LMi-MAG 13 juin - Flipbook - Page 55
cacement le développement de cette version de la norme
de sécurité des données PCI. »
Et Edward Mao, responsable SSI et gouvernance de la
confidentialité du groupe Rakuten d’ajouter : « Nous
avions l’habitude de penser que PCI DSS était une norme
qui nous était imposée à sens unique, et c’était quelque
chose que nous ne pouvions accepter que passivement.
[...] Cependant, c’est maintenant que nous nous impliquons activement avec des experts clés de l’industrie,
créant une norme en laquelle nous croyons. »
Deux ans pour assimiler PCI DSS 4
Les organisations auront deux ans pour digérer cette
dernière version de la norme et apporter des modifications à l’actuelle PCI DSS 3.21 qui sera retirée le 31 mars
2024. Les éléments clés de la nouvelle norme incluent :
- mise à jour de la terminologie des pare-feux en matière
de contrôles de sécurité réseau pour supporter un plus
large éventail de technologies répondant à des objectifs de sécurité traditionnellement couverts ;
- extension de l’exigence 8 pour mettre en œuvre l’authentification multifacteur (MFA) pour tous les accès
à l’environnement des données de titulaire de cartes
bancaires ;
- flexibilité accrue pour les organisations de démontrer
comment elles utilisent différentes méthodes pour atteindre les objectifs de sécurité ;
- ajout d’analyses de risques ciblées pour donner aux
entités la flexibilité de définir la fréquence à laquelle
elles effectuent certaines activités, en fonction de leurs
besoins commerciaux et de leur exposition aux risques.
PCI DSS v4.0 conçu pour la mentalité zero trust
« L’un des problèmes liés à l’élaboration de la norme, telle
que PCI-DSS, est que la technologie évolue et que ce qui
était autrefois un contrôle de sécurité significatif a cessé
d’en être un », explique John Bambenek, principal chasseur de vulnérabilités chez Netenrich, spécialisé dans les
services en cybersécurité. « Les pare-feux importaient
il y a vingt ans. Vous ne pouvez pas vous en débarrasser,
mais ce que vous voulez vraiment, ce sont des contrôles
de sécurité du réseau qui peuvent faire une analyse et une
politique significatives sur une base par session, donc les
réglementations devaient être modifiées. »
Alex Ondrick, directeur des opérations de sécurité chez
BreachQuest, une société de réponse aux incidents, a
soutenu que PCI DSS v4.0 a été conçu dans un état d’esprit zero trust. « Cela offre aux organisations une flexibilité accrue pour créer et personnaliser des solutions
d’authentification en fonction de leurs besoins », a-t-il
déclaré. « Sans doute, l’ajout le plus important à PCI DSS
v4.0 est la nouvelle exigence de mise en œuvre de l’authentification multifacteur pour tous les comptes qui
ont accès aux données des titulaires de carte. Bien qu’il
s’agisse techniquement d’une bonne pratique jusqu’au
31 mars 2024, c’est une étape vers la sécurisation des
systèmes et des comptes qui accèdent aux données des
titulaires de carte. »
Une approche personnalisée nécessite
une évaluation solide des risques
Alors que les organisations peuvent attendre avec impatience la marge de manœuvre supplémentaire que leur
offrent les dispositions de personnalisation et de flexibilité de la nouvelle norme, Dan Stocker, directeur de
Coalfire fournisseur de services de conseil en cybersécurité, met en garde : « Les organisations voudront examiner attentivement leurs options de gestion des risques
dans le cadre de DSS 4.0, en particulier lorsqu’elles sont
en avance sur la technologie. L’approche personnalisée
leur donnera un grand pouvoir, mais nécessitera une
évaluation solide du risque de s’écarter de l’approche
définie. [...] De même, lorsque les exigences permettent
une mise en œuvre flexible, une analyse de risque ciblée sera nécessaire. Ces processus sont tout nouveaux
dans PCI et valent la peine d’être examinés même s’ils ne
conviennent pas à toutes les organisations. »
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/podcast-PCI-DSS
LIRE EN LIGNE
Article
cutt.ly/article-PCI-DSS
55