Conseils Microsoft Entra PCI-DSS

Le PCI SSC (Payment Card Industry Security Standards Council) est chargé de développer et de promouvoir des normes et des ressources en matière de sécurité des données, y compris le PCI-DSS (Payment Card Industry Data Security Standard), afin de garantir la sécurité des transactions de paiement. Pour être en conformité avec les normes PCI, les organisations qui utilisent Microsoft Entra ID peuvent se référer aux conseils proposés dans ce document. Toutefois, il appartient aux organisations de s’assurer de leur conformité à la norme PCI. Leurs équipes informatiques, leurs équipes chargées des opérations de sécurité (SecOps) et leurs Architectes Solutions sont responsables de la création et de la maintenance des systèmes, produits et réseaux sécurisés qui gèrent, traitent et stockent les informations relatives aux cartes de paiement.

Bien que Microsoft Entra ID permette de répondre à certaines exigences de contrôle PCI-DSS et fournisse des protocoles d’identité et d’accès modernes pour les ressources de l’environnement des données des titulaires de cartes (CDE), cette solution ne doit pas être le seul mécanisme de protection des données des titulaires de cartes. Il convient donc de passer en revue cet ensemble de documents et toutes les exigences de la norme PCI-DSS afin de mettre en place un programme de sécurité complet qui permette de préserver la confiance des clients. Pour obtenir une liste complète des exigences, veuillez consulter le site Internet officiel du Conseil des normes de sécurité PCI à l’adresse pcisecuritystandards.org : Site Internet officiel du Conseil des normes de sécurité PCI

Exigences PCI pour les contrôles

La norme internationale PCI-DSS v4.0 établit un ensemble de normes techniques et opérationnelles de base pour la protection des données de compte. Celle-ci « a été élaborée pour encourager et renforcer la sécurité des données des comptes de cartes de paiement et faciliter l’adoption à grande échelle de mesures cohérentes de sécurité des données, au niveau mondial. Elle-ci fournit une base d’exigences techniques et opérationnelles conçues pour protéger les données de compte. Bien qu’elle soit conçue pour se concentrer sur les environnements contenant des données de comptes de cartes de paiement, la norme PCI-DSS peut également être utilisée pour se protéger contre les menaces et sécuriser d’autres éléments de l’écosystème de paiement. »

Configuration Microsoft Entra et PCI-DSS

Ce document constitue un guide complet pour les responsables techniques et commerciaux chargés de la gestion des identités et des accès (IAM) avec Microsoft Entra ID conformément à la norme PCI DSS (Payment Card Industry Data Security Standard). En respectant les exigences clés, les meilleures pratiques et les approches décrites dans ce document, les organisations peuvent réduire la portée, la complexité et le risque de non-conformité à la norme PCI, tout en favorisant les meilleures pratiques de sécurité et la conformité aux normes. Les conseils fournis dans ce document ont pour but d’aider les organisations à configurer Microsoft Entra ID de manière à répondre aux exigences de la norme PCI DSS et à promouvoir des pratiques IAM efficaces.

Les responsables techniques et commerciaux peuvent utiliser les conseils suivants pour s’acquitter de leurs responsabilités en matière de gestion des identités et des accès (IAM) avec Microsoft Entra ID. Pour plus d’informations sur la norme PCI-DSS dans d’autres charges de travail Microsoft, consultez Présentation de la base de référence de sécurité cloud Microsoft (v1).

Les exigences et les procédures de test PCI-DSS se composent de 12 exigences principales qui garantissent la gestion sécurisée des informations de carte de paiement. Ensemble, ces exigences constituent une infrastructure complète qui aide les organisations à sécuriser les transactions par carte de paiement et à protéger les données sensibles des titulaires de cartes.

Microsoft Entra ID est un service d’identité d’entreprise qui sécurise les applications, les systèmes et les ressources pour assurer la conformité à la norme PCI-DSS. Le tableau suivant présente les principales exigences PCI et les liens vers les contrôles recommandés par Microsoft Entra ID pour la conformité PCI-DSS.

