PCI DSS 3.0 adopte une nouvelle approche
La toute dernière version du standard de sécurité de l’industrie des cartes bancaires, publiée ce 7 novembre, conseille aux entreprises d’intégrer la sécurité à tous leurs processus.
Faire de la sécurité une habitude, une routine, intégrée à tous les processus. C’est la principale nouveauté de la version 3.0 du standard PCI DSS. « Les organisations devraient viser à intégrer PCI DSS à leurs routines, parce que le standard apporte le meilleur ensemble d’exigences et de processus pour protéger les données, » explique Jeremy King, directeur Europe du conseil des standards de sécurité du PCI (Payment Card Industry). Dans cet esprit, la version 3.0 de PCI DSS se concentre sur la formation à la sécurité, et notamment les mots de passe, afin d’aider chacun à comprendre que la sécurité est une responsabilité partagée, et en offrant plus de flexibilité aux commerçants dans la manière dont ils adoptent le standard.
D’autres changements visent à assurer que les pratiques de sécurisation des données des cartes bancaires sont actualisées afin de tenir compte des nouvelles technologies et tendances, telles que les programmes de BYOD dans l’environnement de travail. Pour la première fois, le standard intègre également les informations d’un guide autrefois distinct, sous la forme d’une colonne expliquant plus en détail ce qu’il faut comprendre des indications fournies dans le standard et les exigences qu’elles impliquent.
La conformité PCI DSS est nécessaire à toute organisation qui manipule des données de cartes bancaires. Le standard précise comment ces données doivent être manipulées et protégées. Le conseil PCI SSC qui administre le standard assure que cette version trois est conçue pour aider les organisations à prendre une approche plus proactive de la protection des données personnelles et qu’elle concentre moins sur la conformité que sur la sécurité.
« Il est extrêmement encourageant que la dernière version de PCI DSS ne se concentre plus uniquement sur la conformité et s’oriente vers des pratiques de sécurité de référence, » explique Matt Middleton-Leal, directeur régional de CyberArk pour le Royaume-Uni et l’Irlande. Selon lui, « les identifiants des comptes à privilèges continuent d’être la cible privilégiée de toutes les grandes violations de sécurité. Et c’est très bien que cette nouvelle version du standard s’attaque à ce problème. » De fait, PCI DSS 3.0 recommande que les politiques liées aux mots de passe intègrent des conseils sur la manière de choisir des mots de passe robustes, de protéger ses identifiants, et de changer les mots de passe en cas de suspicion de compromission. Middleton-Leal est toutefois prudent : « c’est un pas dans la bonne direction, mais je pense que nous avons besoin d’aller plus loin et de protéger de manière adéquat ces identifiants extrêmement puissants. »
Plutôt que d’attendre la survenue d’activités suspectes, les organisations devraient donc s’armer, selon lui, de la meilleure défense possible en établissant une politique de sécurité des comptes à privilèges administrée de manière centralisée. Pour Middleton-Lead, cette approche permet aux organisation de déterminer avec quelle régularité les mots de passe doivent être changés, et de permettre aux utilisateurs de définir, gérer et surveiller la robustesse de leurs mots de passe à travers une unique interface. « En simplifiant le processus de gestion des mots de passe, les équipes chargées de la sécurité, du risque et de l’audit, et les entreprises, peuvent être sûres qu’elles ne sont pas seulement conformes à PCI DSS 3.0, mais également qu’elles font tout ce qu’elles peuvent pour protéger de manière proactive les données des cartes de paiement de leurs clients. »
PCI DSS 3.0 entre en application au 1er janvier 2014, mais les commerçants n’étant pas encore conformes à la version deux du standard ont jusqu’à la fin 2014 pour travailler à la conformité avec la version 3.0.
Adapté de l’anglais par la rédaction.