Les normes sont souvent imposées de force aux industries qu'elles régissent, mais cela ne semble pas être le cas avec la dernière version de la norme mondiale de sécurité des données du PCI Data Security Council. Selon le conseil, au cours des trois années qu'il a fallu pour élaborer la dernière version 4.0 de la norme PCI DSS (Payment Card Industry Data Security Standard), plus de 200 organisations ont participé à sa conception en apportant plus de 6 000 ajouts. « Le secteur a eu une visibilité et un impact sans précédent sur le développement de PCI DSS v4.0 », a lancé Lance Johnson, directeur exécutif du PCI SSC. « Nos parties prenantes ont fourni des contributions substantielles, perspicaces et diverses qui ont aidé le conseil à faire progresser efficacement le développement de cette version de la norme de sécurité des données PCI ».
Et Edward Mao, responsable SSI et gouvernance de la confidentialité du groupe Rakuten d'ajouter : « Nous avions l'habitude de penser que PCI DSS était une norme qui nous était imposée à sens unique, et c'était quelque chose que nous ne pouvions accepter que passivement [...] Cependant, c'est maintenant que nous nous impliquons activement avec des experts clés de l'industrie, créant une norme en laquelle nous croyons ».
2 ans pour assimiler PCI DSS 4
Les organisations auront deux ans pour digérer cette dernière version de la norme et apporter des modifications à l'actuelle PCI DSS 3.21 qui sera retirée le 31 mars 2024. Les éléments clés de la nouvelle norme incluent :
- Mise à jour de la terminologie des pare-feux en matière de contrôles de sécurité réseau pour supporter un plus large éventail de technologies répondant à des objectifs de sécurité traditionnellement couverts ;
- Extension de l'exigence 8 pour mettre en œuvre l'authentification multifacteur (MFA) pour tous les accès à l'environnement des données de titulaire de cartes bancaires ;
- Flexibilité accrue pour les organisations de démontrer comment elles utilisent différentes méthodes pour atteindre les objectifs de sécurité ;
- Ajout d'analyses de risques ciblées pour donner aux entités la flexibilité de définir la fréquence à laquelle elles effectuent certaines activités, en fonction de leurs besoins commerciaux et de leur exposition aux risques.
PCI DSS v4.0 conçu pour la mentalité zero trust
« L'un des problèmes liés à l'élaboration de la norme, telles que PCI-DSS, est que la technologie évolue et que ce qui était autrefois un contrôle de sécurité significatif a cessé d'en être un », explique John Bambenek, principal chasseur de vulnérabilités chez Netenrich, spécialisé dans les services en cybersécurité. « Les pare-feux importaient il y a 20 ans. Vous ne pouvez pas vous en débarrasser, mais ce que vous voulez vraiment, ce sont des contrôles de sécurité du réseau qui peuvent faire une analyse et une politique significatives sur une base par session, donc les réglementations devaient être modifiées ».
Alex Ondrick, directeur des opérations de sécurité chez BreachQuest, une société de réponse aux incidents, a soutenu que PCI DSS v4.0 a été conçu dans un état d'esprit zero trust. « Cela offre aux organisations une flexibilité accrue pour créer et personnaliser des solutions d'authentification en fonction de leurs besoins », a-t-il déclaré. « Sans doute, l'ajout le plus important à PCI DSS v4.0 est la nouvelle exigence de mise en œuvre de l'authentification multifacteur pour tous les comptes qui ont accès aux données des titulaires de carte. Bien qu'il s'agisse techniquement d'une bonne pratique jusqu'au 31 mars 2024, c'est un une étape vers la sécurisation des systèmes et des comptes qui accèdent aux données des titulaires de carte. »
Une approche personnalisée nécessite une évaluation solide des risques
Alors que les organisations peuvent attendre avec impatience la marge de manœuvre supplémentaire que leur offrent les dispositions de personnalisation et de flexibilité de la nouvelle norme, Dan Stocker, directeur de Coalfire fournisseur de services de conseil en cybersécurité, met en garde : « les organisations voudront examiner attentivement leurs options de gestion des risques dans le cadre de DSS 4.0, en particulier lorsqu'elles sont en avance sur la technologie. L'approche personnalisée leur donnera un grand pouvoir, mais nécessitera une évaluation solide du risque de s'écarter de l'approche définie [...] de même, lorsque les exigences permettent une mise en œuvre flexible, une analyse de risque ciblée sera nécessaire. Ces processus sont tout nouveaux dans PCI et valent la peine d'être examinés même s'ils ne conviennent pas à toutes les organisations ».