Principales exigences PCI-DSS

Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne sont pas traitées ou satisfaites par Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.

Norme PCI DSS (Data Security Standard) : Vue d’ensemble	Contrôles PCI-DSS recommandés par Microsoft Entra ID
Créer et gérer un réseau et des systèmes sécurisés	1. Installer et gérer des contrôles de sécurité réseau  2. Appliquer des configurations sécurisées à tous les composants système
Protéger les données de compte	3. Protéger les données de compte stockées 4. Protéger les données de titulaires de carte avec un chiffrement fort lors de la transmission sur des réseaux publics
Gestion d’un programme de gestion des vulnérabilités	5. Protéger tous les systèmes et réseaux contre des logiciels malveillants  6. Développer et gérer des systèmes et logiciels sécurisés
Implémenter des mesures de contrôle d’accès strictes	7. Restreindre l’accès aux composants système et aux données des titulaires de carte aux seuls individus qui doivent les connaître  8. Identifiez et authentifiez l’accès aux composants du système  9. Restreindre l’accès physique aux composants du système et aux données des titulaires de carte
Surveiller et tester régulièrement les réseaux	10. Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte  11. Tester régulièrement la sécurité des systèmes et des réseaux
Gérer une stratégie de sécurité des informations	12. Faciliter la sécurité des informations avec des stratégies et des programmes organisationnels

Applicabilité de la norme PCI-DSS

La norme PCI-DSS est destinée aux organisations qui stockent, traitent ou transmettent des données relatives aux titulaires de cartes (CHD) et/ou des données d’authentification sensibles (SAD). Ces éléments de données, considérés ensemble, sont appelés données de compte. La norme PCI-DSS fournit des lignes directrices et des exigences en matière de sécurité pour les organisations qui affectent l’environnement des données des titulaires de cartes (CDE). Les entités qui protègent les CDE garantissent la confidentialité et la sécurité des informations relatives aux paiements des clients.

Les CHD se composent des éléments suivants :

• Numéro de compte principal (PAN) : un numéro de carte de paiement unique (cartes de crédit, de débit ou prépayées, etc.) qui identifie l’émetteur et le compte de titulaire de carte
• Nom du titulaire de carte : le propriétaire carte
• Date d’expiration de la carte : jour et mois d’expiration de la carte
• Code de service : une valeur à trois ou quatre chiffres sur la bande magnétique qui suit la date d’expiration de la carte de paiement sur les données de la piste. Ces informations définissent les attributs du service, en différenciant les échanges internationaux et nationaux/régionaux, ou en identifiant les restrictions d’utilisation.

Les SAD sont des informations relatives à la sécurité utilisées pour authentifier les titulaires de cartes et/ou autoriser les transactions par carte de paiement. Cela comprend, entre autres :

• Ensemble des données de la piste : bande magnétique ou circuit électronique équivalent
• Codes/valeurs de vérification de la carte : également appelés code de validation de la carte (CVC) ou valeur de validation de la carte (CVV). Il s’agit de la valeur à trois ou quatre chiffres figurant au recto ou au verso de la carte de paiement. Ils sont également appelés CAV2, CVC2, CVN2, CVV2 ou CID, selon les organismes de paiement participants (PPB).
• PIN : numéro d’identification personnel
  • Blocs de numéros d’identification personnels (PIN) : représentation chiffrée du numéro d’identification personnel utilisé lors d’une transaction par carte de débit ou de crédit. Ils garantissent la transmission sécurisée d’informations confidentielles au cours d’une transaction

La protection du CDE est essentielle à la sécurité et à la confidentialité des informations de paiement des clients et contribue à :

• Préserver la confiance des clients : les clients s’attendent à ce que leurs informations de paiement soient traitées en toute sécurité et qu’elles demeurent confidentielles. Si une entreprise subit une violation de données qui entraîne une fuite des données de paiement de ses clients, cela peut dégrader la confiance des consommateurs dans l’entreprise et nuire à sa réputation.
• Se conformer à la réglementation : les entreprises qui traitent des transactions par carte de crédit sont tenues de se conformer à la norme PCI-DSS. En cas de manquement, les entreprises s’exposent à des amendes, à des poursuites judiciaires tout en portant atteinte à leur réputation.
• Atténuation des risques financiers : les violations de données ont des conséquences financières importantes, notamment les coûts des enquêtes judiciaires, les frais juridiques et l’indemnisation des les clients affectés.
• Continuité de l’activité : les violations de données perturbent les opérations de l’entreprise et peuvent affecter les processus de transaction par carte de crédit. Ce scénario peut entraîner des pertes de revenus, des perturbations opérationnelles et des atteintes à la réputation.

