CMSI - Conduite et Maîtrise de la Sécurité Informatique (Didier Hallépée)

auteur : Didier HALLÉPÉE
Titre : CMSI - Conduite et Maîtrise de la Sécurité Informatique
éditeur : Les écrivains de Fondcombe
parution : 2010
Disponible sur Kindle

cindynique - du grec kindunos, le danger – science du risque

La recherche de la sécurité est un élément incontournable de toutes les activités humaines. Sous ce vocable sont regroupés un nombre important de concepts : protection de l’intégrité physique des individus, protection des biens, accessibilité des ressources indispensables, acquisition et protection des secrets, recherche des causes des événements passés, prévention.

On peut dire que la sécurité est le plus vieux métier du monde, puisqu’elle englobe l’ensemble des éléments nécessaires à la pérennisation des activités essentielles.

En informatique, la sécurité concerne s’intéresse plus essentiellement à la préservation, la protection et l’utilisation de l’information, et donc à toutes les dispositions qui y concourent : sécurité des bâtiments, habilitation des individus, qualité des activités, traçabilité des événements.

Dans le domaine de la sécurité informatique, on peut se référer à des organismes éprouvés comme le Clusif, l’Ossir, le FNTC, le CERT ou le Sans Institute. Il existe des méthodes de conduite d’audits de la sécurité informatique comme Marion, Melisa, Octave, Mehari, BSI 7799, ISO 17799.

La méthode CMSI se veut une méthode de conduite de la sécurité informatique simple à mettre en œuvre et propre à guider l’entreprise dans ses premiers pas sur le long chemin de la sécurité

La simplicité et le pragmatisme de la méthode CMSI sont un atout dans la capacité de l’entreprise de la mettre en œuvre et de maintenir le niveau de sécurité ainsi acquis car, plus que la technicité, c’est le bon sens qui doit présider à l’élaboration d’une politique de qualité et de sécurité.

5 composantes, 5 axes, 5 stades pour décrire l’ensemble des activités de sécurité
La sécurité prend en compte tous les éléments susceptibles d’avoir un impact direct ou indirect sur la pérennité des investissements informatiques. Elle se décline en :

5 composantes : I O A F L
Infrastructure, Organisation, Architecture, Flux, Logique

5 axes : D I C Q T
Disponibilité, Intégrité, Confidentialité, Qualité, Traçabilité

5 stades : L C D R X
Lancement, Conception, Développement, Recettes, eXploitation & Maintenance

Au cours de chacun de ces 5 stades, la sécurité sera déclinée à la fois par composante et par axe.

La recherche de la sécurité est un élément incontournable de toutes les activités humaines. Sous ce vocable sont regroupés un nombre important de concepts : protection de l’intégrité physique des individus, protection des biens, accessibilité des ressources indispensables, acquisition et protection des secrets, recherche des causes des événements passés, prévention.

On peut dire que la sécurité est le plus vieux métier du monde, puisqu’elle englobe l’ensemble des éléments nécessaires à la pérennisation des activités essentielles.

En informatique, la sécurité concerne s’intéresse plus essentiellement à la préservation, la protection et l’utilisation de l’information, et donc à toutes les dispositions qui y concourent : sécurité des bâtiments, habilitation des individus, qualité des activités, traçabilité des événements.

Dans le domaine de la sécurité informatique, on peut se référer à des organismes éprouvés comme le Clusif, l’Ossir, le FNTC, le CERT ou le Sans Institute. Il existe des méthodes de conduite d’audits de la sécurité informatique comme Marion, Melisa, Octave, Mehari, BSI 7799, ISO 17799.

La méthode CMSI se veut une méthode de conduite de la sécurité informatique simple à mettre en œuvre et propre à guider l’entreprise dans ses premiers pas sur le long chemin de la sécurité

La simplicité et le pragmatisme de la méthode CMSI sont un atout dans la capacité de l’entreprise de la mettre en œuvre et de maintenir le niveau de sécurité ainsi acquis car, plus que la technicité, c’est le bon sens qui doit présider à l’élaboration d’une politique de qualité et de sécurité.

