Blogue

Conformité PCI-DSS : faites vos jeux

Cogeco Peer 1

juillet 09, 2012

Share:    

Dans la foulée de son colloque sur « Les Enjeux de la norme PCI-DSS » organisé mi-juin à Paris, la société d’hébergement et d’infogérance NetBenefit a édité un jeu de cartes intitulé « Obtenez votre certification PCI-DSS ».

Construit sur le principe du célèbre « Mille bornes » créé par Edmond Dujardin en 1954, ce « jeu de société » se compose de 98 cartes et convient pour des parties de deux à six concurrents.

Au début de la partie, chaque participant reçoit 7 cartes tirées de façon aléatoire. Le premier joueur tire ensuite une carte dans la « pioche » et en dépose une soit dans le sabot, soit devant lui, soit devant un adversaire, chaque « main » devant toujours être composée de 7 cartes. Tour après tour, chaque joueur étale devant lui les points de certification qu’il acquiert au fil de la partie – des valeurs de 25, 50, 75, 100 et 200 – le but de la compétition étant de cumuler au moins 1000 points afin d’obtenir sa certification PCI-DSS. Mais la progression des joueurs est évidemment entravée par des attaques (carte rouge) – limite de progression, arrêt serveur, injection SQL, données compromises, infection virale – auxquelles ont peut opposer des parades (carte verte) – éradication du virus, données protégées, patch applicatif – ces deux catégories étant récoltées durant le jeu au fil des tours et des tirages de cartes.

Les participants peuvent également récolter un bouclier (orange) – bouclier « NetBenefit », antivirus, mises à jour de sécurité, pare-feu – qui leur assurent l’immunité contre chacun des menaces ciblées. Lorsqu’une attaque n’est pas parée, la progression du joueur est stoppée.

Pour expliquer cette initiative, les responsables de NetBenefit indiquent que la sécurisation des transactions bancaires est devenue un enjeu tellement fondamental qu’il est nécessaire d’activer tous les moyens de communication possibles pour faire passer le message. Les colloques réunissant des spécialistes directement impliqués dans la certification PCI-DSS sont essentiels car ils permettent des échanges d’expériences fructueux et constructifs. Mais cela n’interdit nullement des démarches plus ludiques à vocation pédagogique et dont le but est de faire prendre conscience qu’il faut toujours anticiper la menace et se prémunir en se dotant des moyens appropriés avant que la catastrophe ne se produise.

Dans l’infographie reproduite ci-dessous, qui décorerait à merveille un tapis de jeu, l’hébergeur et infogérant NetBenefit enfonce le clou au travers de quelques aphorismes très sensés :

1/ Se mettre en conformité avec les directives concernant la sécurité des données des titulaires de cartes ? Ca demande trop de travail ! Les failles de sécurité sont en constante augmentation, rendant la probabilité d’une attaque quasi certaine

2/ Gérer une politique de sécurité des informations pour l’ensemble du personnel !

3/ Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur !

4/ Qui a mis du désordre dans la base de données ? Toutes les activités des « administrateurs-utilisateurs » doivent être enregistrées pour assurer la sécurité du système !

5/ Ne déléguez pas trop ! Obtenir un statut de conformité à la norme PCI est une entreprise majeure qui a besoin d’être gérée au niveau du conseil d’administration avec l’appui de plusieurs actionnaires !

6/ Protéger les données de titulaires de cartes stockées !

7/ Les codes CVC et PINs ne peuvent pas être stockés, même s’ils sont cryptés !

8/ Vous vous êtes occupés des serveurs Windows mais qu’en est-il de la partie Linux de votre système ? Tous vos systèmes d’exploitation et anciens systèmes doivent être mis aux normes. Peut-être est-il temps de consolider votre infrastructure !

9/ Les normes PCI sont réservées aux grandes entreprises. Beaucoup de fournisseurs de services refusent de travailler avec des vendeurs qui ne comptent pas se mettre en conformité avec les normes PCI

10/ Il faut utiliser des logiciels anti-virus et les mettre à jour régulièrement !

11/ Il ne faut développer et gérer que des systèmes et des applications sécurisées !

12/ Il faut installer et gérer une configuration de « firewalls » pour protéger les données des titulaires de cartes !

13/ Oups, vous avez oublié de procéder à votre scan trimestriel du réseau. Ceci peut compromettre votre statut de conformité à la norme PCI-DSS !

14 Affecter un ID unique à chaque utilisateur d’ordinateur !

14/ Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts !

15 Tous les assesseurs de sécurité qualifiés (QSA) se ressemblent n’est-ce pas ? Sélectionner un QSA qui répond aux besoins de votre entreprise est crucial.

16/ Tester régulièrement les processus et les systèmes de sécurité !

Le jeu de cartes « Les Enjeux de la norme PCI-DSS » est disponible sur simple demande auprès de NetBenefit : contact@netbenefit.com, n’hésitez pas à nous écrire en nous indiquant vos coordonnées postales pour recevoir le votre !


Contactez-nous

Vous aimeriez savoir comment tirer le maximum de votre infrastructure de données ? Contactez l’un de nos experts en solutions d’infrastructure dès aujourd’hui et découvrez ce qu’Aptum peut faire pour vous !

Obtenir un devis