Portée de l’audit PCI

L’audit PCI porte sur les systèmes, les réseaux et les processus de stockage, de traitement ou de transmission des CHD et/ou des DAS. Si les données de compte sont stockées, traitées ou transmises dans un environnement cloud, la norme PCI-DSS s’applique à cet environnement et la conformité implique généralement la validation de l’environnement cloud et de son utilisation. L’audit PCI porte sur cinq éléments fondamentaux :

• L’environnement des données des titulaires de cartes (CDE) : la zone où les CHD et/ou les SAD sont stockés, traités ou transmis. Cela comprend les composants d’une organisation qui concernent les CHD, tels que les réseaux et les composants de réseau, les bases de données, les serveurs, les applications et les terminaux de paiement.
• Les personnes : qui ont accès au CDE, tels que les employés, les sous-traitants et les prestataires de services tiers, entrent dans le champ d’application d’un audit PCI.
• Les processus qui impliquent les CHD, tels que les autorisations, les authentifications, le chiffrement et le stockage des données de compte sous quelque format que ce soit, relèvent du champ d’application de d’un audit PCI.
• Les technologies : qui traitent, stockent ou transmettent des CHD, y compris le matériel tel que les imprimantes et les appareils multifonctions qui numérisent, impriment et télécopient, les appareils des utilisateurs finaux tels que les ordinateurs, les stations de travail portables, les stations de travail administratives, les tablettes et les appareils mobiles, les logiciels et les autres systèmes informatiques, entrent dans le champ d’application d’un audit PCI.
• Les composants système : qui ne stockent, ne traitent ou ne transmettent pas de CHD/SAD mais qui ont une connectivité illimitée aux composants système qui stockent, traitent ou transmettent des CHD/SAD, ou qui pourraient affecter la sécurité du CDE.

Si la portée PCI est minimisée, les organisations peuvent réduire efficacement les effets des incidents de sécurité et diminuer le risque de violation des données. La segmentation peut être une stratégie avantageuse pour réduire la taille du CDE PCI, ce qui permet de réduire les coûts de mise en conformité et d’obtenir des avantages globaux pour l’organisation, y compris, mais sans s’y limiter :

• La réduction des coûts : les organisations qui limitent la portée de l’audit réduisent le temps, les ressources et les dépenses nécessaires à sa réalisation, ce qui se traduit par une réduction des coûts.
• Réduction de l’exposition aux risques : la réduction de la portée de l’audit PCI réduit les risques potentiels associés au traitement, au stockage et à la transmission des données des titulaires de cartes. Si le nombre de systèmes, de réseaux et d’applications soumis à un audit est restreint, les organisations se concentrent sur la sécurisation de leurs ressources critiques et sur la réduction de leur exposition aux risques.
• Conformité simplifiée : la réduction de la portée d’un audit PCI réduit les risques potentiels associés au traitement, au stockage et à la transmission des données des titulaires de cartes. Il en résulte des audits plus efficaces, une diminution des problématiques de conformité et une réduction du risque d’encourir des pénalités pour non-conformité.
• Amélioration de la posture de sécurité : les organisations répartissent efficacement leurs ressources et leurs efforts pour la sécurité grâce à un sous-ensemble plus restreint de systèmes et de processus. Les résultats sont une posture de sécurité renforcée, car les équipes de sécurité se concentrent sur la sécurisation des ressources critiques et l’identification des vulnérabilités par une approche ciblée et efficace.

