5 novembre 2012

SIEM et PCI-DSS

PCI-DSS

Les réglementations comme PCI DSS auxquelles doivent se conformer les organisations sont de plus en plus contraignantes et nécessitent un contrôle fin de la sécurité du système d’information. Un SIEM peut permettre à l’entreprise de faciliter l’atteinte de ses objectifs de sécurité.

 

Le SIEM vise à :

• Détecter des attaques (simples et complexes) en maintenant une surveillance continue du SI de l’organisation (tentative d’exfiltration de données, communication avec un serveur de C&C, etc.).
• Contrôler la conformité à des contraintes réglementaires et la politique de sécurité en détectant des anomalies ou des non-conformités.
• Répondre aux incidents et permettre des analyses de type forensics (investigation numérique) exploitant au maximum les traces (logs) récoltées.
• Améliorer son système d’archivage (configuration de la durée de rétention par équipement, garantie de l’intégrité des logs,…).
• Détecter les comportements anormaux d’utilisateurs, des serveurs, des applicatifs et du réseau.
• Élaborer des tableaux de bord de sécurité opérationnelle à destination des responsables techniques mais aussi de la direction. Cette phase nécessite la définition, en amont, d’indicateurs pertinents et réalistes à suivre.

Selon une enquête de Forrester menée en 2011, les projets de SIEM sont principalement utilisés (80 %) pour produire des rapports de conformité. Moins de 40 % des entreprises l’utiliseraient pour leurs capacités de corrélation des événements. Toujours selon Forrester, le succès du SIEM est « tiré par le standard PCI ».

Développée dans le but de renforcer la sécurité́ des données des titulaires de cartes bancaires, la norme de sécurité informatique des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI-DSS) s’applique aux entreprises qui gèrent des transactions de paiement. PCI-DSS décrit 12 thèmes de sécurité́ pour les transactions par carte bancaire et plus de 200 exigences. Elle exige notamment :

• la consignation d’informations spécifiques
• la conservation des journaux
• la mise en place de procédures d’examen quotidien des journaux

La consignation des données bancaires (et associées) est détaillée tout au long de la norme PCI-DSS et notamment dans la condition 10 relative à la consignation et à la gestion des logs. 

Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes « Les mécanismes de journalisation et la possibilité de suivre les activités des utilisateurs sont essentiels pour prévenir, détecter ou minimiser l’impact d’une altération des données. La présence de journaux dans tous les environnements permet de suivre de près, d’émettre des alertes et d’analyser les incidents éventuels. En l’absence de journaux retraçant les activités du système, il est très difficile, sinon impossible, de déterminer la cause d’une anomalie. »(1)

La condition 10 exige :

• L’examen quotidien (au minimum) des journaux de tous les composants systèmes
• La garantie de l’intégrité de ses journaux en mettant en place une surveillance de l’intégrité des fichiers et un logiciel de détection des modifications apportées aux journaux.
• Le stockage des journaux provenant des systèmes concernés pendant un an minimum.

Pour répondre à ces exigences, une démarche SIEM se présente comme une solution pertinente. De part ses fonctionnalités, il va permettre d’assurer :

• une surveillance et un contrôle en quasi temps réel de la sécurité de ses SI et notamment des logs : pour détecter des fraudes, des accès non autorisés à des données bancaires, à des modifications non autorisées, à des exfiltrations de données bancaires (et associées), permettre d’enquêter à posteriori sur des incidents de sécurité.
• la production régulière et automatique des rapports de conformité PCI-DSS qui pourront être utilisés pour le pilotage et le reporting.

Même si le SIEM n’est pas explicitement requis par PCI-DSS, ses fonctionnalités, associées à une bonne gestion des logs, permettent de répondre à de nombreuses exigences de sécurité de la norme. De plus, une démarche SIEM va permettre d’améliorer la supervision de la sécurité du système d’information en rendant l’organisation plus réactive face aux incidents et fraudes. L’approche SIEM peut conduire également, à moyen terme, de limiter les coûts globaux de contrôle, notamment en optimisant les audits (techniques ou réglementaires) grâce à un mécanisme de surveillance permanente.

Source : PCI council standards

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *