Pour les fournisseurs de services financiers, il est primordial de permettre un paiement pratique et transparent tout en assurant la sécurité des renseignements personnels des clients. En 2006, un groupe de fournisseurs a fondé le Payment Card Industry Security Standards Council, un forum mondial destiné à élaborer et à maintenir des lignes directrices et des normes pour sécuriser les paiements et les données des titulaires de carte. La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) du conseil regroupe ces lignes directrices et constitue une référence importante pour les organismes de services financiers qui cherchent à se conformer à PCI DSS dans un contexte de menaces informatiques croissantes.
En mars 2024, la version 4.0 de la norme PCI DSS est entrée en vigueur. Bien que certaines exigences de la version 4.0 soient entrées en vigueur immédiatement, la majorité ne seront applicables qu'à partir du 31 marsst 2025. Cela signifie que les entreprises de services financiers qui ont encore besoin de clarifications sur les exigences et la manière de les satisfaire disposent de quelques mois précieux pour renforcer et moderniser leur infrastructure de sécurité.
Ce blog a pour but de répondre aux questions les plus importantes concernant la norme PCI DSS 4.0, notamment :
- Quels sont les objectifs de cette mise à jour?
- Comment les exigences mises à jour ont-elles une incidence sur l’authentification?
- Comment une solution d’identité moderne comme Okta peut-elle aider à prendre en charge les exigences liées à l’identité contenues dans PCI DSS?
Quels sont les objectifs de la norme PCI DSS 4.0 ?
PCI DSS 4.0 a été élaboré pour faire progresser l’objectif déclaré du PCI Security Standards Council, qui est de protéger les renseignements personnels des consommateurs dans le contexte de l’utilisation des cartes de paiement dans les environnements numériques. Alors que les versions précédentes de PCI DSS étaient remplies de normes et de règles rigoureuses pour la sécurité des paiements, le virage radical vers le commerce électronique pendant et après la COVID-19 a exposé des vulnérabilités persistantes qui devaient être corrigées, en particulier dans un environnement caractérisé par la montée des cyberattaques.
Les objectifs de la norme PCI DSS 4.0 se répartissent en quatre grandes catégories.
|
OBJECTIFS DE LA NORME PCI DSS 4.0 | |||
|
Répondre aux besoins de sécurité du secteur des paiements |
Promouvoir la sécurité en tant que processus continu |
Accroître la flexibilité pour différentes méthodes d’atteinte de la sécurité |
Améliorer les méthodes et procédures de validation |
|
Le paysage des menaces a considérablement évolué au cours des dernières années, ce qui signifie que la norme PCI DSS doit s'adapter en utilisant des exigences nouvelles ou élargies concernant l'authentification multifacteur (MFA), les mots de passe, le commerce électronique et la résistance au phishing. |
Une sécurité efficace n’est pas une tâche ponctuelle ; c’est une pratique continue. PCI DSS vise à résoudre ce problème grâce à des exigences détaillées (chacune avec des rôles et des responsabilités clairement attribués) et à des conseils solides sur la mise en œuvre. |
Permettre différentes voies vers une sécurité renforcée stimule l'innovation et l'adoption généralisée. La norme PCI DSS vise à soutenir ces objectifs par le biais d'analyses de risques ciblées, d'approches personnalisées et d'options supplémentaires pour atteindre les objectifs de sécurité par le biais de méthodes innovantes. |
Des options claires de validation et de production de rapports assurent la transparence et l’exactitude granulaire des fournisseurs de services financiers. PCI DSS vise à accroître l’harmonisation entre l’infrastructure de sécurité des organisations et le portrait complet de cette infrastructure détenue par les autorités de réglementation. |
Comment les exigences d’authentification ont-elles été mises à jour?
Un domaine de changement important au sein de PCI DSS 4.0 concerne l’authentification, qui consiste à s’assurer qu’un utilisateur donné est bien celui qu’il prétend être et à autoriser l’accès aux documents sensibles en conséquence. Il s’agit d’un résumé de haut niveau des principaux changements liés à l’authentification contenus dans la version mise à jour de PCI DSS 4.0.
- L’AMF est désormais une exigence pour les réseaux internes et externes.
- La longueur minimale des mots de passe est maintenant de 12 caractères (contre un minimum de 7 caractères auparavant).
- En l’absence de capacités d’AMF, les mots de passe doivent maintenant être mis à jour tous les 90 jours afin d’atténuer la menace de vol d’informations d’identification.
- Les comptes partagés et génériques sont désormais autorisés pour les organisations qui ont mis en œuvre une gestion des accès privilégiés.
Un examen plus approfondi : Exigence 8 et AMF
PCI DSS 4.0 contient 13 exigences générales, dont une qui porte exclusivement sur l’identité. L’exigence n 8 oblige les organismes à attribuer une identité unique à chaque « personne ayant accès », en s’assurant que les actions liées aux données et aux systèmes essentiels sont exécutées par des utilisateurs connus et autorisés, et peuvent leur être attribuées.
Sauf indication contraire, ces exigences s’appliquent à tous les comptes, y compris les comptes de point de vente, les comptes administratifs et tous les comptes utilisés pour consulter les données des comptes de paiement ou y accéder. Ces exigences ne s’appliquent pas aux comptes utilisés par les consommateurs (titulaires de carte).