Stratégies visant à réduire la portée de l’audit PCI

La définition du CDE d’une organisation détermine l’étendue d’un audit PCI. Les organisations documentent et communiquent cette définition à l’évaluateur de sécurité qualifié (QSA) PCI-DSS qui effectue l’audit. Le QSA évalue les contrôles pour le CDE afin de déterminer la conformité. Le respect des normes PCI et l’utilisation de mesures d’atténuation des risques efficaces aident les entreprises à protéger les données personnelles et financières des clients, ce qui renforce la confiance dans leurs activités. La section suivante présente des stratégies visant à réduire les risques liés à la portée de l’audit PCI.

Segmentation du texte en unités lexicales

La création de jetons est une technique de sécurisation des données. Recourez à la création de jetons pour remplacer les informations confidentielles, telles que les numéros de carte de crédit, par un jeton unique stocké et utilisé pour les transactions, sans exposer les données sensibles. Les jetons réduisent la portée d’un audit PCI pour les exigences suivantes :

• Exigence 3 : protéger les données stockées sur les comptes
• Exigence 4 : protéger les données de titulaires de carte avec un chiffrement fort lors de la transmission sur des réseaux publics ouverts
• Exigence 9 : restreindre l’accès physique aux données de titulaires de carte
• Exigence 10 : enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte.

Lorsque vous utilisez des méthodologies de traitement basées sur le cloud, tenez compte des risques pertinents pour les données et les transactions sensibles. Pour atténuer ces risques, il est recommandé d’implémenter des mesures de sécurité et des plans d’urgence appropriés pour protéger les données et empêcher les interruptions de transaction. Il est recommandé de recourir à la création de jetons de paiement comme méthodologie de déclassification des données, et de réduire potentiellement l’empreinte mémoire du CDE. Grâce à création de jetons de paiement, les données sensibles sont remplacées par un identifiant unique, ce qui permet de réduire le risque de vol de données et de limiter l’exposition des informations sensibles dans le CDE.

Sécuriser le CDE

La norme PCI-DSS exige des organisations qu’elles maintiennent un CDE sécurisé. En configurant efficacement leur CDE, les entreprises peuvent atténuer leur exposition aux risques et réduire les coûts associés, tant pour les environnements locaux que pour les environnements cloud. Cette approche permet de minimiser la portée d’un audit PCI, ce qui facilite la démonstration de la conformité à la norme et la rend moins coûteuse.

Pour configurer Microsoft Entra ID pour sécuriser le CDE :

• Utilisez des informations d’identification sans mot de passe pour les utilisateurs : Windows Hello for Business, clés de sécurité FIDO2 et application Microsoft Authenticator
• Utilisez des informations d’identification fortes pour les identités de charge de travail : certificats et identités managées pour les ressources Azure.
  • Intégrez des technologies d’accès telles que les réseaux privés virtuels (VPN), les bureaux à distance et les points d’accès au réseau utilisant l’authentification Microsoft Entra ID, si possible
• Activez la gestion des identités privilégiées et les révisions d’accès pour les rôles Microsoft Entra, les groupes d’accès privilégiés et les ressources Azure
• Utilisez des stratégies d’accès conditionnel pour appliquer les contrôles requis par la norme PCI : force des informations d’identification, état de l’appareil, et appliquez-les en fonction de l’emplacement, de l’appartenance à un groupe, des applications et des risques
• Utilisez une authentification moderne pour les charges de travail DCE
• Archivez les journaux d'activité Microsoft Entra dans des systèmes de Gestion des informations et des événements de sécurité (SIEM)

Lorsque des applications et des ressources utilisent Microsoft Entra ID pour la gestion des identités et des accès (IAM), le ou les clients Microsoft Entra ID entrent dans le champ d’application d’un audit PCI, et les recommandations qui figurent dans ce guide sont applicables. Les organisations doivent évaluer les exigences en matière d’isolation des identités et des ressources, entre les charges de travail non PCI et PCI, afin de déterminer la meilleure architecture.

