Être conforme à la norme PCI. OUI, c est possible!

Être conforme à la norme PCI

2

Présentation Réseau Action TI 8 mai 2013

§  Johanne Darveau

Directrice systèmes, portefeuille de projets et support applicatif Technologies de l’information

§  Clément Potvin

Directeur de la sécurité de l’information Administration

Objectif principal de notre présentation

§  Partager nos expériences à titre de gestionnaires

•  Sécurité de l’information corporative et PCI 2009-2013

•  Technologies de l’information 2010-2013

•  Atteinte de la conformité en 2013

4

Notre présentation n’est pas :

§  Une formation sur la norme PCI, ni... un tracé routier!

Profil de CAA-Québec

§  109 ans d’existence

§  Plus de 1,2 million de membres

§  Plus de 1 000 employés

§  14 centres de services, 10 centres d’immatriculation, 2 écoles de conduite, 3 bureaux administratifs et d’autres points d’affaires en développement

§  La mission :

•  CAA-Québec, organisme à but non lucratif, veut assurer sécurité et tranquillité d’esprit à chacun de ses membres ainsi qu’à ses clients en leur offrant des services et des produits de très haute qualité

dans les domaines de l’automobile, du voyage, de l’habitation et des services financiers

6

La sécurité de l’information chez CAA-Québec

§  Une préoccupation de longue date

§  Maintenant soumise à un cadre normatif réglementaire et légal, qui est différent et évolutif

§  CAA-Québec possède une image de marque de grande valeur

Mise en contexte : qui assume les risques?

§  La direction assume les risques de l’entreprise

•  Il y a un coût pour la mise en place de la sécurité de l’information, qui doit être inférieur à la valeur du risque résiduel

•  Il y a un coût pour le maintien de la sécurité de l’information, qui doit être inférieur à la valeur du risque résiduel

8

Analyse quantitative des risques

Coûts du risque en cas d’incident

Coût des mesures de sécurité

Plus de 500 000$

500 000$

250 000$

150 000$

Investissement maximal Risques

trop élevés

$$$

Mesures de contrôle trop élevées

$$$

Seuil d’acceptation du risque à décider avec la direction de CAA-Québec

Le risque et la norme PCI

§  Trois choix seulement :

•  L’évitement, cesser l’activité

•  Le transfert du risque, par exemple à Paypal

•  La réduction du risque, conformité à la norme PCI-DSS

§  Une non-conformité selon PCI-DSS ne peut faire partie de la gestion du risque, même si l’organisation l’a jugé acceptable

10

PCI-DSS 2.0, seulement un numéro de carte de crédit?

Du coupe-feu à la politique de sécurité de l’information

1. Installer et gérer une configuration de coupe-feu pour protéger les données des titulaires de cartes de crédit

2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur

3. Protéger les données des titulaires de cartes de crédit stockées

4. Crypter la transmission des données des titulaires de cartes de crédit sur les réseaux publics ouverts

5. Utiliser des logiciels antivirus et les mettre à jour régulièrement 6. Développer et gérer des systèmes et des applications sécurisés

7. Restreindre l’accès aux données des titulaires de cartes de crédit aux seuls individus qui doivent les connaître

8. Affecter un ID unique à chaque utilisateur d’ordinateur

PCI-DSS 2.0, seulement un numéro de carte de crédit?

Du coupe-feu à la politique de sécurité de l’information

crédit

10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes de crédit

11. Tester régulièrement les processus et les systèmes de sécurité 12. Gérer une politique de sécurité de l’information pour l’ensemble du

personnel

ü  12 exigences ü  330 contrôles

ü  33 pages à répondre « conforme oui ou non »

12

PCI : un chantier

§  Travailler les processus de travail conjointement avec les lignes d’affaires pour diminuer l’impact

§  Définir la portée où s’appliqueront les contrôles

§  Pour CAA-Québec, malgré les efforts de réduction de la portée, c’est toute l’organisation qui est visée :

•  Patrouilleurs, agents de voyages, employés des finances,

adhésions, assurances, boutiques, centre d’appels, le Web, etc.

•  Classeurs, salles informatiques, fichiers Excel, TPV, application de paiements du progiciel de gestion intégré, systèmes téléphoniques, etc.

Le démarrage des travaux

§  Analyse d’écart effectuée par un QSA

§  Lancement officiel par la direction

§  Création d’un comité de sécurité composé de vice-présidents et de directeurs

§  Mise en place d’un budget

§  Implication du personnel cadre (rencontres)

§  Implication du personnel des opérations (rencontres et PSSI)

§  Désignation d’un responsable des travaux par secteur

14

Organisation du travail corporatif

§  Prioriser les travaux

•  Diminuer le risque ou débuter par les travaux qui ont une durée d’implantation supérieure?

