Les premiers pas vers la conformité PCI DSS...suivez le guide
Depuis pas mal d’années, je me trouve confronté à chaque fois lors des démarrage de mise en conformité PCI par une question terrible « Comment appréhender PCI sans me perdre dans les dédales de la conformité avec des auditeurs QSA qui peuvent partir très très loin dans leurs délires de la conformité mais le sujet n’est pas sur ces fameux auditeurs seniors à 27 ans; je ferai un jour un billet sur cette profession…mais revenons à notre façon d’appréhender la conformité PCI DSS quand on démarre de zéro.
La genèse d’un processus de mise en conformité PCI DSS commence par la protection de la donnée carte (PAN) et elle s’adresse aussi bien au commerçants qu’aux processeurs de cartes. Le standard PCI DSS comprend 12 chapitres qui sont composés de Directives (On utilise à tors le terme exigence mais sur le fond les directives sont obligatoires car en cas d’absence d’une seule nous ne pouvons pas être conforme et encore moins certifié sur les composants choisis). Les 12 chapitres correspondent à environs 280 directives et elles s’appliquent à toutes les entreprises qui stockent, traitent ou transmettent des données cartes.
Il est exact qu’une banque n’est pas soumis à la certification PCI si elle traite uniquement les données cartes de ses agences et filiales mais le PCI SSC encourage vivement la conformité à défaut de la certification.
Les directives précisent le cadre sécuritaire des environnements de paiements et pour permettre cette conformité, nous allons procéder en trois étapes récurrentes.
- Etape 1: Evaluation du scoping, catégorisation des composants, identification des acteurs (périmètre, famille de composants, composants)
- Etape 2: Mise en conformité des composants
- Etape 3: Validation de la Conformité par un GAP Analysis/et ou Audit de certification
Etape 1: Evaluation du scoping
Cette étape permet via un inventaire des composants informatiques et la matrice des flux d’identifier les ressources qui stockent, traitent ou transmettent des données cartes (PAN). Une fois les composants identifiés nous allons procéder à leurs catégorisations pour permettre d’identifier les directives PCI DSS applicables.
Etape 2: Mise en conformité des composants
Cette deuxième étape permet après identification de mettre en conformité les composants et surtout d’identifier le RAF (Reste A Faire) pour atteindre la conformité PCI DSS. Si vous avez bien fait le job dans l’étape 1, vous verrez des progrès fulgurants sur votre projet PCI. Vos composants devront être mis à niveau (la gestion du legacy, vous allez adorer…surtout quand vous annoncerez à votre n+12 qu’il faut upgrader ces bases de données et ces milliers de GAB sous Windows XP…ouf OS/2 n’est plus présent, le mainframe, le réseau…grand moment de solitude pour le directeur de Projet PCI DSS 🙂 ).
Vous ne devez pas non plus sous estimer le rôle du QSA sur cette étape. Il doit être en mode accompagnement et conseil, si vous attendez qu’il vous explique comment faire un guide de durcissement AIX c’est juste n’importe quoi. Le QSA valide le travail des équipes par rapport aux directives PCI. Il n’est pas présent pour faire/dire quoi faire. « Erreur de débutant mon cher Watson ».
Voila vous y êtes presque, vous avez respecté les directives PCI DSS, vos composants sont tous Compliant PCI, vous avez de la doc, de la cartographie, un durcissement digne de la NSA…et vous êtes prêt pour l’étape 3…
Etape 3: Gap Analysis et Audit de certification
Cette troisième étape est aussi chronophage que la précédente, vous allez découvrir la communication de deux mondes (L’entreprise qui vit dans la vrai vie et les auditeurs QSA). La première fois est juste un cauchemar car personne ne veut rien lacher/comprendre. L’avantage du standard PCI DSS 3.0 est qu’il laisse moins d’interprétations à la discrétion de l’auditeur et des équipes.
Le GAP analysis permet d’avoir une photo de votre conformité et de son niveau de maturité, il permet quand il est effectué par la preuve et non par déclaration d’avoir une image très précise de votre niveau PCI. Il vous sert d’indicateur de GO ou No Go pour la certification. Cette étape demande un engagement fort de la part des équipes car il y aura des non conformités et on devra appliquer les remédiations avant l’audit final. Vous avez bien compris que le choix de/des auditeur(s) QSA est primordial.
Il faut travailler avec une société QSA en mode partenaire. Le QSA est votre allié dans ce projet mais il ne pourra pas valider son ROC (Rapport of Compliance) si vous avez caché/menti/pas fait la mise en conformité de votre bulle PCI DSS. Je travaille essentiellement avec une QSA compagnie américaine qui commence par V. J’ai fait appel à d’autres sociétés QSA pour des GAP Analysis et j’ai été aussi satisfait.
La société QSA c’est bien mais cela ne doit pas être votre seul critère de sélection. Ce sont les hommes qui comptent, ne pas oublier ce choix lors de votre projet. Il y a des QSA exceptionnels dans toutes les entreprises et y aussi le lot de poney qui va avec…
Pour conclure, avec c’est trois étapes, vous ne devrez plus avoir de difficultés a suivre votre projet PCI, je vous laisse découvrir les joies des budgets, comités de pilotage, gestion des ressources et contentions qui sont la vie quotidienne d’un Directeur de Projet…vous allez voir souvent la RH suite à votre visite chez les membres du Comex.
Si vous ne supportez pas la pression d’un Comex ou d’un DG changer de périmètre. La devise d’un Directeur de projet PCI DSS est Force et Robustesse avec de l’audace, encore de l’audace et toujours de l’audace.
Be cool and Enjoy 🙂