La surveillance de l’intégrité des fichiers (FIM) est essentielle pour sécuriser les données et satisfaire les critères des normes de conformité. En particulier, la Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) exige que les organisations utilisent la FIM pour sécuriser leurs systèmes de vente contre le vol de cartes en détectant les modifications apportées aux fichiers système critiques. Cet article explique les conditions de la norme PCI DSS et comment être en conformité en utilisant la FIM.
Quelles sont les conditions de la norme PCI DSS ?
PCI DSS est un ensemble de normes techniques et opérationnelles conçues pour assurer la sécurité des données des titulaires de cartes. La conformité PCI DSS est exigée à toutes les organisations qui acceptent, traitent, utilisent, stockent, gèrent ou transmettent des informations de cartes de crédit.
Types de données régulées par la norme PCI DSS
La norme PCI DSS couvre deux types de données :
- Les informations de la personne titulaire, ce qui inclut le numéro de compte, le nom du titulaire, les codes de service et la date d’expiration de la carte
- Les données d’authentification sensibles, comme les données de la bande magnétique, de la puce ou équivalent, les codes PIN et PIN de blocage, et les données de vérification de la carte (CAV2/CVC2/CVV2/CID)
Conditions principales
Pour protéger ces données de mauvaises manipulations et de violations, PCI DSS inclut les 12 conditions suivantes :
- Établir une configuration sûre du pare-feu pour permettre de sécuriser les données des titulaires de cartes.
- Éviter l’usage des options par défaut des fournisseurs pour les mots de passe et autres paramètres de sécurité.
- Protéger toutes les donnés de titulaires stockées.
- Chiffrer les données du titulaire pendant la transmission sur tous les réseaux, surtout publics.
- Minimiser la vulnérabilité de tous les systèmes au malware, y compris en assurant la mise à jour régulière des logiciels antivirus.
- Développer et maintenir des systèmes et des programmes sûrs.
- Mettre en place des contrôles forts d’accès aux données qui restreignent l’accès aux données des titulaires de cartes sur la base de la nécessité de savoir.
- Détecter et vérifier l’accès aux différents composants du système.
- Restreindre l’accès physique aux données de titulaires de cartes.
- Surveiller toutes les demandes d’accès aux ressources du réseau et aux données de titulaires de cartes.
- Tester régulièrement la sécurité des systèmes.
- Créer et maintenir une politique de sécurité de l’information pour tout le personnel.
Pénalités
Les manquements à la norme PCI DSS peuvent déboucher sur des amendes et des pénalités. C’est le contrat entre le vendeur et l’organisme de paiement qui définit la taille et les termes du tarif pour une violation, qui peut atteindre 5 000 à 100 000 $ par mois. En plus de l’impact financier de ces amendes, une seule violation pourrait endommager sérieusement la réputation de votre entreprise sur le marché et conduire à des poursuites judiciaires coûteuses, voire même à la suspension de votre capacité d’accepter les cartes de paiement.
Comment la surveillance de l’intégrité des fichiers peut vous aider avec la conformité PCI DSS ?
Qu’est-ce que la surveillance de l’intégrité des fichiers ?
Les logiciels de surveillance de l’intégrité des fichiers (FIM) réalisent un suivi des modifications apportées aux fichiers système sensibles et de configuration, et alerte les équipes de sécurité en cas de modification présentant un risque de sécurité. Par exemple, une modification indue d’un fichier de configuration critique ou d’un registre, qu’elle soit délibérée ou accidentelle, pourrait permettre à des attaquants de prendre le contrôle de ressources clés du système, d’exécuter des scripts malveillants et d’accéder à des données sensibles. En conséquence, la FIM est une bonne pratique de sécurité recommandée par de nombreuses normes de conformité, y compris PCI DSS.
Dans le contexte de la conformité PCI, la surveillance de l’intégrité des fichiers peut contribuer à protéger les données sensibles des cartes de crédit. Les attaquants peuvent par exemple extraire les données de cartes de crédit en injectant un code malveillant dans les fichiers de configuration du système opérationnel. Un outil de FIM peut détecter cette modification en comparant ces fichiers avec leur version de référence. Ce processus utilise un algorithme de hachage sécurisé (SHA) qui assure que même une modification minime apportée à un fichier aboutisse à une valeur de hachage très différente de celle générée par le fichier correctement configuré, ce qui provoque une erreur dans le contrôle d’intégrité. Grâce à cela, la FIM rend quasiment impossible que l’injection de code malveillant dans les fichiers authentiques du système passe inaperçue.