Okta prend en charge la conformité à tous les aspects de l’exigence 8. En fait, pour chaque sous-section, Okta possède au moins une capacité qui prend en charge une authentification plus forte et plus sécurisée.
|
Sous-section |
Exigence |
Capacités et avantages d’Okta |
|
8.1 |
Les processus et les mécanismes d'identification des utilisateurs et d'authentification de l'accès aux composants du système sont définis et compris. |
Okta Identity Governance fournit une solution unifiée qui améliore la posture de sécurité d'une organisation tout en améliorant la gouvernance des accès, ce qui permet de garantir que les bons utilisateurs peuvent accéder aux bonnes ressources au bon moment. De nombreuses entreprises n’ont pas de transparence en ce qui concerne la prolifération de l’identité et de l’accès dans leur organisation. Il est donc difficile pour les équipes de sécurité de vérifier si les contrôles sont mis en œuvre correctement, car elles manquent de visibilité approfondie et d’analyse des risques dans les environnements infonuagiques et SaaS complexes. C’est pourquoi Okta a lancé Okta Identity Security Posture Management. |
|
8.2 |
L'identification des utilisateurs et les comptes associés pour les utilisateurs et les administrateurs sont strictement gérés tout au long du cycle de vie d'un compte. |
Okta Lifecycle Management automatise le provisionnement et le déprovisionnement des utilisateurs dans les applications et les répertoires infonuagiques afin de gérer l’identité et l’accès des utilisateurs dans un emplacement central. |
|
8.3 |
L'authentification forte pour les utilisateurs et les administrateurs est établie et gérée. |
Adaptive MFA utilise une authentification forte pour protéger l'accès aux ressources avec au moins deux facteurs d'authentification à haute assurance, y compris desfacteurs résistants au phishing, permettant aux organisations d'appliquer avec flexibilité leurs politiques d'authentification pour répondre à leurs besoins et exigences. |
|
8.4 |
L’AMF est mise en œuvre pour sécuriser l’accès à l’environnement de données des titulaires de carte (CDE). | |
|
8.5 |
Les systèmes d’AMF sont configurés pour empêcher l’utilisation abusive. | |
|
8.6 |
L'utilisation des comptes d'application et de système et des facteurs d'authentification associés est strictement gérée. |
Présentation des fonctionnalités : Okta Privileged Access Management
Afin de soutenir les deux objectifs que sont le renforcement de la sécurité et la possibilité d'utiliser des méthodes plus flexibles pour y parvenir, la norme PCI DSS 4.0 autorise les organisations à créer des comptes de groupe partagés et génériques si et seulement si elles ont mis en œuvre Privileged Access Management.
Okta Privileged Access permet aux administrateurs de sécurité de contrôler l'accès exclusif aux ressources privilégiées telles que les serveurs. Il vous permet également de limiter l'utilisation des comptes partagés, de fournir un accès élevé pour une période donnée et d'utiliser des certificats éphémères au lieu d'identifiants et de mots de passe. En outre, vous pouvez étendre la MFA dans le cadre de la politique d'accès à ces ressources. Cette couche de sécurité basée sur l'identité permet de déterminer la responsabilité individuelle au sein des comptes privilégiés partagés, ce qui renforce la sécurité de ces ressources privilégiées.
Pleins feux sur la capacité : Okta Identity Security Posture Management
La prolifération des identités et des accès est devenue une surface d'attaque vaste et non gérée, truffée d'utilisateurs partiellement désactivés, d'identités surprovisionnées et d'autorisations inutilisées et risquées.
Cette réalité précaire expose les organisations à un accès malveillant par hameçonnage ainsi qu’au vol d’informations d’identification et à la prise de contrôle de comptes, ce qui épuise le temps et les ressources des équipes de sécurité chargées de les protéger.
Notre solution est une offre unique et rationalisée qui automatise la visibilité, la gestion et la correction des identités. Elle offre un « guichet unique » pour identifier et hiérarchiser les risques liés à l'identité. En outre, les capacités de contextualisation inégalées du produit relient tous les comptes d'utilisateurs à leurs privilèges, activités et étapes requis dans le cycle de vie des employés afin d'atténuer les menaces et de contribuer à garantir la conformité. Cela inclut l'identification des comptes qui ont un accès élevé et de ceux qui n'ont pas de MFA configurée.
Okta : votre arme secrète pour suivre l'évolution de la réglementation
Les fournisseurs de services financiers ont jusqu’au 31 mars2025 pour satisfaire aux exigences ci-dessus, ce qui signifie qu’il ne reste plus beaucoup de temps pour faire progresser la maturité de leur infrastructure de sécurité dans l’ensemble. Les solutions Okta peuvent jouer un rôle essentiel dans cette progression, en sécurisant et en modernisant votre fonction d’identité afin de respecter les normes de l’industrie et de protéger les renseignements des clients.
Si vous cherchez des conseils sur la façon d’améliorer la maturité de votre identité, communiquez avec notre équipe pour une évaluation.
Avis de non-responsabilité : Ces documents et toutes les recommandations qu’ils contiennent ne constituent pas des conseils juridiques, de confidentialité, de sécurité, de conformité ou commerciaux. Ces documents sont fournis à titre d’information générale seulement et peuvent ne pas refléter les plus récents développements en matière de sécurité, de confidentialité et de droit, ni tous les enjeux pertinents. Il vous incombe d’obtenir des conseils juridiques, de sécurité, de confidentialité, de conformité ou commerciaux auprès de votre propre avocat ou autre conseiller professionnel et vous ne devez pas vous fier aux recommandations contenues dans les présentes. Okta n’est pas responsable envers vous des pertes ou des dommages qui pourraient résulter de votre mise en œuvre de toute recommandation contenue dans ces documents. Okta ne fait aucune déclaration, garantie ou autre assurance concernant le contenu de ces documents. Vous trouverez des renseignements concernant les assurances contractuelles d’Okta à ses clients à l’adresse suivante : okta.com/agreements.