Les 5 composantes : I O A F L : Infrastructure, Organisation, Architecture, Flux, Logique

1.1. Infrastructure
Au niveau sécurité, l’Infrastructure couvre notamment :

 La localisation du ou des sites
 La qualité de la construction
 La prévention contre l’incendie
 La prévention contre les dégâts des eaux
 La prévention contre les éléments environnementaux (chauffage, climatisation, filtrage anti-poussières)
 La prévention contre les aléas électriques (onduleurs, groupe électrogène)
 La sécurité des accès aux locaux et la surveillance
 Etc.
1.2. Organisation
Au niveau sécurité, l’Organisation couvre notamment :

 L’implication de la haute direction dans les problèmes de sécurité
 L’organisation de la sécurité (responsable sécurité, comités sécurité, RSSI, etc.)
 L’évaluation globale du risque
 La couverture du risque par les assurances
 Le suivi de la sécurité (comités sécurité)
 Les habilitations des personnels, des prestataires et des sous-traitants
 L’information et la formation des personnels en ce qui concerne la sécurité
 La prise en compte globale de la qualité
 Etc.
1.3. Architecture
Au niveau sécurité, l’Architecture couvre notamment :

 Les matériels, systèmes et progiciels généraux (hardware et middleware)
 Le plan de sauvegarde
 Le plan de secours
 Etc.
1.4. FLUX
Au niveau sécurité, l’aspect Flux couvre notamment :

 Les différents liens de communication avec l’extérieur
 Les réseaux internes de l’entreprise
 La bureautique de l’entreprise
 Les sites Internet de l’entreprise
 Les besoins cryptographiques liés à ces flux
1.5. Logique
Au niveau sécurité, l’aspect Logique couvre notamment :
 Les projets informatiques
 L’exploitation informatiques
 La maintenance informatique
 La gestion des données de l’entreprise

Les 5 axes : D I C Q T - Disponibilité, Intégrité, Confidentialité, Qualité, Traçabilité

2.1. Disponibilité
La Disponibilité couvre l’ensemble des dispositions permettant d’assurer la continuité des opérations.
2.2. Intégrité
L’Intégrité couvre l’ensemble des dispositions permettant d’assurer la conservation des moyens nécessaires à la continuité des opérations.
2.3. Confidentialité
La Confidentialité couvre l’ensemble des dispositions permettant de conserver le niveau de secret requis.
2.4. Qualité
La Qualité couvre l’ensemble des dispositions permettant de mesurer l’activité et de vérifier sa conformité avec les dispositions contractuelles, réglementaires ou légales.

2.5. Traçabilité
La Traçabilité couvre l’ensemble des dispositions permettant de retrouver l’ensemble des événements ayant conduit à un état donné.

Les 5 stades : L C D R X (Lancement, Conception, Développement, Recettes, eXploitation & Maintenance)

3.1. Lancement
La phase de Lancement permet de déterminer et mettre en oeuvre les requis de sécurité qui seront appliqués tout au long du projet ou de l’activité.
3.2. Conception
La phase de Conception permet de décrire comment les requis de sécurité seront remplis et mis en place.
3.3. Développement
La phase de Développement permet de créer les différents dispositifs de sécurité
3.4. Recette
La phase de Recette permet de vérifier que les différents dispositifs de sécurité correspondent bien aux requis de sécurité.
3.5. Exploitation & maintenance
Au cours des activités d’eXploitation et de maintenance, les différents dispositifs de sécurité sont appliqués, contrôlés, mesurés et suivis.

6. Vision globale
Les dispositions PCI en général et les dispositions PCI-DSS en particulier visent à protéger le numéro de carte afin d’empêcher que celui-ci soit utilisé de manière frauduleuse.

