PCI DSS

PCI DSS – Répondre à un incident de sécurité

by  • 

Comment le PCI SSC nous demande de répondre à un incident de sécurité

pciDepuis quelques années maintenant, nous voyons dans la presse des incidents de sécurité qui sortent dans les médias. Je me suis posé la question « suis je bien préparé pour répondre dans le cas de PCI ? »

Bien sur, lors des audits nous avons des processus, des incidents, des traces…mais en cas de compromissions sommes nous vraiment en mesure de faire face ?

Je vous propose à travers ce billet de revoir le traitement des incidents de compromission de la donnée carte sur PCI DSS.

La préparation en cas de compromission est un élément majeur de réussite. La crise résultant de cette compromission ne peut se préparer à l’arrache. Dans le cadre de PCI DSS, nous allons devoir faire appel à des PFIs (Payment Card Industry Forensic Investigator) pour nous permettre de faire le postmortem ainsi que les investigations pour le Council et les aspects légaux.

Notre plan de bataille en 5 points

Mettre en oeuvre un plan de réponse aux incidents

Le plan de réponse aux incidents fait partie de l’exigence 12.10 qui précise que nous devons être en mesure de répondre immédiatement à un incident de sécurité.La directive 12.10 précise que l’ensemble des acteurs doivent connaitre, maitrisé et savoir appliqué le plan de réponse par rapport à leurs périmètres; cela inclue un test annuel pour s’assurer que l’ensemble de l’organisation maitrise les processus et que les documents soient à jour. Les scénarios sont aussi testés et mis à jour lors de cette revue annuelle.

Le plan de réponse aux incidents est votre fil rouge en cas de compromission. Il est le garant de ne pas faire n’importe quoi sous pression de la part de votre hiérarchie, de vos clients et fournisseurs.

L’implémentation d’un plan d’incident est la meilleure préparation et réponse en cas de compromission.

Limité l’exposition des données à la menace

Limité l’exposition des données à la menace ainsi que la perte de celle-ci sont une priorité. Il faut se mettre en position de conserver le maximum de preuves lors de votre incident de sécurité. La conservation des fichiers journaux, isoler les machines du réseau, en cas de mise hors tension, ne pas la redémarrer sans les précautions d’usages. Il faut se mettre en relation dès le début de la constatation de l’incident avec notre prestataire qualifié PFI pour se mettre en ordre de marche pour garder le maximum de preuves.

Alerter et informer ses partenaires (Business Partners)

Nous devons alerter l’ensemble des partenaires lors de la compromission le plus rapidement possible. Dans la conception de votre plan de réponse aux incidents, vous devez avoir une fiche contact partenaires pour permettre la remontée d’alerte/d’information structuré et controlé. Les partenaires sont identifiés comme les schemes (Payment Brand), les banques et toutes entités qui transportent, stockent, traitent des données sensibles sur le périmètre compromis.

Challenger les fournisseurs sur les aspects contractuels

Nous devons aussi vérifier que l’ensemble des acteurs externes que ce soient les hébergeurs, les intégrateurs, les services providers ou encore les revendeurs disposent aussi d’un plan de réponse aux incidents en correspondance avec les exigences PCI. Le contrat doit inclure les mesures et actions prévus pour conserver les preuves en cas de compromission et bien entendu l’accès aux prestataires PFI de l’ensemble des informations aussi bien logique que physique.

Et bien sur identifié un prestataire certifié PFI

Cela peut sembler bateau mais chaque PFI dispose de compétence bien défini et vous ne pouvez pas choisir une société qui vous accompagne sur PCI et lui demander aussi d’être votre forensic provider en cas de compromission. Chaque entreprise PFI dispose de consultants spécialisés et identifiés. C’est la responsabilité de l’entreprise cliente de vérifier que le PFI retenu soit bien en mesure d’intervenir. En cas de litigie, les réseaux de paiements peuvent demander à utiliser un prestataire certifié PFI de leur choix.

Dans un prochain billet, je vous parlerai des engagements des prestataires Forensic PCI (PFI).

Enjoy PCI and be cool… 🙂