Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
On This Page
.gif){kind=icon}
Introduction
Satisfaction des exigences de la norme PCI DSS
Annexes
Introduction
Le Guide de planification de la mise en conformité à la norme de sécurité des données relative au secteur des cartes de paiement (PCI DSS) a pour objet d'aider les organisations à satisfaire aux exigences de la norme de sécurité des données relative au secteur des cartes de paiement (PCI DSS). Plus particulièrement, ce guide est destiné aux commerçants qui acceptent les cartes de paiement, aux institutions financières qui traitent des transactions de cartes de paiement et aux prestataires de services (sociétés tierces offrant des services de traitement de cartes de paiement ou de stockage de données). Pour chacun de ces groupes, les solutions informatiques doivent satisfaire à toutes les exigences de la norme PCI DSS. Ce guide vise à compléter le Guide de planification de la mise en conformité aux réglementations (la page peut être en anglais) qui présente une approche structurée pour créer des contrôles informatiques dans le cadre de vos efforts de mise en conformité aux diverses réglementations et normes. Ce guide décrit par ailleurs les produits et les solutions technologiques Microsoft qui s'offrent à vous pour mettre en œuvre une série de contrôles informatiques dans l'optique de satisfaire aux exigences de la norme PCI DSS, ainsi qu'aux autres obligations réglementaires auxquelles votre organisation doit se soumettre.
Remarque Si votre organisation propose, parmi les services qu'elle offre, des guichets automatiques bancaires (GAB), Microsoft fournit des conseils en matière d'architecture et de sécurité pour les logiciels, les systèmes et les réseaux compatibles avec les GAB. Pour plus d'informations, reportez-vous à la page Banking Industry Center Downloads (Centre du secteur bancaire - Téléchargements, la page peut-être en anglais) sur le site Web de MSDN.
Ce guide ne prétend pas fournir d'informations exhaustives sur la mise en conformité à la norme PCI DSS pour chaque type d'organisation. Pour toute question spécifique concernant votre organisation, veuillez consultez votre conseiller juridique ou auditeur.
L'introduction au présent guide comprend les sections suivantes :
Synthèse Cette section fournit une présentation générale des exigences de la norme PCI DSS et des principaux objectifs du guide de planification. Elle traite des connaissances que les responsables informatiques doivent posséder pour commencer à répondre aux exigences de conformité à la norme PCI DSS que ceux-ci doivent remplir.
Public visé Cette section décrit le public auquel s'adresse ce guide, sa finalité et sa portée, ainsi que les dénis de responsabilités relatifs aux limites inhérentes aux conseils qui y sont dispensés.
Qu'est-ce que la norme de sécurité des données relative au secteur des cartes de paiement (PCI DSS) ? Cette section fournit une présentation générale de la norme sur la sécurité des données dans le secteur des cartes de paiement (PCI DSS) et de ses exigences.
Planification de la mise en conformité à la norme PCI DSS Cette section présente l'utilisation d'un cadre pour satisfaire aux exigences de la norme PCI DSS. Y sont abordés la création de différents types de contrôles informatiques, la façon dont ceux-ci peuvent être combinés et l'importance de ces contrôles dans la satisfaction des exigences relatives à la norme PCI DSS et autres obligations de conformité aux réglementations.
Processus d'audit de la norme PCI DSS Cette section fournit une présentation générale du processus d'audit de la norme PCI DSS utilisé par les auditeurs pour évaluer la conformité d'une entreprise aux exigences de cette norme.
Ce livre blanc venant en complément du Guide de planification de la mise en conformité aux réglementations, il convient de vous y référer pour la planification d'une solution complète de mise en conformité à toutes les exigences règlementaires applicables à votre organisation.
Synthèse
Si votre organisation traite, stocke ou transmet des informations de détenteurs de carte de paiement, vos exigences de fonctionnement doivent être conformes à celles de la norme de sécurité des données relative au secteur des cartes de paiement (PCI DSS). Les exigences fixées par ces normes, qui ont été élaborées par le PCI Security Standards Council, sont censées créer le niveau minimum acceptable de sécurité pour les détenteurs de carte qui font appel aux services de votre organisation.
