Qu’est-ce que la norme PCI DSS ?
La norme PCI DSS est une norme de sécurité informatique qui s’applique aux organisations stockant et traitant des données de cartes bancaires, son but étant de renforcer la sécurité des données des titulaires de cartes.
La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité informatique qui s’applique aux organisations stockant et traitant des données de cartes bancaires. Son but est de renforcer la sécurité des données des titulaires de cartes pour protéger leurs informations et prévenir les fraudes. Pour ce faire, la norme prévoit un renforcement des contrôles des environnements où ces données sont stockées, traitées ou transmises. De nombreuses entreprises sont concernées : retailers, points de vente (dans n’importe quel secteur), services de paiement en ligne, banques qui émettent des cartes bancaires, fournisseurs offrant des services cloud de paiement en ligne, etc.
Pour respecter la norme PCI DSS, un certain nombre de mesures doit être adopté. La PCI DSS 3.0 exige ainsi l’application d’environ 300 mesures réparties en 12 catégories, comme le montre le tableau suivant :
Toutes les entreprises impliquées dans le stockage, le traitement ou la transmission de données de cartes bancaires sont tenues de se conformer à la norme PCI DSS. Elles doivent se soumettre à une évaluation qui examine toutes les composantes du réseau interagissant avec ces environnements de stockage et de traitement. Certains secteurs d’activité sont étroitement surveillés par le PCI Security Standards Council (SSC), qui se montrera intransigeant sur les types de technologies et de produits à utiliser, et la manière de les déployer. Les autres secteurs, en revanche, ont carte blanche pour choisir l’approche ou la structure qui garantiront leur conformité.
Segmentation réseau
Parmi les méthodes adoptées pour développer et implémenter une sécurité des informations conforme, la segmentation réseau fait figure de bonne pratique, car elle réduit considérablement le coût et la complexité de la mise en conformité. Cette pratique permet d’isoler les données de cartes bancaires dans des serveurs ou des pans spécifiques du réseau, réduisant ainsi les zones soumises à la norme PCI DSS. Le résultat se traduit par une réduction drastique…
- Des coûts d’évaluation de la conformité
- Des coûts d’implémentation et de maintenance de la conformité
- Des efforts mobilisés pour développer et appliquer les politiques de sécurité
- Des risques pour l’entreprise de par une exposition minimale des données de cartes bancaires et un contrôle simplifié du segment
- Des coûts d’analyse forensique en cas d’incident grâce à la simplicité de la localisation et de l’investigation du trafic
Économique et facile à implémenter, la segmentation réseau contribue à créer un réseau ultrasécurisé pour un coût bien inférieur aux autres solutions. Sans segmentation, c’est l’ensemble du réseau qui est soumis à l’audit PCI et qui est exposé au risque. Les deux schémas suivants comparent un réseau non segmenté à un réseau segmenté :
Le schéma de gauche présente un réseau « à plat » qui est soumis en intégralité à l’audit PCI. Sur le schéma de droite, les données de cartes bancaires sont isolées dans une zone de sécurité à laquelle seuls des utilisateurs autorisés peuvent accéder. Palo Alto Networks offre une plateforme de sécurité qui permet justement aux entreprises de créer des zones de sécurité contenant toutes les informations et tout le trafic concernés. Les administrateurs contrôlent ainsi, à un niveau très granulaire, les politiques de sécurité associées aux applications, utilisateurs et contenus. Seul le trafic autorisé peut circuler dans chaque zone de sécurité.