Exigences PCI DSS pour la surveillance de l’intégrité des fichiers
La surveillance de l’intégrité des fichiers est l’une des conditions au coeur de la norme PCI DSS. Plus particulièrement, la condition 11.5 indique que les organisations doivent utiliser des logiciels de surveillance de l’intégrité des fichiers ou de détection de modifications pour les fichiers log, afin de s’assurer que les données du registre ne puissent pas être modifiées sans que le personnels soit alerté.
Les logiciels de surveillance des fichiers peuvent permettre aux organisations de satisfaire d’autres conditions de la norme PCI DSS, comme :
- Condition 1 : « Installer et gérer une configuration de pare-feu pour protéger les données de titulaires de carte »
- Condition 2 : « Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur »
- Condition 6 : « Développer et maintenir des systèmes et des applications sécurisés »
- Condition 10 : « Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaires de carte »
- Condition 11 : « Tester régulièrement les processus et les systèmes de sécurité »
De quel type de données doit-on surveiller l’intégrité ?
La surveillance de l’intégrité doit inclure tous les types de données suivantes :
Fichiers et bibliothèques système
Dans le système opérationnel Windows, vous devez surveiller les dossiers de fichiers et bibliothèques système suivants :
- C:\Windows\System32
- Boot/start, password, Active Directory, Exchange SQL, etc.
Si vous travaillez sous Linux, vous devez surveiller les répertoires critiques suivants :
- /trash
- /sbin
- /usr/bin
- /usr/sbin
Fichiers d’applications
Il est important de surveiller de près les fichiers d’applications telles que pare-feu, lecteur multimédia, logiciel antivirus, fichiers de configuration et bibliothèques.
Sous Windows, ces fichiers sont stockés dans :
- C:\Program Files
- C:\Program Files (x86)
Sous Linux, ces fichiers sont stockés dans :
- /opt
- /usr/bin
- /usr/sbin
Fichiers de configuration
Les fichiers de configuration contrôlent les fonctions d’un appareil et d’une application. C’est le cas par exemple du registre de Windows et des fichiers texte de configuration des systèmes sous Linux.
Fichiers log
Les fichiers log contiennent un journal d’événements, tels que les détails relatif à l’accès et à la transaction, et d’erreurs. Dans le système opérationnel Windows, les fichiers log sont stockés dans la visionneuse d’événements. Dans les systèmes basés sur UNIX, ils se trouvent dans le répertoire /var/log.
Comment Netwrix peut vous aider ?
Netwrix Change Tracker aide les organisations à accomplir et maintenir la conformité PCI DSS en permettant aux équipes informatiques de maintenir des configurations sûres pour les systèmes critiques. Cette solution peut en particulier vous aider à :
- Renforcer les systèmes critiques avec des modèles personnalisables pour différents organismes de normalisation, tels que CIS, DISA STIG et SCAP/OVAL.
- Vérifier l’authenticité de vos fichiers système critiques, en faisant le suivi de toutes les modifications qui y sont apportées et en facilitant la révision de l’historique complet de toutes les modifications.
- Détecter le malware et d’autres menaces et accélérer une réponse effective aux incidents.
- Réduire le temps et les efforts investis dans le reporting de conformité grâce à plus de 250 comptes-rendus certifiés CIS, couvrant NIST, PCI DSS, CMMC, STIG et NERC CIP.
FAQ
Quelles sont les pénalités encourues en cas de non conformité avec la norme PCI DSS ?
Les réseaux de paiement peuvent imposer des amendes allant de 5 000 à 100 000 $ par mois pour les violations de la norme PCI DSS. De plus, la réputation de votre entreprise pourrait subir des dommages irréparables, et votre commerce se voir retirer de droit d’accepter les cartes de paiement.
En surveillant l’intégrité des fichiers, les organisations s’assurent que les fichiers critiques de configuration ne soient pas modifiés sans autorisation. Utiliser une technologie de surveillance de l’intégrité des fichiers (FIM) pour renplir les conditions de la norme PCI DSS permettra à votre organisation d’éviter les violations de conformité.
Est-ce que PCI DSS exige la FIM ?
Oui. La condition 11.5 stipule que les organisations doivent mettre en oeuvre la surveillance de l’intégrité des fichiers afin de garantir que le système génère une alerte à chaque modification de fichier log.
