Retour aux actualités
Article suivant Article précédent

Revue 173 - Retour d'expérience 'Target'

Articles Revue TELECOM

-

15/07/2014

Retour d’expérience ’Target’
 

PCI DSS, la différence entre

la sécurité subie

et la sécurité choisie

 


Par Thierry Chopard (1996), Pascal Chretien, Luc Delpha dans la revue TELECOM n° 173

 

Le cas Target : une catastrophe avec des antécédents

Le 19 décembre 2013, la société de distribution Target annonçait que les coordonnées de 40 millions de comptes bancaires ou de cartes de crédit avaient été dérobées lors d'un "accès non autorisé" à son système informatique entre le 27 novembre et le 15 décembre. Le 9 janvier 2014, le groupe indiquait avoir constaté, dans le cadre de son enquête sur le vol de données, que certaines informations personnelles (non bancaires) d’environ 70 millions de personnes avaient également été volées pendant l'attaque informatique de décembre, portant le nombre de clients potentiellement concernés à 110 millions.

Les conséquences pour Target ont été immédiates et dramatiques :

• baisse immédiate du cours de bourse de 10%,

• perte de chiffre d’affaire de $107 millions sur les trois premiers mois de 2014,

• perte immédiate de 45 points de notoriété en raison d’une communication confuse,

• prise en charge des fraudes subies par les clients avec l’éventualité d’une couteuse « class action ».

A ce jour, le coût total pour Target estimé par les analystes américains se situe dans une fourchette de 500 à 1000 millions de dollars. Target fait face à une centaine de procès en cours. Son prestataire en sécurité Trustwave est également assigné au tribunal pour insuffisance dans ses prestations opérationnelles de surveillance de la sécurité.

Avant Target d’autres entreprises ont été la cible d’attaques ciblées avec pour chacune des conséquences lourdes pour leur image et leur pérennité.

• En 2007 TJX Cox se fait voler 90 millions de cartes bancaires, pour un coût estimé d’un milliard de dollars.

• En 2009 c’est le tour de Heartland Payment System d’annoncer le vol de 130 millions de cartes ; l’entreprise regagnera la confiance de Visa et Mastercard en obtenant la certification PCI-DSS en 2009.

• En 2011 Sony (PlayStation Network) se fait pirater 100 millions de données bancaires pour un coût estimé de 2,5 milliards de dollars.

La fraude sur les moyens de paiements aux Etats Unis seulement coûte 11 Milliards de dollars par an. Cela revient à 0,05% des paiements pour les enseignes, ce qui est moins cher que d’investir dans la sécurité !
 

La parade : PCI DSS ?

Dès 2007, les grands réseaux VISA Mastercard, AMEX, JCB et DISCOVER créent le Council de la sécurité des données de l’industrie du paiement carte (PCI-SCC) qui va rédiger le standard de sécurité PCI-DSS. PCI DSS n’est pas une norme (comme ISO 27001) mais un standard de sécurité défini avec comme vocation d’être une ’annexe’ regroupant les conditions de sécurité communes que les réseaux imposent à leurs partenaires commerciaux (les banques et certains fournisseurs de services) par contrat dans le cadre de leurs programmes respectifs de protection des données (DSOP, AIS, SDP, etc.). L’objectif de PCI DSS est de traiter les risques créés par les compromissions massives de données dans les réseaux de cartes bancaires. PCI DSS vise donc à augmenter globalement le niveau de sécurité des données cartes bancaires dans toute l’industrie du paiement par carte. Les réseaux à travers le développement de PCI DSS veulent donc diminuer le risque systémique pour cette industrie en imposant (par le biais des chaines contractuelles et des chaines de responsabilité qui lient leurs acteurs) des mesures de sécurité. Les réseaux imposent PCI DSS aux Banques qui à leur tour imposent le standard aux commerçants avec qui elles sont en relation. Le standard dans sa version 3.0 de novembre 2013 contient 12 exigences générales qui se décomposent en environ 250 règles de sécurité et 1500 points de contrôle. Cette version insiste sur la nécessité d’intégrer les exigences de sécurité dans le cadre d’une gestion opérationnelle au quotidien de la sécurité du système d’information (« Security and Compliance is Business As Usual »).

























Les pièges d’une sécurité subie

Mais comment Target a-t-il pu subir pareille attaque en étant certifié PCI-DSS ?