Or, la situation est rendue complexe par trois problèmes. Le premier vient de l'impact possible de la mise en conformité aux exigences de la norme PCI DSS sur l'ensemble de votre organisation. Il est important de coordonner les efforts de mise en conformité à la norme PCI DSS entre les différents services et d'appliquer la même stratégie à l'échelle de l'organisation. La deuxième complication peut venir de l'existence de plusieurs réglementations, qui obligent votre organisation à se conformer aux exigences qui leur sont propres. Il n'est pas étonnant de constater que bon nombre de sociétés ont des difficultés à trouver des moyens de répondre de façon adéquate à ces diverses exigences réglementaires, tout en mettant en œuvre des processus et des procédures rentables pour préserver leur conformité aux réglementations. La troisième pierre d'achoppement vient du fait que la norme PCI DSS ne fait que très peu mention des contrôles informatiques, à l'instar de nombreuses autres réglementations, ce qui laisse les responsables informatiques devant la nécessité de déterminer exactement ce qu'ils doivent faire pour se mettre et rester en conformité avec la réglementation, avec peu d'indications.
Le Guide de planification de la mise en conformité à la norme de sécurité des données relative au secteur des cartes de paiement (PCI DSS) s'adresse aux responsables informatiques chargés de faire respecter les obligations de la norme PCI DSS propres à leur société. L'objet de ce guide est de faire comprendre aux responsables informatiques les actions qu'ils peuvent entreprendre pour répondre à bon nombre d'exigences en matière de contrôles informatiques applicables à leur organisation, notamment les exigences de conformité à la norme PCI DSS. Pour cela, le guide fournit des informations sur les solutions que vous pouvez utiliser dans le cadre de ce processus.
Pour une approche plus complète sur la façon de satisfaire aux multiples normes règlementaires, reportez-vous au Guide de planification de la mise en conformité aux réglementations (la page peut être en anglais).
Important Ce guide de planification ne fournit pas de conseils juridiques. Il fournit uniquement des informations factuelles et techniques sur la conformité aux réglementations. En conséquence, ne vous appuyez pas uniquement sur ce guide pour obtenir des conseils sur la façon de satisfaire aux exigences réglementaires. Pour toute question spécifique, consultez votre conseiller juridique ou auditeur.
Public visé
Le Guide de planification de la mise en conformité aux réglementations s'adresse principalement aux individus chargés de se s'assurer que leur organisation collecte, traite, transmet et stocke les données des détenteurs de carte de manière sûre et fiable, tout en préservant leur confidentialité. Ce guide s'adresse aux responsables informatiques officiant aux postes suivants :
responsables informatiques chargés du déploiement et du fonctionnement des systèmes et des processus informatiques ;
responsables de la sécurité informatique en charge du programme général de sécurité informatique et de la conformité aux stratégies de sécurité informatique ;
directeurs financiers chargés de l'environnement de contrôle global de leur organisation ;
responsables de la confidentialité chargés de la mise en œuvre de stratégies relatives à la gestion des informations personnelles, notamment les stratégies qui vont dans le sens de la conformité aux lois sur la protection de la vie privée et des données ;
décideurs techniques chargés d'identifier les solutions technologiques à même de résoudre certains problèmes de fonctionnement ;
responsables des opérations informatiques chargés du fonctionnement des systèmes et des processus qui exécutent le programme de mise en conformité à la norme PCI DSS ;
architectes de sécurité informatique chargés de la conception de systèmes de sécurité et de contrôles informatiques à même d'offrir un niveau de sécurité approprié pour répondre aux besoins commerciaux de leur organisation ;
architectes d'infrastructure informatique chargés de la conception d'infrastructures qui puissent prendre en charge la sécurité et les contrôles informatiques conçus par les architectes de sécurité informatique ;
consultants et partenaires qui fournissent des recommandations ou mettent en œuvre les meilleurs pratiques en matière de confidentialité et de sécurité pour permettre à leurs clients d'atteindre les objectifs de conformité à la norme PCI DSS.
Outre ce public, ce guide peut également s'avérer un outil précieux pour les personnes suivantes :
responsables du rapport Risques/Conformité chargés de la gestion globale du risque dans le cadre de la mise en conformité de leur organisation aux exigences de la norme PCI DSS ;
responsables de l'audit informatique chargés d'auditer les systèmes informatiques et de réduire la charge de travail des auditeurs informatiques internes et externes.
Qu'est-ce que la norme de sécurité des données relative au secteur des cartes de paiement (PCI DSS) ?
La norme de sécurité des données (DSS) relative au secteur des cartes de paiement (PCI) est un ensemble d'exigences de portée générale destinées à assurer la sécurité des informations de carte de crédit de leurs titulaires, indépendamment du mode et du lieu de collecte, de traitement, de transmission et de stockage de ces données. Élaborée par les membres fondateurs du PCI Security Standards Council (American Express, Discover Financial Services, JCB, MasterCard Worldwide et Visa International), la norme PCI DSS vise à encourager l'adoption à l'échelon international de mesures de sécurité des données cohérentes.
