Il existe pas mal de tuto sur la façon de faire un audit du coté QSA mais du coté client je n’ai rien trouvé de vraiment pratique. Je vous propose les suggestions suivantes pour bien vivre un audit PCI DSS quelque soit votre niveau de préparation ou de stress.
La première chose est d’appréhender son audit avec une bonne préparation, on ne va pas passer son bac sans avoir un minimum révisé et préparer son examen.
Dans le cas de PCI DSS c’est la même chose. La chance ne vous aidera pas et votre auditeur n’appréciera pas de voir un touriste en face de lui. Les exigences PCI ne laissent pas beaucoup de place aux amateurs et rigolos de services.
On entre dans le dur….La première chose à garder en tête pour un audit PCI:
ON NE CACHE RIEN A L’AUDITEUR !
En cas de compromission du SI, votre responsabilité ainsi que celle de l’entreprise sera TOTALE.
1. Préparation de l’audit
- Avoir préparé tous les documents et savoir ou se situent ceux-ci en cas de dépôt sur une GED/Répertoire/Sharepoint…
- Être accompagné par les sachants de l’interview pour le composant concerné (Réseau, Systèmes, Métiers).
- Être en capacité à accéder aux composants audités (Je le répète encore une fois, on ne vient pas les mains dans les poches).
- Avoir lu la PSSI et savoir ou elle se situe…
- Faire une réunion avec le Directeur de projet pour montrer sa maturité sur le sujet et mettre au point les dernières exigences en carence.
- Vous ne saurez jamais prêts…pas de panique c’est pareil pour tout le monde.
2. L’entretien (rassurez vous y en a plusieurs)
- Respecter votre auditeur, venez à l’heure, prévenez en cas d’indisponibilité.
- Soyez sure de vous, vous maitrisez votre SI.
- L’auditeur n’est pas un pote (on le vouvoie, et il veut des preuves…donc on évite fortement « je vous donne ma parole que les flux sont cryptés…la vie de ma xxxxx »).
- Disposer d’un équipement (Portable, poste de travail, console) pour avoir accès aux composants PCI.
- L’auditeur vous demandera de faire des extractions de configurations donc relax, on communique uniquement les éléments non sensibles (le fichier Password c’est non ainsi que le fichier qui contient l’ensemble des PAN en clair 🙂 )
- Petit détail mais vécu…avoir les droits de connexions sur les composants.
- Si vous ne disposez pas de l’information pas de panique, dans un audit PCI DSS on a les remédiations et on peut les communiquer à la fin de l’audit intermédiaire…
- Soyez confiant…ne faite pas la tête. C’est pas un contrôle fiscal.
3. Le recueil de preuve
- L’auditeur doit récupérer un ensemble de preuves lors des interviews. Je vous suggère fortement de mettre un partage soit un répertoire ou sharepoint voir une GED (Alfresco fait ça très bien) pour le stockage de ceux-ci.
- L’auditeur n’est pas à votre disposition. Vous devez communiquer la preuve lors de l’entretien sauf cas de force majeur (Système en production, traitement par batch, risque de plantage de la production…).
- Plus vous serez coopératif sur la récolte des preuves, plus l’auditeur sentira votre maitrise de votre SI.
- Ne pas oublier toute preuve non présentée = Non conformité de l’exigence.