[PAROLES D'EXPERTS] Renforcer la sécurité AWS grâce au standard de sécurité PCI DSS

  • 8m

La norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard), mieux connue sous la dénomination PCI DSS, est un standard de sécurité mis en place par les grands acteurs de la chaîne monétique. Son but ? Augmenter la sécurité et le contrôle des informations associées au détenteur d’une carte de crédit lorsque celui-ci effectue un achat et réduire par la même occasion les possibilités d’utilisation frauduleuse de son moyen de paiement.

Vous imaginez que la mise en place de ce protocole de sécurité renforcée fait aujourd’hui partie des bonnes pratiques de l’ensemble des entreprises s’appuyant sur les moyens de paiement électroniques pour louer ou vendre leurs biens et services ? Détrompez-vous ! Comme nous pouvons le constater chez Linkbynet dans le cadre de nos interventions, en phase d’audit ou de sécurisation de nombreux systèmes TI, ce n’est malheureusement pas toujours le cas. 

 

Par Benoit Vernochet

 

pci-dss-compliant-logo-vector

 

Gestion renforcée de l’historique des journaux

Le protocole PCI DSS en question est, il est vrai, particulièrement contraignant. Il rassemble 12 conditions bien pensées et structurées à respecter à la lettre afin d’obtenir le certificat de conformité garantissant aux entreprises qui gèrent des transactions financières, la reconnaissance du Conseil des normes de sécurité PCI. À noter qu’il ne s’agit pas d’une obligation légale, mais d’un terme contractuel commun à l’ensemble des entreprises émettrices de cartes de paiement.

Dans les lignes qui suivent, nous allons vous présenter de manière simple et didactique une méthode de renforcement des contrôles de sécurité associée à l’une de ces 12 conditions, à savoir celle relative à la surveillance des accès aux ressources réseau et aux données du titulaire de la carte de paiement.

Pour cela nous allons nous attarder sur les enregistrements de l’ensemble des journaux (ou logs) associés à un processus entrant, rassemblés, classés et stockés afin d’être disponibles pour de futures analyses et vérifications. La gestion de l’historique des journaux (logs), puisque c’est de cela dont il s’agit, est particulièrement cruciale dès lors que des transactions à caractère financier sont impliquées.

 

 

Personnaliser l’excellence

Typiquement, de nombreuses implémentations et intégrations de plateformes logicielles datant du milieu des années 2010 ne répondent plus aujourd’hui aux exigences ni aux risques d’intrusions bien réels qu’encourent les entreprises. Les technologies infonuagiques ont en effet fortement évolué et, à ce titre, se faire accompagner dans le cadre d’un audit sur ses pratiques sécuritaires s’avère être un choix judicieux lorsqu’on ne possède pas en interne l’ensemble des compétences nécessaires.

Dans un premier temps, s’appuyer sur une plateforme telle que celle proposée par AWS, Amazon Web Services, constitue à l’évidence un choix judicieux tant ses standards en termes de sécurité, d’agilité, d’adaptabilité et de sécurité… sont alignés avec ses engagements en matière d’excellence.

Et si AWS propose par ailleurs un guide de bonnes pratiques pour le respect des normes PCI DSS à ses clients, chez Linkbynet, nous avons cependant souvent pu constater que ces bonnes pratiques ne sont pas toujours respectées. La charge qui pèse sur les organisations pour appliquer, voire renforcer leurs systèmes par des développements personnalisés rendus possibles par l’architecture ouverte de la plateforme, peut en effet s’avérer difficile à estimer.

Cela étant dit, en cas de faille, la responsabilité des organisations est toujours engagée. Notre conseil aux entreprises est donc de renforcer leurs systèmes en amont afin d’offrir à leurs clients la garantie que leurs pratiques respectent les normes de sécurité les plus strictes.

 

 

Dépasser la simple conservation des journaux (ou logs)

(Notre exemple est basé sur une infrastructure AWS mais la logique peut s’appliquer à n’importe quel type de fournisseur infonuagique).

 

Article Linkbynet_Renforcer la sécurité AWS grâce à PCI DSS_Image 1à

 

La plateforme AWS permet un accès à sa console de gestion via deux méthodes : une interface web ou une interface en ligne de commande (CLI, Command Line Interface, ou ILC en français). Quel que soit le mode d’accès, tout mouvement sur la console est enregistré dans AWS Cloudtrail et, dans le respect du protocole PCI DSS, les données générées automatiquement à ce stade ne peuvent être supprimées ni modifiées et leur accès est strictement réglementé.

