Pour la défense de PCI DSS
Les récentes attaques informatiques visant des commerçants américains posent la question de l’efficacité du standard PCI DSS. Bob Russo, directeur général du conseil PCI pour les standards de sécurité, prend sa défense.
Les vastes attaques informatiques ayant récemment visé Target, notamment, soulèvent une question : le standard PCI DSS, censé encadrer le traitement de données de cartes bancaires, montre-t-il les limites de son efficacité ? Pour Bob Russo, directeur général du conseil PCI pour les standards de sécurité, il convient de relativiser. A nos confrères de Computerworld, il explique ainsi que « chaque incident fait se déplacer le projecteur sur ce que nous faisons ». Mais pour lui, plutôt que de concentrer son attention sur PCI, il serait temps de renforcer la collaboration au sein de l’industrie : « tout le monde cherche la balle en argent ("Silver Bullet"). Mais autant que je le sache, elle n’existe pas. C’est une combinaison de personnes, de processus et de technologie. » Pas de remède miracle, donc, mais une chaîne aux maillons faibles potentiellement aussi nombreux qu’elle compte d’acteurs.
Fin 2011, dans nos colonnes, Amichai Shulman, co-fondateur et directeur technique d’Imperva, avait souligné que PCI DSS dispose que les détails de cartes bancaires doivent être chiffrés. Tout en précisant que le standard « reconnaît que certaines situations peuvent requérir la possibilité d’un accès non chiffré aux données présentes dans le système ». Chez Nomios, Arnaud Cassagne, directeur technique, soulignait alors un « certain flou » dans un standard prévoyant que cette possibilité soit « limitée aux seules personnes qui peuvent en avoir besoin ». Un flou qui avait conduit, à l’époque, l’un des membres de la rédaction à retrouver ses détails de carte bancaire complets écrits au crayon à papier sur une fiche de réservation, à la réception d’un hôtel où il avait pris une chambre pour la nuit, sur Internet.
PCI DSS 3.0, qui est entré en application le 1er janvier, et doit être adopté progressivement, tient à sa manière compte de ces faiblesses, visant à faire de la sécurité une habitude, une routine intégrée à tous les processus. C’est ainsi qu’il se concentre sur la formation à la sécurité, et notamment les mots de passe, afin d’aider chacun à comprendre que la sécurité est une responsabilité partagée.