En savoir plus

• Présentation de l’administration déléguée et des environnements isolés
• Comment utiliser l’application Microsoft Authenticator
• Que sont les identités managées pour les ressources Azure ?
• Que sont les révisions d’accès ?
• Qu’est-ce que l’accès conditionnel ?
• Journaux d’audit dans Microsoft Entra ID

Établissez une matrice de responsabilité

La conformité à la norme PCI relève de la responsabilité des entités qui traitent les transactions par carte de paiement, y compris, mais sans s’y limiter :

• Les commerçants
• Les fournisseurs de services de cartes
• Les fournisseurs de services aux commerçants
• Les banques d’acquisition
• Les organismes de traitement des paiements
• Les émetteurs de cartes de paiement
• Les fournisseurs de matériel

Ces entités veillent à ce que les transactions par carte de paiement soient traitées en toute sécurité et soient conformes à la norme PCI-DSS. Toutes les entités impliquées dans les transactions par carte de paiement ont un rôle à jouer pour garantir la conformité à la norme PCI.

L’état de conformité à la norme PCI DSS d’Azure ne se traduit pas automatiquement par une validation PCI-DSS pour les services que vous créez ou hébergez sur Azure. Vous veillez à vous conformer aux exigences de la norme PCI-DSS.

Mettez en place des processus continus de maintien de la conformité

Les processus continus impliquent un contrôle permanent et une amélioration continue de la posture de conformité. Avantages des processus continus pour maintenir la conformité à la norme PCI :

• Réduction du risque d’incidents de sécurité et de non-conformité
• Amélioration de la sécurité des données
• Amélioration de l’alignement aux exigences réglementaires
• Renforcement de la confiance des clients et des parties prenantes

Grâce à des processus continus, les organisations répondent efficacement aux changements dans l’environnement réglementaire et aux menaces de sécurité en perpétuelle évolution.

• Évaluation des risques : ce processus permet d’identifier les vulnérabilités des données des cartes de crédit et les risques de sécurité. Identifiez les menaces potentielles, évaluez la probabilité que les menaces se produisent et évaluez les conséquences potentielles sur l’entreprise.
• Formation de sensibilisation à la sécurité : les employés qui manipulent des données de cartes de crédit suivent régulièrement une formation de sensibilisation à la sécurité afin de clarifier l’importance de la protection des données des détenteurs de cartes et les mesures à prendre pour y parvenir.
• Gestion des vulnérabilités : effectuez régulièrement des analyses de vulnérabilités et des tests d’intrusion afin d’identifier les faiblesses du réseau ou du système exploitables par des attaquants.
• Surveiller et gérer les stratégies de contrôle d’accès : l’accès aux données des cartes de crédit est limité aux personnes autorisées. Surveillez les journaux d’accès pour identifier les tentatives d’accès non autorisées.
• Réponse aux incidents : un plan de réponse aux incidents aide les équipes de sécurité à prendre des mesures lors d’incidents de sécurité impliquant des données de cartes de crédit. Identifiez la cause de l’incident, limitez les conséquences et rétablissez les opérations normales dans les meilleurs délais.
• Surveillance de la conformité : des audits sont effectués pour garantir le respect permanent des exigences de la norme PCI-DSS. Passez en revue les journaux de sécurité, procédez à des contrôles réguliers des stratégies et veillez à ce que les composants du système soient correctement configurés et gérés.

Implémentez une sécurité forte pour les infrastructures partagées

En règle générale, les services web tels qu’Azure disposent d’une infrastructure partagée dans laquelle les données des clients peuvent être stockées sur le même serveur physique ou le même dispositif de stockage de données. Ce scénario crée le risque que des clients non autorisés accèdent à des données qui ne leur appartiennent pas, et le risque que des acteurs malveillants ciblent l’infrastructure partagée. Les fonctionnalités de sécurité Microsoft Entra permettent d’atténuer les risques liés à l’infrastructure partagée :

• L’authentification utilisateur auprès des technologies d’accès réseau qui prennent en charge les protocoles d’authentification modernes : réseau privé virtuel (VPN), Bureau à distance et points d’accès réseau.
• Des stratégies de contrôle d’accès qui imposent des méthodes d’authentification forte et la conformité des appareils en fonction de signaux tels que le contexte de l’utilisateur, l’appareil, l’emplacement et le risque.
• L’accès conditionnel fournit un plan de contrôle axé sur l’identité et rassemble les signaux pour prendre des décisions et appliquer les stratégies de l’organisation.
• Gouvernance des rôles privilégiés : révisions d’accès, activation juste-à-temps (JIT), etc.

