La norme PCI DSS 3.0 met de nouveau l’accent sur l’importance de la gestion de logs

La norme PCI DSS

Elle s’applique à toute entité impliquée dans le traitement des cartes de paiement – y compris les commerçants, équipementiers, acheteurs, émetteurs et fournisseurs de services, ainsi qu’à toute autre entité qui vend, traite ou transmet les données des titulaires de cartes (DTC) et/ou les données d’authentification sensibles (DAS). Représentant l’une des normes internationales de sécurité de données les plus importantes, la dernière version était attendue avec impatience par les acteurs de la sécurité informatique.

Les évolutions de la version 3.0 sont de trois ordres : clarifications, évolutions de certains articles et conseils complémentaires. Les clarifications constituent la majeure partie des changements mais le Conseil PCI SSC a modifié la plupart des 12 critères majeurs pour inclure de nouveaux sous-critères ou les  modifier. Par exemple, l’article 5.3 a été ajouté pour valider que les solutions anti-virus doivent être activement en cours d’exécution (anciennement sous l’article 5.2), et qu’elles ne peuvent être désactivées ou altérées par les utilisateurs, sauf par autorisation spécifique de la direction, et, au cas par cas. La commission a également inclus des conseils complémentaires pour aider les équipes opérationnelles dédiées à la sécurité à mieux comprendre les exigences de la norme. En plus d’une nouvelle rubrique « conseils » avec des informations complémentaires pour chaque article, la version 3.0 contient une nouvelle section qui fournit un guide des « bonnes pratiques » pour l’intégration de la sécurité dans les activités métiers courantes (« business as usual » (BAU)) et pour le maintien de la conformité PCI DSS.

Implications pour la gestion de logs

Contrairement à de nombreuses autres règlementations et normes, la norme PCI DSS exige l’implémentation d’une solution de gestion de logs au sein des entreprises. L’article 10 l’exige explicitement: la mise en place de mécanismes d’historisation des événements et de gestion de logs et la possibilité de suivreles activités des utilisateurs sont critiques dans la prévention, la détection ou la minimisation de l’impact d’une compromission des données. La présence des logs dans tous les environnements permet de suivre, d’alerter et d’analyser finement les évènements dès qu’un incident se produit. Il est difficile, voire impossible, de déterminer la cause d’une compromission sans les logs d’activité du système.

La dernière version de la norme PCI DSS continue ainsi à mettre l’accent sur l’importance de la gestion de logs :

• L’article 10.2.5 a été modifié pour exiger l’historique des modifications, des ajouts ou des suppressions au niveau des accès des comptes administrateur en plus des mécanismes d’identification et d’authentification. L’historique des modifications faites aux accès des comptes administrateur donne une visibilité sur les utilisateurs malveillants contournant ou usurpant des comptes légitimes.

• L’article 10.2.6 a également été revu pour exiger un journal des logs, non seulement lors de l’initialisation, mais aussi lors de la pause ou de l’arrêt du mécanisme d’historisation des événements. Depuis que les utilisateurs malveillants déconnectent parfois les systèmes d’historisation des événements pour masquer leurs activités, une pause ou un arrêt du système d’enregistrement des logs peut être le véritable indice d’une activité malveillante.

• L’obligation de consulter les journaux de logs (10.6) est un autre aspect unique de la norme PCI DSS. Dans la version 3.0, le Conseil PCI SSC a considérablement élargi l’article 10.6 pour fournir des précisions sur les types d’évènements qui doivent être examinés tous les jours et ceux qui peuvent être révisés périodiquement en fonction de l’évaluation des risques. De plus, l’article 10.6.3 exige que les exceptions et les anomalies soient identifiées lors de l’analyse.

• La durée de conservation des logs d’un an, tel que définie dans l’article 10.7, n’a pas changé. Dans le guide, le Conseil PCI SSC donne une explication utile à propos de la durée de conservation.

Conserver les logs pendant au moins un an, tient compte du fait qu’il faut souvent un certain temps pour constater qu’une compromission ou une attaque a eu lieu ou est en train d’avoir lieu, et permet de fournir aux enquêteurs un historique du journal des logs suffisant pour mieux déterminer la durée d’une violation potentielle et identifier le(s) système(s) potentiellement affecté(s). En disposant immédiatement d’un journal de logs de trois mois, une entreprise peut identifier rapidement et minimiser l’impact d’une violation de données.

En plus des critères explicites énoncés dans l’article 10, la norme PCI DSS inclus plusieurs références directes à la gestion des logs :

• L’article 3.4, concernant la protection des données des titulaires de cartes, exige de rendre illisible les numéros de comptes principaux qui pourraient être contenus dans les journaux de logs.

• L’article 5.2 exige que les logiciels anti-virus génèrent des logs qui doivent être conservés selon les termes de l’article 10.7.

• Dans l’article 6.6, le Conseil précise les méthodes pour protéger les applications web, y compris les firewalls web applicatifs qui génèrent des journaux de logs.

Outre les références spécifiques, la gestion de logs est partie intégrante de l’ensemble de la norme, comme la plupart des 12 articles nécessitent des outils de sécurité (tels que des firewalls), et des méthodes, pour le développement de systèmes et d’applications sécurisés, qui requièrent des journaux de logs. Avec la norme PCI DSS 3.0, le Conseil a appuyé sur le fait que la gestion de logs est une partie essentielle aux meilleurs pratiques de la sécurité.