Il apparaît que Target a manqué plusieurs objectifs ou « bonnes pratiques liées à PCI-DSS

• Des serveurs internes de Target ont servi de relais pour exfiltrer les données. La segmentation des systèmes informatiques traitant des données CB par rapport aux autres parties du SI n’était pas suffisante.

• La gestion des fichiers journaux n’a pas été suivie conformément à la réglementation, sinon les tentatives d’intrusion remontées par les équipements ARIBA auraient dû être détectées (manquement du prestataire Trustwave).

• La gestion des incidents et de l’escalade des alertes n’était pas en place.

• La sensibilisation des personnes était probablement insuffisante.

Suite à cette affaire, la polémique du Chip & Pin (standard EMV) est repartie aux Etats Unis et a conduit à une accélération du déploiement prévu dès 2015. Ce dispositif déjà présent en Europe apporte une meilleure sécurité, car les données sensibles sont traitées sans aucune communication sur les réseaux. Le contrôle du code confidentiel, en lieu et place de la simple signature, assure également une plus grande garantie que le porteur de la carte au moment du paiement en est bien le propriétaire.

Cela n’empêche cependant pas complétement le piratage par ’lecture silencieuse’ des données de la carte (technique utilisée sur Target). Pour cela, le standard PCI-DSS prévoit le chiffrement de bout en bout (P2PE : Point to Point Encryptions) des informations sensibles (numéro de carte notamment) pour un niveau de sécurité élevé et une réduction maximum du périmètre à risque pour les commerçants. L'accumulation des différents standards de sécurité, obligatoires et parfois incompatibles entre eux, conduit de nombreux commerçants à une sécurité « subie » c’est-à-dire cette croyance qu'en respectant à la lettre les consignes rien ne peut arriver de grave. C'est probablement ce qui a conduit Target au désastre que l'on connaît. En étant certifiée PCI DSS l'enseigne s'est délaissée de sa sécurité puisque la certification garantit que les réseaux ne mettront pas à l'amende les enseignes cible d’une attaque. Target (et ses fournisseurs) a semble-t-il commis des négligences en ne surveillant pas suffisamment son périmètre à risque et en étant défaillant sur ses procédures internes de gestion d'escalade des incidents.
 

Une autre option est la sécurité choisie

Le commerçant reste le premier responsable de sa sécurité et le premier à subir les conséquences d’une attaque.

Il doit faire sa propre analyse de risques pour déterminer au-delà de PCI DSS les mesures qu’il doit mettre en œuvre pour assurer la sécurité de ses informations. La conformité à PCI DSS doit être un prérequis de la sécurité et pas une fin en soi. La sécurité choisiereprésente un état d'esprit engageant, elle nécessite d'avoir des convictions sur ce qui est important à protéger et de mettre en œuvre les moyens pour le faire. C'est aussi de rester réaliste en gardant à l'esprit que les moyens de protection les plus sophistiqués serontun jour contournés par des individus déterminés, cela suppose donc de rester en veille mais aussi d'être préparé au pire. Bien que la sécurité des Systèmes d’information ne soit pas une science exacte il existe des leviers de prévention qui s'appuient sur les principes simples tels que retarder l'intervention, réduire la fenêtre d’exposition aux risques et se donner les moyens d'agir.

 

Les auteurs
 


Thierry Chopard (1996), Directeur Groupe du Business Development à la Banque Accord. Diplômé de Telecom Paris Tech (96), Thierry a 17 ans d’expérience d’abord dans les Télécoms, le Conseil (BCG). Il a lancé en Europe les activitésMobile pour PayPal en 2008 avant de rejoindre MasterCard en 2011. Banque Accord est une filiale du Groupe Auchan. La Banque accompagne l’activité de ses enseignes partenaires, en contribuant au développement de leur chiffre d’affaires via des moyens de paiement innovants, des solutions de financement adaptées et des outils de Gestion de la Relation Clients.







Luc Delpha, Directeur au sein du Cabinet Provadys.Responsable des activités Gestion des Risques et Sécurité des SI. Avec plus de 17 ans d’expérience dans le milieu de la sécurité des systèmes d’information, Luc intervient sur tous les sujets relatifs à la Sécurité, la Conformité et la Résilience des SI. Provadys est un cabinet indépendant, spécialisé en technologies de l’information, dans la maîtrise et la transformation des SI.









Pascal Chrétien, Responsable Groupe de la Sécurité de Systèmes d’Information (RSSI) à la Banque Accord. Ingénieur ICAMPascal a 18 années d’expérience en gestion et management de projet SI (Castorama, Kingfisher) et Audit de Système d’Information.

310 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril