Le PCI Security Standards Council a mis en ligne aujourd'hui une nouvelle
série de recommandations pour l'évaluation des risques dans un contexte
PCI. C’est un document assez complet en termes d’approche et de méthodologie,
des exemples et une démarche sont également proposés afin de préciser les
attentes de l’exigence PCI DSS 12.1.2. Le document a été rédigé par plus de 60
sociétés représentant banques, commerçants, QSAs et consultants
sécurité, fournisseurs de service et de technologie.Les premières itérations de l’exigence 12.1.2 a provoqué quelques mécontentements des entreprises concernées par PCI il y a quelques années. En effet certaines ne comprenaient pas l’intérêt de faire une analyse de risque alors que d’autres ne disposaient pas des compétences requises où la réalisée partiellement avec les métiers sans formalisation quelconque ni méthodologie, et la sécurité des données porteurs n’étaient que rarement couverte par l’analyse de risque.
Je vous propose à présent de partager avec vous mes commentaires sur ce nouveau document :
- Le document invite à intégrer la démarche d’analyse de risque PCI au programme de gestion des risques de l’entreprise. Je partage totalement cette recommandation car PCI ne doit pas être une démarche isolée au sein de l’entreprise mais au contraire complètement intégrée, et cela s’applique également à l’analyse de risque qui doit au minimum impliquer les métiers et l’IT et non se limiter qu’à une seule population. A noter que la sécurité des données porteurs à un impact sur l’entreprise et son image de marque,
- L’analyse de risque PCI est un axe de réduction du périmètre. L’issue d’une analyse de risque PCI permettrait d’identifier la présence de données porteurs non requises par les métiers et donc à supprimer. Les conséquences sont un impact direct sur le périmètre PCI et sa réduction,
- Le document ne recommande l’utilisation d’une méthodologie type pour l'analyse de risque mais rappel simplement les principales existantes sur lesquelles on peut à s’appuyer à savoir ISO 27005, NIST SP 800-30 et Octave. Au passage Ebios et Mehari conviennent également très bien. En revanche le PCI SSC recommande de créer sa propre méthodologie d’analyse de risque afin de l’adapter à ses spécificités métiers. Cette méthodologie devra néanmoins s’appuyer sur les grands principes de l’analyse de risque et l’état de l’art en vigueur,
- Lors de l’étape d’identification des « biens » de l’entreprise, le PCI SSC recommande une catégorisation par canaux d’acceptations (MOTO, face-to-face, e-commerce …) avec en amont l’identification du propriétaire de la donnée et de sa protection. L’approche par canaux est intéressante mais l’identification du propriétaire et de sa protection peut présenter une certaine complexité au sein d’un grand accepteur ou une banque, en effet le propriétaire de la donnée n’est pas forcément celui qui assure la responsabilité de sa protection,
- La section traitement des risques est très standard sans réel apport ou même retour d’expérience, la note suivante présente dans le document justifie ce constat : « Une analyse des risques ne peut aboutir à l’acceptation, le transfert ou le partage de risques qui aura pour conséquence une non-conformité PCI DSS »,
- Le document rappel les risques induits par les tiers, c’est un point important avec un rappel des catégories de risques auxquelles on doit s’attendre lorsqu’on on fait appel à des tiers. Les tiers peuvent « introduire, gérer et partager des risques »,
- Enfin le document fait des recommandations d’un rapport type qui devrait inclure : le périmètre de l’analyse de risque, l’inventaire des biens, les menaces, les vulnérabilités, l’évaluation des risques et son traitement, la version du rapport et un sommaire exécutif. Ce ne sont que des recommandations et non des exigences, n’hésitez pas à le rappeler à vos QSAs !
Aucun commentaire:
Enregistrer un commentaire