Pour plus d’informations, consultez Présentation de l’accès conditionnel.

Résidence des données

La norme PCI-DSS ne mentionne aucun emplacement géographique spécifique pour le stockage des données relatives aux cartes de crédit. Toutefois, celle-ci nécessite que les données du titulaire de la carte soient stockées en toute sécurité, ce qui peut inclure des restrictions géographiques, en fonction des exigences de l’organisation relatives à la sécurité et à la réglementation. Les lois sur la protection des données et de la vie privée varient d’un pays à l’autre et d’une région à l’autre. Consultez un conseiller juridique ou un conseiller en conformité pour déterminer les exigences applicables en matière de résidence des données.

En savoir plus : Microsoft Entra ID et résidence des données

Risques liés à la sécurité des tiers

Un fournisseur tiers non conforme à la norme PCI représente un risque pour la conformité à la norme PCI. Évaluez et contrôlez régulièrement les fournisseurs et prestataires de services tiers afin de vous assurer qu’ils appliquent les contrôles requis pour protéger les données des titulaires de cartes.

Les fonctionnalités et fonctions Microsoft Entra dans la résidence des données permettent de réduire les risques liés à la sécurité des tiers.

Enregistrement et surveillance

Instaurez une journalisation et une surveillance précises afin de détecter les incidents de sécurité et d’y répondre au moment opportun. Microsoft Entra ID permet de gérer la conformité à la norme PCI grâce à des journaux d’audit et d’activité, ainsi que les rapports qui peuvent être intégrés à un système SIEM. Microsoft Entra ID dispose du contrôle d’accès en fonction du rôle (RBAC) et de l’authentification multifacteur (MFA) pour sécuriser l’accès aux ressources sensibles, le chiffrement et les fonctionnalités de protection contre les menaces afin de protéger les organisations contre les accès non autorisés et le vol de données.

En savoir plus :

• Que sont les rapports Microsoft Entra ?
• Rôles intégrés dans Microsoft Entra

Environnements multi-applications : hôte hors CDE

La norme PCI-DSS garantit que les entreprises qui acceptent, traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé. L’hébergement hors du CDE présente des risques, tels que :

• Les manquements en matière de contrôle d’accès et de gestion des identités peuvent conduire à des accès non autorisés à des données et des systèmes sensibles
• Une journalisation et une surveillance insuffisantes des événements de sécurité empêchent la détection et la réponse aux incidents de sécurité
• Un chiffrement et une protection contre les menaces insuffisants augmentent le risque de vol de données et d’accès non autorisé
• Une sensibilisation et une formation insuffisantes, voire inexistantes, des utilisateurs en matière de sécurité peuvent conduire à des attaques d’ingénierie sociale évitables, telles que l’hameçonnage

Étapes suivantes

Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne s’appliquent pas à Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.

Pour configurer Microsoft Entra ID afin qu’il soit conforme à la norme PCI-DSS, consultez les articles suivants.

• Conseils relatifs à la norme PCI-DSS pour Microsoft Entra (vous êtes ici)
• Exigence 1 : installer et gérer des contrôles de sécurité réseau
• Exigence 2 : appliquer des configurations sécurisées à tous les composants système
• Exigence 5 : protéger tous les systèmes et réseaux contre des logiciels malveillants
• Exigence 6 : développer et gérer des systèmes et logiciels sécurisés
• Exigence 7 : restreindre l’accès aux composants système et aux données des titulaires de carte aux seuls individus qui doivent les connaître
• Exigence 8 : identifier des utilisateurs et authentifier l’accès aux composants système
• Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte
• Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux
• Aide relative à l’authentification multifacteur Microsoft Entra dans le cadre de la norme PCI-DSS