Les exigences de la norme PCI DSS concernent les sociétés et les organisations qui manipulent des données de détenteurs de carte dans le cadre de leur activité quotidienne. Plus précisément, la norme PCI DSS fixe des conditions aux institutions financières, aux commerçants et aux prestataires de services qui manipulent des données de détenteurs de carte tout au long d'une journée de travail classique. La norme PCI DSS se compose d'une liste d'exigences portant sur la gestion de la sécurité, les stratégies, les procédures, l'architecture réseau, la conception logicielle, ainsi que d'autres mesures destinées à protéger les données relatives aux détenteurs de carte.
La version la plus récente de la norme PCI DSS est la version 1.1, qui a été rendue publique en septembre 2006. Elle est organisée en un groupe de six principes et de douze exigences associées. Chaque exigence est subdivisée en sous-exigences, pour lesquelles vous devez mettre en œuvre des processus, des stratégies ou des solutions technologiques pour être conforme à l'exigence. Les stratégies et les exigences relatives à la norme PCI DSS sont les suivantes :
Concevoir et maintenir un réseau sécurisé
Exigence 1 : installer et gérer une configuration de pare-feu pour protéger les données des détenteurs de carte.
Exigence 2 : ne pas utiliser les valeurs par défaut prédéfinies en ce qui concerne les mots de passe système et les autres paramètres de sécurité.
Protéger les données relatives aux détenteurs de carte
Exigence 3 : protéger les données stockées relatives aux détenteurs de carte.
Exigence 4 : chiffrer la transmission des données des détenteurs de carte via les réseaux publics ouverts.
Gérer un programme de gestion des vulnérabilités
Exigence 5 : utiliser un antivirus et le mettre à jour régulièrement.
Exigence 6 : développer et gérer des systèmes et des applications sécurisés.
Mettre en place des mesures de contrôle d'accès fortes
Exigence 7 : limiter l'accès de l'entreprise aux données des détenteurs.
Exigence 8 : attribuer un identificateur unique à chaque personne bénéficiant d'un accès à un ordinateur.
Exigence 9 : limiter l'accès physique aux données des détenteurs de carte.
Effectuer un suivi et des tests réguliers des réseaux
Exigence 10 : assurer le suivi et contrôler tous les accès aux ressources réseau et aux données des détenteurs de carte.
Exigence 11 : tester régulièrement les systèmes et les processus de sécurité.
Gérer une stratégie de sécurité des informations
- Exigence 12 : gérer une stratégie de sécurité des informations.
Les exigences 9 et 12 ne nécessitent pas la mise en œuvre de solutions technologiques. L'exigence 9 vous impose d'assurer la sécurité physique des emplacements où sont stockées et traitées les données des détenteurs de carte. Cela peut notamment consister à mettre en place une sécurité d'accès aux bâtiments, à installer un équipement de surveillance et à en assurer la maintenance, et à exiger des contrôles d'identité pour tous les individus qui travaillent ou se rendent dans vos établissements. L'exigence 12 vous impose de créer une stratégie de sécurité des informations et de la communiquer à vos employés, fournisseurs et autres tiers qui, au sein de votre organisation, manipulent des données de détenteurs de carte.
Planification de la mise en conformité à la norme PCI DSS
La création en vase clos de vos propres solutions de mise en conformité à la norme PCI DSS n'est ni efficace, ni rentable. Il existe d'autres réglementations dont vous devez tenir compte au moment de planifier votre approche de mise en conformité aux exigences de la norme PCI DSS. Exemples de réglementations :
Sarbanes-Oxley Act (SOX) ;
Gramm-Leach-Bliley Act (GLBA) ;
Health Insurance Portability and Accountability Act (HIPAA) ;
directive de l'Union européenne sur la protection des données ;
code de pratique pour la gestion de la sécurité des informations (ISO 17799:2005).
Remarque Si votre organisation est une entreprise multinationale, vous devez vous assurer qu'elle satisfait aux réglementations nationales de l'ensemble des pays où elle est présente. Microsoft vous recommande de consulter un conseiller juridique qui soit en mesure de vous renseigner sur toutes les réglementations en vigueur dans les pays où votre organisation est implantée.
Pour plus d'informations sur la planification de la mise en conformité à chacune de ces réglementations, reportez-vous au Guide de planification de la mise en conformité aux réglementations (la page peut être en anglais).
Les solutions de mise en conformité à la norme PCI DSS imaginées par votre organisation doivent être élaborées en tenant compte des deux aspects suivants :
les solutions actuelles qui satisfont à d'autres exigences réglementaires ;
les meilleurs moyens de créer de nouvelles solutions qui répondent à toutes les exigences réglementaires.
