Vidéo: La storia ventennale dell'immobile (n.04) (Novembre 2024)
Les récentes atteintes à la sécurité des données chez Target, Neiman Marcus et dans d’autres points de vente ont prouvé que le fait de se conformer aux normes de l’industrie ne se traduit pas par une sécurité accrue. Alors, pourquoi perdons-nous notre temps avec une liste de contrôle?
Les attaquants ont intercepté les détails des cartes de paiement au fur et à mesure que les cartes étaient effacées et avant que les informations ne puissent être cryptées, les dirigeants de Target et Neiman Marcus ont témoigné le 5 février lors de l'audience du sous-comité du commerce, de la fabrication et du commerce de la commission House Energy & Commerce. "Les informations ont été récupérées immédiatement après le balayage - quelques millisecondes avant d'être envoyées dans des tunnels cryptés pour traitement", a déclaré Michael Kingston, vice-président directeur et directeur de l'information de Neiman Marcus.
Lorsque les cartes sont balayées, les informations de la bande magnétique ne sont pas cryptées. La seule façon de contrecarrer les programmes malveillants sur les terminaux des points de vente des détaillants en saisissant les informations consiste à chiffrer les données dès le début. Le cryptage de bout en bout n’est actuellement pas imposé par la réglementation du secteur, ce qui signifie que cet écart ne disparaîtra pas de si tôt.
Même passer de cartes à bande magnétique à des cartes à puce EMV ne résoudrait pas le problème du cryptage de bout en bout, car les données sont toujours transmises en texte clair au moment où elles sont balayées. Adopter les cartes EMV est nécessaire, mais cela ne suffira pas si les organisations ne pensent pas également à renforcer tous les aspects de leurs défenses de sécurité.
PCI-DSS ne fonctionne pas
Les détaillants (toute organisation qui gère des données de paiement, en réalité) sont tenus de se conformer à la norme PCI-DSS (norme de sécurité des données de l'industrie des cartes de paiement) afin de garantir que les informations des consommateurs sont stockées et transmises en toute sécurité. La norme PCI-DSS contient de nombreuses règles, telles que le chiffrement des données, l’installation d’un pare-feu et l’absence de mots de passe par défaut, entre autres. Cela semble être une bonne idée sur papier, mais comme l'ont montré plusieurs atteintes récentes à la sécurité des données, le respect de ces mandats en matière de sécurité ne signifie pas que l'entreprise ne sera jamais victime d'une violation.
"Il est clair que la conformité PCI ne fonctionne pas très bien, malgré des milliards de dollars dépensés par les marchands et les processeurs de cartes pour atteindre cet objectif", a écrit le mois dernier Avivah Litan, vice-président et éminent analyste de Gartner.
La norme se concentre sur les mesures de défense conventionnelles et n'a pas suivi les derniers vecteurs d'attaque. Les pirates de la dernière série de violations de la part des détaillants ont utilisé des logiciels malveillants qui ont échappé à la détection antivirus et aux données cryptées avant de les transférer à des serveurs externes. "Rien de ce que je connais dans la norme PCI n'aurait pu attraper ce genre de choses", a déclaré Litan.
Litan a imputé la responsabilité des brèches aux banques émettrices de cartes et aux réseaux de cartes (Visa, MasterCard, Amex, Discover) "pour ne pas en faire plus pour éviter les débâcles". À tout le moins, ils auraient dû mettre à niveau l'infrastructure des systèmes de paiement pour prendre en charge le cryptage de bout en bout (du détaillant à l'émetteur) des données de la carte, de la même manière que les codes PIN sont gérés aux guichets automatiques, a déclaré Litan.
Compliant is not security
Personne ne semble prendre au sérieux l’autocollant conforme à la norme PCI. Le rapport de conformité PCI 2014 de Verizon, qui vient de paraître, a révélé que seulement 11% des entreprises étaient totalement conformes aux normes du secteur des cartes de paiement. Le rapport a révélé que de nombreuses entreprises consacraient beaucoup de temps et d’énergie à la réussite de l’évaluation, mais qu’une fois cela fait, elles ne pouvaient pas ou ne pouvaient pas suivre les tâches de maintenance nécessaires pour rester en conformité.
En fait, JD Sherry, directeur de la technologie publique et des solutions chez Trend Micro, a qualifié Michaels et Neiman Marcus de "récidivistes".
Plus troublant encore, environ 80% des entreprises ont respecté "au moins 80%" des règles de conformité en 2013. Etre "majoritairement" conforme ressemble étrangement à "pas vraiment" conforme, car il y a un trou béant quelque part dans l'infrastructure.
"Une idée fausse commune est que PCI a été conçu pour être un fourre-tout pour la sécurité", a déclaré Phillip Smith, vice-président directeur de Trustwave, à l'audience à la Chambre.
Alors, pourquoi continuons-nous avec PCI? Tout ce que cela fait, c'est de dégager les banques et les cartes VISA / MasterCard de toute action visant à améliorer notre sécurité globale.
Focus sur la sécurité réelle
Les experts en sécurité ont à plusieurs reprises averti que se concentrer sur une liste d'exigences signifie que les entreprises ne remarquent pas les lacunes et ne sont pas en mesure de s'adapter à l'évolution des méthodes d'attaque. "Il y a une différence entre conformité et sécurité", a déclaré la représentante Marsha Blackburn (R-Tenn) à l'audience à la Chambre.
Nous savons que Target a investi dans la technologie et une bonne équipe de sécurité. La société a également consacré beaucoup de temps et d’argent à la mise en conformité. Et si, au lieu de cela, Target aurait consacré tous ses efforts à des mesures de sécurité non mentionnées dans le PCI, telles que l’adoption des technologies de sandboxing ou même la segmentation du réseau afin que les systèmes sensibles soient isolés?
Et si, au lieu de passer les mois à venir à documenter et à montrer comment leurs activités correspondaient à la liste de contrôle de PCI, les détaillants pourraient se concentrer sur l’adoption de plusieurs niveaux de sécurité souples et capables de s’adapter à des attaques en constante évolution?
Et si, au lieu que les détaillants et les entreprises se préoccupent du PCI, nous tenions les banques et les réseaux de cartes responsables? Jusque-là, nous allons continuer à voir plus de ces violations.