Les données ainsi récoltées sont par la suite envoyées dans un groupe (log group) au sein duquel elles vont être stockées en ligne pendant 90 jours, soit la durée réglementaire imposée par la norme PCI DSS. Elles doivent par ailleurs être disponibles durant un an minimum (hors ligne éventuellement) pour des cas de fraudes nécessitant davantage de documentation historique.

À ce stade, si aucune initiative stratégique en matière de sécurité n’est prise, les données d’enregistrement sont écrasées et il est impossible de les traiter. Le risque de perdre de l’information capitale pour des audits sur des failles est bien réel. C’est pourquoi, chez Linkbynet, nous avons opté pour la mise en place d’un agent au niveau des instances EC2 d’AWS. Cet agent est dédié spécifiquement à la sauvegarde des historiques d’enregistrements (logs), pour une documentation et une analyse des événements optimisées.

Nous avons ensuite automatisé l’exportation de ces enregistrements toutes les 4 heures vers une solution de stockage Amazon S3. Enfin, nous avons dupliqué les données stockées que nous avons pu bloquer, grâce à la fonction Object Lock, afin d’en garantir l’intégrité. À chaque étape de cette automatisation, bien entendu, les données sont cryptées de bout en bout au moyen de clés KMS.

 

Article Linkbynet_Renforcer la sécurité AWS grâce à PCI DSS_Image 2

 

Comme vous pouvez le constater sur l’illustration, nous ne nous sommes pas limités aux journaux (logs) d’instance – ces enregistrements générés par toutes les applications fonctionnant sur des systèmes UNIX et qui sont centralisés par défaut sur AWS.

Nous avons étendu cette bonne pratique à ceux relatifs aux journaux de flux VPC (Virtual Private Cloud) – pour une capture des informations sur le trafic IP - et à ceux associés au gestionnaire de session des instances EC2. Sachant qu’il est possible de créer n’importe quel type de groupe à partir de n’importe quelle source de données.

 

Article Linkbynet_Renforcer la sécurité AWS grâce à PCI DSS_Image 3

 

Une culture d’entreprise orientée sécurité

L’intérêt de cette sécurisation et de la duplication des historiques des journaux réside dans la facilité et la rapidité d’accès aux données d’analyse. Celles-ci permettent, le cas échéant, de pouvoir retracer une intrusion, identifier des failles et des tentatives de fraudes.

Elles incitent également à la mise en place de pratiques et politiques spécifiques à l’entreprise, des alertes par exemple, afin d’anticiper des situations pouvant s’avérer catastrophiques à la fois pour les finances de l’organisation, mais aussi pour son image de marque.

Nous le constatons chaque jour, les vols d’identité, de données, les demandes de rançon…, bref, les tentatives de fraudes à finalité financières sous toutes leurs formes se multiplient. Le constater ne suffit pas et c’est la raison pour laquelle, Linkbynet s’engage au quotidien auprès de ses clients afin de les accompagner dans le renforcement de leurs protocoles de sécurité. Nous nous appuyons en cela sur les recommandations des organismes de référence et sur les acteurs technologiques les plus avancés afin d’inciter les organisations à instaurer une véritable culture sécuritaire.

 

Découvrez nos offres de Pentest & Audits

 

[PAROLES D'EXPERTS] Mise en conformité autour de la Loi 25 : une étape indispensable de la transformation des entreprises Québécoises

La protection des renseignements personnels fait depuis quelques années l’objet de nombreuses initiatives de citoyens et d’organismes étatiques dans le monde. Car les entreprises commerciales, GAFAM en tête, mais aussi de nombreux acteurs installés localement, ont eu conscience très tôt de la valeur des données personnelles qu’elles récoltaient. Elles ont ainsi longtemps pu profiter, sans contrepartie, d’un vide juridique en matière de récolte et d’usage de ces dernières qui leur a offert un avantage concurrentiel capital sur leurs marchés respectifs.

[PAROLES D'EXPERTS] Audit d'une plateforme AWS, comment attribuer les bons droits ?

La sécurité est un vieux sujet en TI mais elle prend de plus en plus d’ampleur avec les années et les cas que l’on peut entendre dans la presse spécialisée ou non ces dernières années.

Pour différentes raisons, on peut être amené à se faire auditer par un organisme externe.

Formations : Linkbynet met l’accent sur l’apprentissage des technologies Cloud Native

À l’heure où les technologies infonuagiques sont plus prisées que jamais par des organisations en quête de réduction de la complexité et des coûts associés à leurs infrastructures et à leurs applicatifs, les besoins en formation des professionnels du secteur des TI ont également progressé de manière exponentielle.