Pour permettre à votre organisation d'atteindre efficacement ses objectifs de conformité aux réglementations, Microsoft préconise l'emploi d'une structure de contrôles. Votre organisation pourra ainsi y recenser les réglementations et les normes applicables et se concentrer ensuite avec plus d'efficacité sur la création de contrôles informatique à même de satisfaire aux exigences définies dans la structure plutôt qu'aux réglementations individuelles.
Par ailleurs, à mesure que de nouvelles normes et réglementations applicables à votre organisation apparaîtront, vous pourrez les recenser dans la structure et concentrer vos efforts sur les parties de la structure dont les exigences ont évolué. Vous pourrez également y recenser divers types d'exigences liées aux contrôles informatiques, notamment des exigences spécifiques à un secteur, telles que celles qui concernent la sécurité du secteur des cartes de paiement, les stratégies internes, etc.
Une structure offre nombre d'avantages appréciables aux organisations qui cherchent à atteindre leurs objectifs en matière de conformité aux réglementations. L'approche de mise en conformité aux réglementations au moyen d'une structure permet aux organisations de :
combiner des contrôles informatiques pour satisfaire à plusieurs normes réglementaires, comme la norme PCI DSS et la directive de l'Union européenne sur la protection des données, et ainsi éviter de recourir à plusieurs audits ;
prendre rapidement en compte les nouvelles réglementations à mesure qu'elles entrent en vigueur ;
établir l'ordre de priorité des dépenses en choisissant les contrôles informatiques qui auront le plus d'impact ;
éviter que les différentes divisions de la société ne réalisent le même travail dans le cadre des objectifs de mise en conformité ;
mettre à jour les réglementations actuelles de façon plus efficace en apportant des modifications d'appoint aux contrôles informatiques existants de votre organisation ;
établir un terrain d'entente entre le service informatique et les auditeurs.
Il va de soi que vous devez examiner la norme PCI DSS proprement dite avant de planifier vos démarches de mise en conformité. Vous pouvez télécharger le détail de la norme PCI DSS à l'adresse https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf (la page peut-être en anglais). Par ailleurs, le PCI Security Standards Council a créé un questionnaire d'auto-évaluation qui peut aider votre organisation à déterminer si elle est en conformité avec la norme PCI DSS. Vous pouvez également l'utiliser pour planifier les efforts de mise en conformité à la norme PCI DSS de votre organisation. Vous pouvez télécharger le questionnaire d'auto-évaluation de conformité à la norme PCI DSS à l'adresse https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf (la page peut être en anglais).
Pour plus d'informations sur la manière de satisfaire aux exigences réglementaires à l'aide de contrôles informatiques, reportez-vous au Guide de planification de la mise en conformité aux réglementations.
Processus d'audit de la norme PCI DSS
Le processus d'audit dans le cadre de la mise en conformité à la norme PCI DSS est généralement identique au processus décrit dans le Guide de planification de la mise en conformité aux réglementations (la page peut être en anglais). Toutefois, vous devez savoir que l'audit PCI DSS se distingue sur plusieurs points.
Les examens d'audit PCI DSS sont effectués par deux types d'organisations tierces connues sous les noms d'évaluateurs de sécurité qualifiés (QSA, Qualified Security Assessors) et de prestataires d'analyse approuvés (ASV, Approved Scanning Vendors). Les QSA assurent la partie sur site de l'audit, tandis que les ASV analysent la vulnérabilité des environnements Internet de votre organisation. Les entreprises qui deviennent QSA et ASV doivent être inspectées et agréées par le PCI Data Security Council (PCI DSC) une fois par an.
Le QSA se doit de préparer un rapport après l'audit de votre organisation, et ce rapport doit respecter certaines directives définies par le PCI DSC. Ces directives sont contenues dans un document de procédures d'audit PCI, que vous pouvez télécharger à l'adresse https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf (la page peut être en anglais). Elles précisent la façon dont doit être organisé le rapport que doit présenter QSA à l'issue de l'audit. Ce rapport doit comporter les coordonnées de votre organisation, la date de l'audit, une synthèse, une description de l'étendue du travail et l'approche adoptée par le QSA lors de l'audit de votre organisation, le résultat des analyses trimestrielles, ainsi que les découvertes et les observations du QSA. C'est dans la dernière section que figure l'essentiel des informations sur la conformité de votre organisation vis-à-vis de la norme PCI DSS. Dans cette partie du rapport, le QSA suit un canevas pour faire état de la conformité de votre organisation aux différentes exigences et sous-exigences de la norme PCI DSS.
Avant de planifier les audits PCI DSS pour votre organisation ou, mieux encore, au moment de planifier la mise en conformité à la norme PCI DSS, les principaux membres de votre organisation doivent passer en revue les procédures d'audit PCI DSS. Cela vous permettra de mieux cerner les points que vérifiera le QSA au cours de l'audit.