La vente en ligne peut effectivement être source d’une diffusion massive de numéros de carte mal protégés. Cette diffusion permet à son tour la fabrication de fausses cartes à piste utilisables dans le commerce traditionnel.

L’Europe a investi dans la carte à puce pour se protéger. De fait, le taux de fraude est particulièrement bas là où la carte a puce a été mise en œuvre.

PCI vise à protéger les utilisations les moins protégées de la carte : le monde de la carte à piste et le monde internet. La vision PCI est de mettre en œuvre une politique globale pour obtenir un résultat global. Mais la sécurité d’un ensemble est celle de ses éléments les plus faibles. Surinvestir ne supprimera pas les faiblesses structurelles.

Une bonne sécurité globale repose plutôt sur la segmentation des risques : ainsi, ce qui se passe en un endroit n’a qu’un impact limité sur les autres éléments.

Si l’on veut appliquer ces principes fondamentaux au monde du paiement par carte, il ne faut pas cependant oublier que le système doit garder son côté pratique et universel qui fait son succès.

Aussi, la protection de l’ensemble et la segmentation des risques reposent finalement sur une idée simple : avoir un numéro de carte différent en paiement puce, piste et internet. Ceci peut se faire sans bouleversements structurels et en conservant l’aspect ergonomique du paiement par carte. L’évolution des structures nécessaires à cette évolution a un coût, mais ce coût est beaucoup moins important que l’application universelle de PCI et aura une meilleure efficacité.

Présenté à l’occasion de la conférence « PCI-DSS, faut-il y aller » organisée par Publi-news en avril 2010


Les enjeux
Le paiement par carte représente environ le tiers de paiements en Europe aujourd’hui. Les 565 000 cartes déployées en Europe permettent de réaliser 21 milliards de paiements pour environ 1 250 milliards d’euros échangés chaque année sur environ 6 650 000 terminaux de paiement et sur internet.

Le paiement par carte repose sur le niveau de confiance qui s’établit entre le porteur, le commerçant et le système de paiement utilisé. Les critères de qualité et de sécurité du système de paiement sont fondamentaux.

Compte tenu des volumes concernés, chaque faiblesse potentielle du système représente un risque important. Aussi, les réseaux concernés mettent-ils en œuvre des dispositifs de sécurité visant à protéger l’ensemble du système face à l’ensemble des risques identifiés.

Il est possible de mettre en œuvre des dispositifs protégeant tel ou tel acteur contre les risques courus par celui-ci, mais ceci pour effet de déporter le risque vers d’autres acteurs et ne répond pas au besoin de sécurité de l’ensemble.

Il faut donc mettre en œuvre une politique de risque traitant de l’ensemble des risques liés au paiement par carte pour l’ensemble des acteurs. Les évolutions du paiement par carte depuis ses débuts s’appuie sur cette préoccupation constante.

Aujourd’hui, Visa et Mastercard répondent à ce besoin de sécurité en déployant EMV (cartes à puce), PCI-DSS (protection des données sensibles) et 3D Secure (paiement sur internet).

Les données sensibles du paiement par carte
Les données sensibles sont celles qui peuvent permettre la mise en œuvre de méthodes frauduleuses de paiement par carte

 Les données très sensibles sont : contenu de la piste magnétique, cryptogramme visuel, Pin, etc.
La conservation de ces données doit être proscrite.

 Les données sensibles sont : numéro de carte, date de validité.
La conservation de ces données doit se faire en appliquant des dispositions de sécurité appropriées.

PCI-DSS spécifie la manière dont ces données sensibles doivent être protégées afin de préserver de la fraude le monde du paiement par carte.

PCI-DSS et EMV
Avec EMV, Mastercard et Visa ont mis en place un dispositif permettant notamment d’empêcher la contrefaçon de cartes. Dans les pays ayant adopté EMV, seules les cartes issues de pays non EMV sont susceptibles d’être contrefaites.

EMV a eu un impact fort sur la diminution de la fraude et a été adopté par l’Europe dans le cadre du Sepa.

