Sécurité vs Conformité à l’exigence PCI DSS 8

Il y a quelques semaines, je parlais avec l’un de mes collègues de toute la conversation sécurité vs conformité. Jusque-là, je tenais pour prémisse que la conformité ne fait pas grand-chose pour la sécurité. En réplique à ma déclaration, il a posé la question rhétorique : « Où seraient ces entreprises, du point de vue de la sécurité, sans conformité? »

Oui, la conformité est le minimum que vous devez faire pour vous défendre contre les attaques; cependant, si vous vous plaignez de devoir vous conformer, rien ne vous empêche de vous concentrer sur des contrôles informatiques plus puissants.

Dans cet article de blog, je veux prendre un moment et discuter de certaines des nuances manquées de l’exigence PCI DSS 8, qui est essentiellement axée sur la gestion des mots de passe; mais, souvent argumenté n’est pas assez sécurisé. Il y a souvent quelques informations négligées qui y sont fournies que j’aimerais faire la lumière. Et, en restant avec le thème, si ces contrôles ne sont pas assez forts, n’hésitez pas à augmenter le niveau de contrôle.

Les points les plus fins de l’exigence PCI DSS 8

Lorsque nous examinons le préambule de la section 8 de la norme PCI DSS, il définit l’applicabilité de cette exigence. Ce qui est intéressant, c’est que ces exigences de mot de passe ne s’appliquent pas à tous les utilisateurs, même si beaucoup le supposent.

Voici ce texte contenu dans la section note du préambule :

Note: Ces exigences s’appliquent à tous les comptes, y compris les comptes de point de vente, dotés de capacités administratives et à tous les comptes utilisés pour consulter ou accéder aux données du titulaire de carte ou pour accéder aux systèmes contenant les données du titulaire de carte. Cela inclut les comptes utilisés par les fournisseurs et d’autres tiers (par exemple, pour le support ou la maintenance). Ces exigences ne s’appliquent pas aux comptes utilisés par les consommateurs (par exemple, les titulaires de carte). Toutefois, les exigences 8.1.1, 8.2, 8.5, 8.2.3 à 8.2.5 et 8.1.6 à 8.1.8 ne sont pas destinés à s’appliquer aux comptes d’utilisateurs d’une application de paiement au point de vente qui n’ont accès qu’à un seul numéro de carte à la fois afin de faciliter une seule transaction (tels que les comptes de caissier).

En bref, il existe de nombreuses exigences de mot de passe qui ne s’appliquent pas aux personnes qui manipulent une carte à la fois, comme un caissier et, fait intéressant, même peut-être le personnel du centre d’appels. Si le membre du personnel a seulement la possibilité d’entrer les données du titulaire de carte et ne peut pas les visualiser, du point de vue de l’application, plusieurs contrôles ne sont pas applicables. C’est un domaine où vous pouvez aller au-delà pour augmenter votre posture de sécurité. Lorsque vous en êtes capable, assurez-vous que ces contrôles sont mis en œuvre pour toutes les personnes.

Bien que cela ne soit pas une exigence de la norme PCI DSS, je vous recommande de prendre le temps et d’effectuer une évaluation formelle des risques. Cela garantira que la non-mise en œuvre de ces contrôles pour ce type de compte n’entraîne pas de charge excessive pour vos données. Vous pouvez également aller au-delà et établir des contrôles pour les types de comptes d’utilisateurs susmentionnés auxquels il ne s’applique pas.

Définition des critères de mot de passe

Ensuite, nous avons un langage dans la section d’orientation de l’exigence 8.2.3. Plus précisément, 8.2.3 stipule :

8.2.3 Les mots de passe / phrases de passe doivent répondre aux exigences suivantes:

  • Nécessite une longueur minimale d’au moins sept caractères.
  • Contiennent des caractères numériques et alphabétiques

Alternativement, les mots de passe / phrases de passe doivent avoir une complexité et une force au moins équivalentes aux paramètres spécifiés ci-dessus.

Et la section d’orientation de cette exigence indique:

Cette exigence spécifie qu’un minimum de sept caractères et des caractères numériques et alphabétiques doivent être utilisés pour les mots de passe/phrases de passe. Dans les cas où ce minimum ne peut être atteint en raison de limitations techniques, les entités peuvent utiliser une « force équivalente » pour évaluer leur alternative. Pour plus d’informations sur la variabilité et l’équivalence de la force des mots de passe (également appelée entropie) pour les mots de passe / phrases de passe de différents formats, reportez-vous aux normes de l’industrie (par exemple, la version actuelle de la norme NIST SP 800-63.)

Alors qu’est-ce que tout cela signifie? Permettez-moi de commencer par dire qu’un mot de passe à 7 caractères peut être compromis en un rien de temps si le hachage a été capturé. Si vous n’êtes pas au courant de ce à quoi cela ressemble, prenez le temps de faire des recherches sur les tables arc-en-ciel.

Je recommande personnellement des mots de passe d’au moins 15 caractères. La raison pour laquelle il n’y a qu’une exigence de 7 caractères est que la PCI DSS doit s’adapter aux environnements et systèmes hérités. 7 caractères sont-ils sécurisés ? Je vous laisse prendre cette décision. Mais là où vos systèmes peuvent en supporter plus, rien ne vous empêche d’avoir besoin de 32 caractères.

Que se passe-t-il si votre mot de passe est composé de 32 « 1 »? Calculons l’entropie du mot de passe de ce qui est requis. Si votre mot de passe comporte 7 caractères composés de valeurs alpha et numériques, http://passwordstrengthcalculator.com signale qu’il faudrait moins d’une seconde pour déchiffrer le mot de passe avec un super ordinateur avec 36,2 bits d’entropie. Alors qu’un mot de passe avec 32 1 prendrait 15 854 896 ans avec le même ordinateur avec 106 bits d’entropie.

Donc, il ne s’agit pas seulement de la composition du mot de passe. Il existe de nombreuses valeurs qui peuvent avoir un impact sur un mot de passe; cependant, il ne s’agit pas de faire le minimum, mais de faire le nécessaire pour protéger vos actifs contre les attaques non autorisées.

Bien que la conformité ne soit pas égale à la sécurité, vous n’avez pas à faire le minimum. Faites votre évaluation des risques et si un actif est toujours à risque, même avec les exigences minimales, il est de votre liberté d’augmenter votre posture de sécurité et d’exiger plus que la norme de conformité. Chaque entreprise qui a déjà été violée se plaignait de quelque chose. Cependant, ils n’étaient pas sécurisés. Concentrez-vous sur la sécurité, et la conformité se produira normalement comme un biproduit de la sécurité.

J’espère que les conseils que j’ai fournis ici vous aideront à vous mettre sur la voie de la conformité à l’exigence PCI DSS 8. Cliquez ici pour voir mes autres articles du Guide de conformité PCI.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.