•  Tenir compte des travaux où il y a des impacts majeurs :

•  Technologies de l’information (beaucoup de détails à voir)

•  Processus d’affaires (résistance aux changements)

•  Sécurité physique de la portée PCI

Organisation du travail aux TI

§  Implication des membres de la direction TI

§  Création d’un rôle de répondant pour la norme PCI (membre de l’équipe non dédié aux opérations)

•  UN canal de communication

•  Éviter la désinformation

•  Compréhension de la norme PCI

•  Consultation auprès de la sécurité de l’information

•  Vulgarisation

•  « Gardien » de la portée

16

Organisation du travail aux TI ^(suite)

§  Personnel TI (réalité quotidienne)

•  Une trentaine d’employés

•  Opérations courantes

•  Demandes de changements

•  Projets

•  Contribution aux projets dirigés par les autres unités administratives

•  Évolution des systèmes en place

•  Pas réaliste de croire que le personnel peut être dédié à 100 % aux travaux à réaliser pour la norme PCI

Démarche

§  Découpage des travaux par catégorie

•  Infrastructure (réseau, serveurs)

•  Téléphonie

•  Postes et imprimantes (gestion des correctifs)

§  Les fournisseurs de solutions applicatives (évolution pour répondre à la norme PCI)

§  Les partenaires d’affaires (processus d’échanges d’information)

§  Les consultants (expertise)

§  Le personnel CAA-Québec (contribution aux changements requis)

18

De la théorie à la pratique

§  Compréhension des exigences : les mesures de contrôles sont précises et strictes

§  Décision sur la portée en lien avec la réalité de notre entreprise

§  Accompagnement par un expert PCI

§  Connaissance des processus actuels

§  Compréhension plus poussée des tâches, des systèmes, des outils

§  Imputabilité (responsabilités du rôle de « gardien » de solutions, de processus, de procédures, etc.)

§  Plusieurs intervenants impliqués (connaissance et compréhension à partager)

§  Élaboration des écarts

De la théorie à la pratique ^(suite)

§  Analyse des solutions à envisager (mesures de contrôles, règles administratives, etc.)

§  Choix de la solution et des moyens

§  Maturité face à la norme PCI

§  Plan d’action pour le « sprint final »

20

Défis à relever aux TI

§  C’est plus qu’un projet, c’est un changement de culture!

§  Disponibilité des ressources par rapport aux opérations courantes

§  Compréhension de la norme PCI

§  Assimilation des nouvelles règles qui découlent de la norme PCI

§  Intégration de la norme PCI dans les habitudes de travail

§  Réticence aux changements

§  Jugement personnel

§  Sécurité selon PCI, ce n’est pas un ennemi!

Réticence aux changements aux TI

§  Augmentation des tâches et responsabilités

§  Imputabilité

§  Tâches administratives

•  Gestion documentaire

•  Utilisation de l’outil amélioré

•  Documenter les actions

22

Les enjeux corporatifs

§  Sensibilisation à l’importance de la norme PCI pour CAA-Québec

§  Maintien de l’information (échanges au quotidien, répondre aux questionnements et aux requestionnements!)

§  Adhésion

§  Intégration (assimiler)

§  Continuité (suivi)

Les constats corporatifs

OPÉRATIONNEL

§  Bien saisir la portée PCI dans les termes « traite, transmet et stocke un numéro de carte de crédit »

§  Révision plus importante des processus de traitement des cartes de crédit

§  L’impact de traiter une carte de crédit par téléphone, d’enregistrer l’appel

§  L’impact de conserver le numéro de carte de crédit complet pour une utilisation ultérieure

§  Mieux quantifier les bénéfices de diminuer la portée PCI en début de projet

24

Les constats corporatifs ^(suite)

HUMAIN

§  Adaptation à une nouvelle culture en matière de sécurité de l’information

§  Demeurer actif comme agent de liaison des différents secteurs de l’organisation

§  Ne pas sous-estimer le temps requis pour rendre opérationnel un changement de processus d’affaires

§  Efforts considérables en gestion documentaire hors TI, demander à du personnel non formé pour faire de la rédaction de processus,

procédures, etc.

Les constats aux TI

§  Révision complète des processus et des façons de faire (mémoire corporative)

§  Développement d’un plan de formation en début de projet

§  Révision et définition des rôles et responsabilités de l’équipe TI pour incorporer les activités PCI

§  Expertise externe à transférer à l’interne au fur et à mesure des mandats confiés (formation progressive)

§  Efforts importants en gestion documentaire aux TI par rapport à la norme PCI (devient un avantage par l’utilité)

§  Développement de réflexes « PCI », c’est l’affaire de tous! (demandes de changements, projets, nouvelles activités, révision de méthodes, etc.)

26

OUI c’est possible!

ORGANISATION DU TRAVAIL au niveau TI

§  Définition des rôles et responsabilités de tous les membres de l’équipe TI

§  Création de nouveaux postes aux TI

•  Ajout de nouvelles tâches opérationnelles (gestion des correctifs de sécurité pour les serveurs et les postes, gestion des accès aux

systèmes, sécurisation de notre infrastructure, standardisation des procédures, etc.)

§  Impartition d’opérations courantes de sécurité de l’information (surveillance, journalisation et coupe-feu)

§  Nouveaux outils de travail

§  Nouveaux processus (gestion des changements)

OUI c’est possible!

ORGANISATION DU TRAVAIL au niveau TI

§  BUDGET

•  Expertise en sécurité (QSA, experts en sécurité, formation)

•  Ajout de nouveaux équipements et outils de sécurité ORGANISATION DU TRAVAIL au niveau corporatif

§  Suivi de projets par le comité de sécurité de l’information

§  Prises de décisions avec la participation de la direction

§  Implication du personnel des opérations

§  Suivi hebdomadaire avec le QSA

§  Rôles du directeur de la sécurité de l’information, être un auditeur

28

Conclusion

§  Ne négliger aucune des exigences, la note de la conformité à la norme PCI, c’est 100 %

§  C’est une opportunité de révision de sécurité de l’information dans l’entreprise

§  C’est du développement important dans la connaissance commune des processus d’affaires en matière de traitement de cartes de crédit

§  Garder ça simple!

§  PERSÉVÉRER!

§  Avant l’audit, ne pas oublier l’expression suivante : le diable est dans les détails!

QUESTIONS?

Merci!