Cependant, EMV ne protège que dans le cadre où il est déployé. La puce ne protège pas :
 De la contrefaçon d’une carte EMV pour utilisation dans un pays resté à la piste
 De l’utilisation des données sensibles d’une carte EMV pour utilisation frauduleuse sur internet
 De l’utilisation en mode piste d’une carte contrefaite provenant d’un pays qui n’a pas migré à EMV

Le monde EMV n’est donc pas protégé des risques liés au monde non EMV.

PCI-DSS est la réponse de Visa et Mastercard pour limiter les risques liés à la cohabitation des mondes puce, piste et internet.

Protéger contre la contrefaçon des cartes
Le détournement de données sensibles permet de contrefaire des cartes à piste en encodant ces données dans la piste d’une carte authentique ou imitée.

L’expérience montre que les contrôles pratiqués sur le point d’acceptation ne permettent que rarement de reconnaître une carte contrefaite, même de manière bâclée. Les systèmes d’autorisations et de lutte contre la fraude ne peuvent pas facilement détecter ces cartes de manière précoce. Ils ont plus efficaces pour limiter les impacts de ces fraudes.

PCI-DSS est la réponse de Visa et Mastercard face à la contrefaçon des cartes à piste : par la prévention, le risque global doit diminuer.

Protéger contre l’utilisation frauduleuse sur internet
La simple connaissance du nom du porteur, du numéro de carte et de la date de validité permettent de payer sur internet. Le commerçant étant celui qui supporte la fraude, il a organisé sa lutte contre la fraude à la carte de paiement en mettant en place de bonnes pratiques de l’acceptation sur internet. Ceci a permis de limiter la fraude à des taux tolérables.

Afin de limiter les possibilités de fraude, les systèmes de carte ont créé le cryptogramme visuel qui permet de supposer que le client a eu la carte en main.

PCI-DSS est une réponse préventive : en empêchant le détournement des données sensibles, le risque de fraude doit diminuer.

3D-Secure (Verified by Visa, Mastercard Secure Code) est l’autre réponse de Visa et Mastercard : en mettant en place une authentification forte, seuls les paiements effectués par le porteur en personne pourront être acceptés.

Sécuriser les données pour PCI-DSS
PCI-DSS impose des bonnes pratiques de la sécurité qui devraient en toute logique s’imposer d’elles-mêmes :
 Organisation de la sécurité (responsable de la sécurité, etc.)
 Identification des données sensibles
 Identification des dispositifs sensibles (éléments réseau, serveurs, applications, etc.)
 Existence d’une politique de sécurité
 Protection des dispositifs de communication
 Protection des applicatifs sensibles et des données sensibles
 Plan de secours
 Politique d’accès aux éléments sensibles
En cela, PCI-DSS ne fait que mettre en évidence de bonnes pratiques qui devraient la règle

PCI-DSS impose sa vision de la mise en œuvre de ces pratiques. Ceci peut conduire à ne pas considérer comme conforme un site pourtant bien sécurisé.

PCI-DSS impose aux plus gros accepteurs un mode de certification spécifique par des organismes dédiés.
 Pour le marchand, le contrôle de sa sécurité informatique et le contrôle de la sécurité PCI-DSS sont de ce fait deux processus différents, ce qui entraîne un surcoût.
 De plus, les organismes effectuant la certification PCI-DSS sont aussi ceux qui accompagnent le marchand pour mettre en œuvre cette sécurité. Dans le monde automobile par exemple, un organisme de contrôle automobile ne peut avoir d’activité de réparation ou d’entretien. Il y a ainsi un risque de surcoût non maîtrisable
 La mise en place de PCI-DSS au niveau mondial est gérée par PCI-SS-Co. Ainsi, PCI-SS-Co a à la fois pour tâche d’établir les règles et d’organiser leur mise en place. Dans la vision Européenne actuelle, il y a volonté de séparer opérateur et réseau dans Tel que c’est fait, cela représente une tâche très lourde dont la vision centralisée à un niveau global a des coûts importants. Le coût de fonctionnement global qui en résulte est répercuté au niveau des accepteurs.