L'ASV doit également préparer un rapport sur les résultats de ses analyses de la vulnérabilité des environnements Internet de votre organisation. Les directives pour ce rapport sont contenues dans un document de procédure d'analyse PCI, que vous pouvez télécharger à l'adresse https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf (la page peut être en anglais). Ce document précise les éléments de l'environnement de votre organisation que doit analyser l'ASV et fournit des indications qui vous aideront à lire et à interpréter le rapport de l'ASV.
En qualité de commerçant ou de prestataire de services, votre organisation doit se conformer aux exigences de rapport de conformité propres à chaque société de carte de paiement pour être certain que chacune d'elles reconnaît le statut de conformité de votre organisation. Autrement dit, si votre organisation a pour activité la prestation de services et qu'elle manipule des données Visa et American Express, vous devrez soumettre vos rapports de conformité à ces deux sociétés.
Les règles et les procédures de conformité varient légèrement d'une société de carte de paiement à l'autre. Pour plus d'informations sur les exigences de conformité à la norme PCI DSS propres à chaque société et sur leurs programmes destinés à aider les commerçants et les prestataires de services à se mettre en conformité, prenez contact auprès des sociétés de carte de paiement pour lesquelles votre organisation traite, transmet ou stocke des données de détenteurs de carte.
.gif){kind=icon}
Satisfaction des exigences de la norme PCI DSS
Cette section détaille les solutions technologiques Microsoft qui s'offrent à votre organisation au moment de planifier la mise en conformité à la norme PCI DSS. Vous devez incorporer les solutions que vous choisissez aux opérations quotidiennes de votre organisation. Comme indiqué dans la section Planification de la mise en conformité à la norme PCI DSS, vos stratégies, procédures et solutions technologiques de mise en conformité aux réglementations doivent s'envisager à l'échelle de l'organisation tout entière, et vous devez réfléchir à l'impact de la mise en conformité à la norme PCI DSS sur toutes les composantes de votre société.
Pour en savoir plus sur les implications du mappage de contrôles informations aux solutions de technologie, consultez le Guide de planification de la mise en conformité aux réglementations (la page peut être en anglais).
Gestion documentaire
Les solutions de gestion documentaire combinent processus et logiciels pour vous aider à gérer des informations non structurées au sein de votre organisation. Ces informations peuvent exister sous des formes numériques diverses et variées (documents, images, fichiers audio et vidéo et fichiers XML).
Exigences de la norme PCI DSS satisfaites
La mise en œuvre de solutions de gestion de documents peut faciliter la mise en conformité à la norme PCI DSS sur deux points. En premier lieu, le recours à de telles solutions pour gérer les documents qui contiennent des données de détenteurs de carte peut contribuer à satisfaire aux exigences de la norme PCI DSS relatives à l'accès, à la gestion et à la protection des données. Plus spécifiquement, vous pouvez utiliser des solutions de gestion documentaire pour satisfaire à l'exigence 7 et à la sous-exigence 10.2.1. En second lieu, vous pouvez utiliser des systèmes de gestion documentaire pour gérer et publier des stratégies telles que celles requises pour remplir les conditions des sections 3.6, 6.4, 9.2 et 12.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft propose plusieurs technologies que vous pouvez utiliser conjointement et indépendamment pour créer des contrôles informatiques pour la gestion documentaire. Vous devez concevoir ces contrôles pour répondre aux exigences de la norme PCI DSS et, le cas échéant, aux autres exigences réglementaires applicables à votre organisation.
Services RMS Microsoft® Windows® Les services RMS (Rights Management Services) de Microsoft Windows consistent en une plateforme logicielle qui permet de protéger les applications contre une utilisation non autorisée des données numériques (en ligne et hors connexion, à l'intérieur ou à l'extérieur du pare-feu). RMS est la technologie sur laquelle reposent les fonctionnalités de Gestion des droits relatifs à l'information (IRM) de Microsoft Office et Windows SharePoint® Services. Un serveur RMS, déployé en interne ou auquel on accède par le biais d'un service hébergé, est nécessaire à l'utilisation de ces fonctionnalités.
RMS peut renforcer la stratégie de sécurité de votre organisation en protégeant les informations au moyen de stratégies d'utilisation permanentes, qui demeurent attachées aux informations, quelle que soit leur destination. Des applications compatibles avec RMS peuvent être utilisées pour gérer, contrôler et auditer l'accès aux documents contenant des informations de détenteurs de carte. Le client RMS est intégré au système d'exploitation Windows Vista™. Pour les autres versions de Windows, le client RMS est disponible en téléchargement gratuit. Pour plus d'informations sur les services RMS, reportez-vous au site Web suivant : http://www.microsoft.com/rms (la page peut être en anglais).
