Identification des Rôles et Responsabilités est la première action à faire....
Dans la suite des articles sur le maintien de la conformité PCI DSS, nous allons aborder les rôles et responsabilités de chaque profil de notre environnement PCI DSS. Ce billet n’a pas l’attention de dire il faut faire ça à tout prix mais il correspond à l’organisation des entreprises dans la majorité des cas. Il permet de détendre rapidement le sujet en réunion face à des équipes surchargés et malgré leur sensibilisation à PCI n’ont vraiment pas la capacité à se rajouter une charge de plus.
Il faudra sans doute que vous l’adaptiez par rapport à votre entreprise mais on peut dire que l’on tient 90% des acteurs. Pour ne pas réinventer l’eau chaude, je me suis appuyé sur ITIL et le fameux RACI.
Je vous propose le tableau ci-dessous avec les rôles et la description associée, je vous laisse ensuite mettre la bonne lettre par rapport à votre entreprise et son organisation. J’ai aussi pris en compte le document du PCI SSC Best Practices for Maintening PCI DSS Compliance.
| Profile | Détail du profil |
|---|---|
| Propriétaire de la donnée | Personnel ayant la responsabilité de la donnée (Métier) |
| Propriétaire du processus | Le personnel responsable de la gestion des processus, de la surveillance ou de développement. Typiquement, ils sont responsables opérationnels ou aux utilisateurs expérimentés qui savent identifier les processus liés aux composants PCI. Ces personnes peuvent être aussi bien être des gestionnaire de processus opérationnel et ou des gestionnaires de processus IT. (Vive ITIL) |
| Groupe Infrastructure | Equipes qui ont la responsabilité de construire, installer et maintenir les équipements qui compose le réseau (Switch, Firewall, Routeurs...). Ils sont aussi responsable de la collecte des logs avec leur management sur leurs équipements. |
| Groupe de développement | Equipes qui ont la responsabilité du développement du code. Ceci inclus aussi qu'ils soient habitués avec les processus internes du change management et le fait de développer dans des contextes d'architecture et d'infrastructure. Ils doivent être sensibilisés et formés à la sécurité (Durcissement du code produit suivant une méthode documenté et audit du code produit) |
| Administrateurs Systèmes | Personnel qui construit, installe et maintien les systèmes d'exploitations et qui sont responsables de ceux-ci. Ces personnes sont responsables de la gestion des serveurs, applications, postes de travail et tout autres équipements utilisés par des utilisateurs finaux. Bien entendu ils sont responsables aussi de la gestion des logs de leurs équipements. |
| Administrateurs de bases de données (DBA) | Personnel responsables des bases de données plus connue sous le nom de DBA en interne. Ce rôle inclue aussi la partie développement, maintenance et administration. Ils ont aussi la responsabilité des fichiers journaux (Log monitoring). |
| Administrateurs contrôle d'accès | Personnel responsable de l'administration des contrôles d'accès aux applications et composants de vos composants PCI DSS. Cela concerne aussi bien les utilisateurs finaux que les administrateurs (Habilitations dans mon cas). |
| Administrateurs sécurité physique | Personnel responsable de données l'accès aux locaux, data center, systèmes d'alarmes, systèmes de sécurité vidéo et zone de stockage. On est dans la sécurité physique et il faut que l'ensemble de ce personnel soit fortement sensibilisé et suivent une formation en ce sens. Ne pas négliger ce poste car on arrive à plusieurs dizaines de personnes quand on fonctionne en 24/24h. |
| Admin du Change | Personne responsable des changements dans le domaine de l'IT sur les composants PCI DSS. Cette personne ou son équipe valide que le demandeur du changement soit bien autoriser et dispose des droits pour le changement. |
| RSSO/RSSI | Personnel responsable des contrôles de sécurités et qu'ils soient bien appliqués. Cela inclus l'application des polices de sécurités (PSSI), utilisation et l'application des guides de durcissements et les bests practices proposées par le NIST et les éditeurs. Il applique le plan de réponse aux incidents et bien sure appliques les directives de contrôles sur la revue journalières des logs, les scans de vulnérabilités, les tests d'intrusions, l'intégrité des données (FIM), les sondes IDS/IPS... Retour d'expérience: Le RSSO est l'homme clé du maintien de la conformité, il doit disposer d'une équipe en adéquation avec votre périmètre PCI (scoping) et avoir une très forte motivation de la SSI. Le risque de perte de la conformité est lié à son investissement journalier. Il faut un profil fort sur ce poste. |
| Juridique | Personnel juridique responsable qui valide le contenu des contrats avec les fournisseurs. ils doivent vérifier que les sous traitants respectes les directives PCI DSS (Chapitre 12). Attention à ne pas négliger ce point car les juristes ne savent pas/ne peuvent pas travailler la veille pour le lendemain. Il faut compter en mois pour le changement sur les contrats dans le cas de grand groupe du CAC40. |
| Achats / Gestion des fournisseurs | Personnel responsable de la relation avec les sous traitants et fournisseurs de solutions sur les composants PCI (Editeurs, Intégrateurs, Constructeurs...). Ils doivent intégrer les directives PCI DSS lors du choix des prestataires et vérifier que le département juridique ait bien prévu la clause PCI dans les contrats. |
| Ressources Humaine | Personnel responsable que toutes personnes qui travaille sur le périmètre PCI DSS (salarié, nouveau salarié, intérimaire...) doivent avoir suivi une sensibilisation à PCI DSS et qu'ils soient au courant de la PSSI (localisation contenue...). |
| Audit Interne | L'audit interne a la responsabilité de faire les contrôles permanents sur les composants PCI DSS et autres. Il faut absolument utiliser l'audit interne pour le maintien de la conformité quand il est présent dans l'entreprise. Si les équipes sont réticentes, ils prennent une reco et après un missile de la DG donc c'est vraiment cool de les avoir avec vous 🙂 |
| Responsable du maintien de la conformité (RISK Compliance) | Personne responsable du maintien de la conformité PCI, il a pour responsabilité de vérifier les risques sur les changements et les décisions d'élargissement/réduction du périmètre PCI. Il est plus connu comme référent PCI DSS au sein de l'entreprise. |
Voila, avec ces différents rôles identifiés, on est prêt à faire un RACI. L’astuce est de prendre la liste des composants et d’appliquer votre template RACI PCI DSS. C’est du velours et sa roule presque tout seul 🙂
Enjoy and the force is with you