L’impact
 La carte à puce
La technologie EMV protège contre l’utilisation des données sensibles dans la contrefaçon de cartes et leur utilisation dans le monde EMV
La technologie EMV empêche également l’utilisation en mode piste d’une carte à puce dans le monde EMV
Le vol de données sensibles provenant de cartes à puce permet cependant une utilisation frauduleuse en mode piste dans les pays n’ayant pas migré vers EMV ou une utilisation frauduleuse sur internet.
EMV permet de sécuriser le monde EMV

 La carte à piste
Le vol de données sensibles permet la contrefaçon de cartes à piste.
Les marchands ayant migré vers EMV ne sont pas protégés par EMV contre les cartes frauduleuses en mode piste. Ceci concerne les cartes provenant de pays n’ayant pas migré vers EMV. Le ‘liability shift’ (déport de la responsabilité de la fraude) ne s’applique pas aux cartes provenant de régions n’ayant pas signé les accords EMV (Etats-Unis).
Les porteurs d’une carte EMV ne sont pas protégés par une utilisation frauduleuse en mode piste dans un pays n’ayant pas migré vers EMV.
PCI-DSS est la seule solution proposée pour diminuer ces risques.

 La VAD
La VAD permet le paiement à distance par envoi de données sensibles en mode non sécurisé.
La règlementation protège le porteur contre une utilisation frauduleuse de sa carte en VAD.
Le marchand supporte la fraude. Il se protège en limitant le risque par la mise en œuvre de bonnes pratiques.
L’apport de PCI-DSS complète ces bonnes pratiques mais a un effet limité.
En VAD, PCI-DSS a plutôt pour effet de limiter les possibilités de voler ces données sensibles.

 Le paiement sur internet
Le paiement par carte sur internet offre, par rapport à la VAD, l’avantage de sécuriser les données sensibles lors du paiement.
Le site du commerçant étant par définition en ligne, une insuffisance de sécurité peut conduire à un vol des données sensibles.
Pour le marchand, l’apport de PCI-DSS est limité. PCI-DSS limite les risques que fait courir un marchand négligent au reste de la communauté.
Pour être protégé, le marchand met en œuvre les bonnes pratiques qui limitent son risque. Ces bonnes pratiques on un effet limité sur la vente de biens immatériels consommés immédiatement. La solution proposée par Visa et Mastercard est 3D Secure (Verified by Visa, Mastercard Secure Code). Ceci permet une identification forte du porteur et l’application du liability shift.
Les données sensibles volées sur internet peuvent être utilisées en mode piste ou sur les sites internet non 3D Secure

Segmenter le risque
En sécurité, il est naturel d’avoir une vision globale du risque afin de lui apporter des solutions globales.
Cependant, il convient d’apporter la solution là où elle est la plus efficace et la moins coûteuse.

PCI-DSS a un impact fort sur l’ensemble des systèmes, notamment sur les systèmes d’acceptation, tout en ne protégeant qu’une partie du domaine du paiement par carte, essentiellement le monde de la piste.

Une approche naturelle de la sécurité serait d’apporter des solutions adaptées à chacun des mondes concernés : puce, piste, internet. C’est ce que font EMV et 3D-Secure.

PCI-DSS vise donc à protéger le monde de la piste en imposant des contraintes à l’ensemble du monde du paiement par carte. Ce n’est ni naturel, ni pleinement efficace. De plus, cela laisse supposer que l’ensemble de la communauté supporte les coûts de protection de ceux qui n’investissent pas pour se protéger eux-mêmes.

Si l’on tient compte des principes visant à respecter un équilibre entre risques et contre-mesures, il devient naturel d’envisager de segmenter le risque entre les mondes puce, piste et internet, sans remettre cependant en question l’architecture fondamentale des systèmes de paiement qui en assure l’universalité.