Microsoft Office SharePoint Server SharePoint Server est un serveur de gestion de contenu et de collaboration qui vous permet de disposer d'une seule et même plateforme intégrée pour répondre aux besoins de gestion de documents et de portail de votre organisation. Il vous permet de gérer des applications intranet, extranet et Web à l'échelle de l'entreprise, et met à la disposition de vos informaticiens et développeurs la plateforme et les outils nécessaires à l'administration du serveur, à l'extensibilité des applications et à l'interopérabilité. SharePoint Server peut servir d'espace de stockage central pour les documents contenant des données de détenteurs de carte, de même que pour les documents décrivant les stratégies et les processus. SharePoint Server 2007 étant intégré à RMS, les stratégies de contrôle d'accès peuvent être appliquées à toutes les copies du contenu téléchargé à partir de SharePoint Server 2007. Cette fonctionnalité permet aux administrateurs de site de protéger les téléchargements opérés à partir d'une bibliothèque de documents par le biais d'IRM. Ainsi, lorsqu'un utilisateur tente de télécharger un fichier à partir de la bibliothèque, Microsoft Windows SharePoint Services vérifie que cet utilisateur dispose de droits d'accès au fichier en question et émet une licence à destination de l'utilisateur, ce qui lui permet d'accéder au fichier au niveau d'autorisation approprié. Windows SharePoint Services télécharge alors le fichier sur l'ordinateur de l'utilisateur dans un format de fichier chiffré et dont les droits sont gérés. Pour plus d'informations sur les produits et technologies Microsoft SharePoint, reportez-vous au site Web suivant : http://go.microsoft.com/fwlink/?linkid=12632 (la page peut être en anglais).
Microsoft Exchange Server Pour la plupart des entreprises d'aujourd'hui, la messagerie électronique est l'outil de communication incontournable dont les employés ont besoin pour être pleinement efficaces. Le développement massif de la messagerie électronique a eu pour conséquence d'accroître le nombre de messages envoyés et reçus, la quantité et la variété de travail réalisé par courrier électronique, et même la réactivité de l'entreprise elle-même. Exchange Server offre une plateforme de messagerie élaborée destinée à gérer les échanges d'informations dans votre organisation tout en contribuant à satisfaire aux objectifs de conformité à la norme PCI DSS. Exchange Server 2007 intègre une messagerie unifiée qui regroupe dans une boîte de réception unique les messages électroniques, les messages vocaux et les télécopies envoyés à un même utilisateur. Il propose également des fonctionnalités qui permettent à votre organisation d'appliquer des règles de rétention, d'analyser et d'intervenir sur les messages en transit, de procéder à une journalisation flexible, et d'effectuer des recherches de texte enrichi dans toutes les boîtes aux lettres déployées. Pour plus d'informations sur Microsoft Exchange Server, reportez-vous au site Web suivant : http://www.microsoft.com/exchange/default.mspx (la page peut être en anglais).
Microsoft Office Office est la principale suite d'applications de productivité de l'entreprise. Les fonctionnalités IRM de Microsoft Office permettent aux organisations de contrôler l'accès aux informations confidentielles telles que les données des détenteurs de carte.
Plus précisément, voici en quoi les fonctionnalités IRM d'Office aident votre organisation :
Un utilisateur autorisé qui reçoit des informations protégées ne peut pas transférer, copier, modifier, imprimer, télécopier ou couper et coller ces informations pour une utilisation non autorisée.
Les informations protégées ne peuvent pas être copiées à l'aide de la fonction d'impression écran de Windows.
Les informations sont toujours fournies avec le même niveau de protection, quelle que soit leur destination. On parle dans ce cas de protection permanente.
Le même niveau de protection est appliqué aux pièces jointes aux messages électroniques, pourvu que ces pièces jointes soient des fichiers créés avec d'autres programmes Office, tels que Microsoft Excel® ou Microsoft Word.
Les informations contenues dans les messages électroniques ou les documents prévus pour expirer sont protégées, si bien qu'elles ne peuvent plus être consultées à l'issue de la période spécifiée.
Les stratégies d'entreprise qui régissent l'utilisation et la diffusion d'informations à l'intérieur et à l'extérieur de la société sont mises en application.
Évaluation des risques
L'évaluation des risques est le processus par lequel votre organisation identifie les risques de votre entreprise et les classe par ordre de priorité. En règle générale, une méthode systématique est employée pour identifier les atouts d'un système de traitement de l'information, les menaces associées à ces atouts, ainsi que la vulnérabilité du système face à ces menaces. Dans le contexte de la conformité aux réglementations, l'évaluation des risques consiste à évaluer le niveau de conformité de votre organisation et les défauts de conformité. Au moment de planifier la mise en conformité à la norme PCI DSS, votre principal souci sera d'identifier les risques liés aux données des détenteurs de carte et de hiérarchiser ces menaces.
