoC (Attestation of Compliance) à jour ont bien été récupérées par l’entreprise et qu’elles couvrent l’ensemble des services Cloud sur lesquels elle s’appuie, mais également vérifier que l’entreprise se conforme aux exigences PCI DSS résiduelles qu’elle a en charge.
Sur le plan technique maintenant, la conformité PCI DSS réussie dans les environnements Cloud va nécessiter l’alignement sur un certain nombre de bonnes pratiques pour faciliter les travaux et s’assurer la bonne mise en œuvre des exigences du standard, notamment :
- Vérifier la conformité du fournisseur au standard PCI DSS et des services à disposition de ce dernier avant de les utiliser en réclamant l’AoC (Attestation of Compliance). Ces services vont représenter le cœur battant de votre architecture et sur lesquels certainement il y a aura du traitement, transmission et stockage des données de cartes bancaires, ainsi une première bonne pratique à adopter c’est de s’assurer de leur conformité à PCI DSS. De plus, il est recommandé d’adopter le concept de due-diligence et ceci en réalisant un suivi régulier avec le fournisseur Cloud pour vérifier le maintien de sa conformité au standard.
- Définir l’offre du fournisseur Cloud qui est plus adaptée au besoin, plus précisément choisir entre les trois modèles IaaS (Infrastructure as a service), PaaS (Platform as a service) ou SaaS (Software as a service) ; chose qui va influencer certainement la portée des exigences que le client sous-traite au fournisseur. Un modèle IaaS par exemple augmente considérablement le taux d’efforts alors que c’est le contraire pour un modèle SaaS. Le bon équilibre dépend du besoin et de l’activité du client et c’est dans ce sens qu’une matrice de répartition des responsabilités respectives doit être définie entre les deux parties au préalable.
- Classifier les données qui seront hébergées dans le Cloud pour identifier leur criticité (sensibles, confidentielles…). Cela influencera certainement les choix en termes de stockage. Par exemple les données confidentielles peuvent être mises dans des bases de données et d’autres de criticité faible peuvent être stockées directement dans des Data lakes.
- Maitriser la segmentation qui est fortement recommandée par le standard et qui permettra en même temps de minimiser le périmètre PCI DSS et les efforts de BUILD & RUN.Dans le Cloud, la segmentation vise principalement à interdire la communication entre les subnets CDE, non-CDE et les subnets hors périmètre en utilisant les réseaux virtuels (VPC ou Vnet) ; et une bonne pratique sera d’adopter le concept de Zoning édicté par PCI DSS de la manière suivante :
- Un ou plusieurs VPC/Vnet pour les subnets CDE : Zone 1
- Un ou plusieurs VPC/Vnet pour les subnets non-CDE : Zone 2
- Un ou plusieurs VPC/Vnet pour les subnets hors périmètre
Pour bien maitriser et comprendre la notion de segmentation, il est conseillé de se rapprocher des fournisseurs Cloud pour récupérer les guides de segmentation mis à disposition par ces derniers tel que le document publié par AWS en Mai 2019 nommé « Architecting for PCI DSS Scoping and Segmentation on AWS ».
- Être vigilant quant à l’utilisation de la virtualisation, et ceci dans le sens ou les environnements virtuels peuvent représenter des surfaces d’attaques si l’hyperviseur est mal configuré et/ou sécurisé. Ce composant en lui-même représente la porte d’entrée à cet environnement ainsi s’il est compromis, tous les autres composants le seront également d’où la nécessité de challenger les moyens de sécurité et de durcissement de ce dernier avec le fournisseur Cloud.
La prise en compte de ces bonnes pratiques permettra ainsi de tracer une trajectoire claire vers la conformité PCI DSS en minimisant les difficultés. De plus, il est possible de s’appuyer sur des outillages pour aider à la mise en œuvre technique des exigences PCI DSS ou d’en assurer la bonne application sur les briques utilisées dans le Cloud. Nous pouvons notamment citer une approche basée sur l’utilisation de CIS CAT (Les outils du CIS et la compliance PCI DSS – Almond).
La conformité PCI DSS dans le Cloud repose sur la collaboration « client / fournisseur » mais nécessite également l’intervention d’un professionnel de PCI DSS notamment les experts QSA (Qualified Security Assessor) ainsi que les experts Cloud pour venir soutenir et accompagner le client dans sa démarche d’externalisation.
N’hésitez pas à nous contacter pour étudier ensemble votre projet.
Kawtar CHAFRA
Consultante Governance, Risks & Compliance
Aurélien BARRAUD
Manager GRC & Responsable de l’offre PCI DSS