Ainsi, la protection du monde de la puce est basée sur EMV, celui d’internet sur 3D-Secure et seul la piste devrait être du domaine de PCI-DSS en attendant des solutions complémentaires plus adaptées.

Comment segmenter ? Peut-être faudrait-il attribuer pour une même carte des numéros différents pour le paiement par puce, par piste et sur internet ? Une idée simple qui aurait un impact fort sur la fraude.

DIDIER HALLÉPÉE
Expert monétique
Expert Sécurité
Vice-président d’Eestel
Administrateur du pôle TES
http://biz.fondcombe.com

Le questionnaire CMSI
La méthode CMSI est accompagnée d’un questionnaire sous Excel permettant de mener des audits de sécurité.

Ce questionnaire permet de poser des questions sur les différents aspects de la sécurité.

Les différentes questions sont regroupées selon les composantes, les axes et les stades décrits ci-dessus.

Notons que pour chaque stade, composante ou axe, seul ce qui concerne directement ou indirectement l’informatique est pris en compte.

La logique de notation
Toutes les notes sont entre 0 et 5 :

 0 Non, ce point n'est pas respecté
 1 Ce point a été pris en compte, mais de manière incomplète
 2 Ce point est pris en compte, mais les résultats ne sont pas encore avérés
 3 Oui, ce point est respecté de manière entièrement satisfaisante
 4 Oui, ce point est respecté de manière entièrement satisfaisante. Il fait l'objet d'un suivi régulier
 5 Oui, ce point est respecté de manière entièrement satisfaisante. Il fait l'objet d'un suivi régulier et d'un processus d'amélioration.

Pour un point non respecté, la note normale est 0. Les notes 1 et 2 sont réservés aux points pris en compte récemment ou dont on n'a pas encore pu juger de l'efficacité.

Pour un point respecté, la note normale est 3. Les notes 4 et 5 sont rares et doivent être argumentées

Si la question semble sans objet :

 0 Question sans objet - Pourtant, il existe des risques relatifs à ce point qui ne sont pas traités par ailleurs
 3 Question sans objet - Les risques relatifs à ce point sont traités par ailleurs
 4 Question sans objet - Il n'existe aucun risque susceptible d'être en relation avec ce point

Les résultats
Lorsque la sécurité a été prise en compte de manière satisfaisante, la note globale obtenue se situe généralement un peu au dessus de 2.

Lorsque la sécurité est une préoccupation récente, elle ne peut en aucun cas être considérée comme éprouvée. Ceci se retrouve dans la notation. Il est normal dans ce cas d’obtenir une note entre 1 et 2 lors du premier audit.

Le questionnaire permet de repérer les principaux points qui sont insuffisants du point de vue de la sécurité.

L’amélioration de la note s’obtient à travers un suivi avéré des différents éléments de la sécurité et une recherche constante de l’amélioration.

La mesure des progrès
La logique de notation permet de mesurer les progrès au fur et à mesure que la sécurité du site parvient à maturité.

Cette mesure de la progression est d’autant plus nécessaire qu’en sécurité, ce qui ne s’améliore pas se dégrade.

La sécurité dès le lancement
Qu’il s’agisse de la construction du site, de la mise en place d’une architecture informatique ou du développement de logiciels, la méthode CMSI accorde une grande importance à la prise en compte précoce des besoins en sécurité.

Cette importance se retrouve dans la notation. Un site où la sécurité a été intégrée dès le début sera mieux noté, et c’est normal : les principes de sécurité y seront plus cohérents, mieux intégrés et plus faciles à faire évoluer.

Malgré les soucis d’amélioration ultérieurs, cette partie de la notation ne pourra âtre améliorée.

La fréquence des audits CMSI
Il est recommandé d’effectuer un audit complet avec le questionnaire CMSI :

 Tous les ans pour un site parvenu à maturité.
 Tous les 6 mois pendant les phases de forte évolution.

En outre, les points faibles avérés devront être examinés tous les 3 mois.