Exigences de la norme PCI DSS satisfaites
L'évaluation des risques peut vous aider à répondre aux exigences de la norme PCI DSS de différentes manières. Elle vous permet d'identifier les parties de votre réseau qui requièrent une mise à niveau pour être conformes. Même après avoir obtenu la conformité initiale, l'évaluation des risques s'avère importante pour déterminer si votre organisation reste en conformité dans le temps. Dans la mesure où l'évaluation des risques permet de résoudre un certain nombre de problèmes potentiels, elle peut vous aider à vous mettre en conformité avec de nombreuses exigences de la norme PCI DSS, notamment les exigences 1, 3, 4, 5, 6, 7, 8 et 11.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft propose plusieurs technologies que vous pouvez utiliser conjointement et indépendamment pour créer des contrôles informatiques pour l'évaluation des risques. Vous devez concevoir ces contrôles pour répondre aux exigences de la norme PCI DSS et, le cas échéant, aux autres exigences réglementaires applicables à votre organisation.
- **Microsoft Baseline Security Analyzer (MBSA)** L'un des principaux outils que vous pouvez utiliser pour évaluer les risques associés aux données des détenteurs de carte dans votre organisation est MBSA. MBSA est un outil convivial qui vous permet d'identifier les problèmes courants de configuration de la sécurité dans divers produits Microsoft, y compris les systèmes d'exploitation Microsoft Windows, les services IIS (Internet Information Services), SQL Server™, Microsoft Internet Explorer® et Microsoft Office. MBSA effectue également des analyses, à la recherche de mises à jour de sécurité, de correctifs cumulatifs et de Service Packs manquants, qui sont publiés sur Microsoft Update. Vous pouvez exécuter MBSA à partir de l'invite de commandes dans son interface utilisateur, et vous pouvez l'utiliser conjointement avec Microsoft Update et Microsoft Windows Server® Update Services. Il est très important de maintenir vos systèmes à jour pour assurer un niveau de sécurité optimal pour les données des détenteurs de carte. À ce titre, MBSA peut s'avérer un outil inestimable pour évaluer les risques associés aux données dans votre organisation. Pour plus d'informations sur MBSA, reportez-vous à la page Microsoft Baseline Security Analyzer à l'adresse
- **Microsoft Systems Management Server** Si votre organisation utilise Microsoft Systems Management Server (SMS) pour gérer ses ordinateurs client et ses serveurs, vous possédez peut-être déjà les outils dont vous avez besoin pour procéder à une évaluation des risques inhérents aux données des détenteurs de carte. Avec SMS, votre organisation peut gérer à distance les paramètres de sécurité des ordinateurs exécutant un système d'exploitation Windows sur des réseaux distribués. Vous pouvez déterminer si les ordinateurs de votre réseau ont installé les mises à jour logicielles requises et suivre la progression des déploiements de mises à jour sur ces ordinateurs. SMS vous permet également de générer des rapports qui identifient votre inventaire matériel et logiciel complet, les détails et l'état de configuration des ordinateurs de votre réseau, ainsi que l'état des déploiements de logiciels et les erreurs de déploiement. Ces fonctionnalités SMS peuvent s'avérer très précieuses dans le cadre de l'évaluation des risques associés aux données des détenteurs de carte au sein de votre organisation. Pour plus d'informations sur SMS, reportez-vous à la page d'accueil de Microsoft Systems Management Server à l'adresse
- **Collecte d'audit de Microsoft System Center Operations Manager** Operations Manager 2007 est capable d'extraire et de recueillir les journaux de sécurité des systèmes d'exploitation Windows et de les stocker à des fins d'analyses et de rapports ultérieurs dans des conditions de sécurité et d'efficacité optimales. Les journaux extraits sont stockés dans une base de données de collecte d'audit distincte. Operations Manager est fourni avec des rapports qui peuvent être utilisés pour les données de collecte d'audit. La collecte d'audit peut être utilisée pour produire divers rapports de conformité, tels que les audits Sarbanes-Oxley complémentaires. La collecte d'audit peut également servir pour l'analyse de la sécurité, comme la détection des intrusions et des tentatives d'accès non autorisés. Pour plus d'informations sur les services ACS, reportez-vous au site Web suivant :
-
**Windows Server Update Services (WSUS)** Windows Server Update Services (WSUS) avec Service Pack 1 permet à votre organisation de déployer un grand nombre de mises à jour de produits Microsoft récemment publiées sur le site Microsoft Update. WSUS est un composant de mise à jour de Windows Server et offre un moyen rapide et efficace de maintenir vos systèmes à jour. WSUS fournit une infrastructure d'évaluation des risques qui se compose des éléments suivants :
Microsoft Update Site Web Microsoft auquel les composants WSUS se connectent pour les mises à jour de produits Microsoft.
Serveur WSUS Composant serveur installé sur un ordinateur exécutant un système d'exploitation Microsoft Windows 2000 Server avec Service Pack 4 (SP4) ou Windows Server 2003 à l'intérieur d'un pare-feu d'entreprise. Le serveur WSUS intègre les fonctionnalités dont ont besoin les administrateurs pour gérer et distribuer les mises à jour par le biais d'un outil Web accessible à partir d'Internet Explorer sur n'importe quel ordinateur Windows du réseau d'entreprise. En outre, un serveur WSUS peut faire office de source de mises à jour pour d'autres serveurs WSUS.
Mises à jour automatiques Composant d'ordinateur client intégré aux systèmes d'exploitation Microsoft Windows Vista, Windows Server 2003, Windows XP et Windows 2000 avec Service Pack 3. Les Mises à jour automatiques permettent aux ordinateurs serveur et client de recevoir les mises à jour de Microsoft Update ou d'un serveur exécutant WSUS.
Ces services vous permettent de fournir à tous les environnements hôtes de votre réseau les derniers correctifs de sécurité Microsoft pour les produits installés sur les hôtes en question.
- **Stratégie de groupe** La stratégie de groupe est une infrastructure qui permet à vos informaticiens d'implémenter des configurations spécifiques pour les utilisateurs et les ordinateurs. Les paramètres de stratégie de groupe sont contenus dans des objets de stratégie de groupe (GPO), qui sont liés aux conteneurs des services d'annuaire Microsoft Active Directory® suivants : sites, domaines ou unités d'organisation (UO). Vous pouvez gérer de façon centralisée les ordinateurs d'un réseau distribué à l'aide de la stratégie de groupe. Étant donné que vos administrateurs peuvent utiliser la stratégie de groupe pour distribuer des logiciels à travers un site, un domaine ou diverses unités d'organisation, cet outil peut s'avérer important pour identifier les risques auxquels l'environnement informatique de votre organisation est exposé. Vous pouvez utiliser la Console de gestion des stratégies de groupe (GPMC) Microsoft pour gérer les paramètres de stratégie de groupe. La console GPMC vise à simplifier la gestion de la stratégie de groupe en permettant de gérer ses principaux éléments d'un seul et même emplacement. Elle répond aux principales exigences en matière de déploiement de la stratégie de groupe, conformément aux demandes des clients, en offrant les avantages suivants :
une interface utilisateur qui facilite l'utilisation de la stratégie de groupe ;
l'aptitude à sauvegarder et restaurer des GPO ;
l'aptitude à importer, exporter, copier et coller des GPO et des filtres WMI (Windows Management Instrumentation) ;
un moyen simplifié de gérer la sécurité liée à la stratégie de groupe ;
la possibilité de générer des rapports HTML pour les paramètres de GPO et les données de jeu de stratégies résultantes (RSoP) ;
l'aptitude à écrire sous forme de script des opérations GPO exposées par la console GPMC (ne permet pas toutefois d'écrire sous forme de script les paramètres à l'intérieur d'un GPO) ;
Pour plus d'informations, reportez-vous à la page d'accueil de Windows Server Update Services à l'adresse http://www.microsoft.com/windowsserversystem/updateservices/default.mspx (la page peut être en anglais).
Pour plus d'informations, reportez-vous à la page Web Windows Server 2003 Group Policy à l'adresse http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx et à la présentation de la console de gestion des stratégies de groupe à l'adresse http://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx (ces pages peuvent être en anglais).
La gestion des changements est un processus structuré qui consiste à évaluer les changements à apporter à un plan de projet, une infrastructure informatique, aux déploiements logiciels ou à d'autres processus ou procédures de votre organisation. Un système de gestion des changements peut vous aider à définir un changement, à évaluer son impact, à déterminer les actions à entreprendre pour le mettre en œuvre, et à communiquer des informations sur le changement à travers votre organisation. Il peut également vous aider à assurer le suivi des changements que vous apportez à l'échelle de votre organisation. Vous pouvez ainsi garder la maîtrise de votre environnement informatique à mesure que vous y apportez des changements.
Par exemple, le système d'une organisation peut comporter une base de données destinée à aider son personnel à prendre des décisions plus avisées eu égard aux futurs changements à apporter, sur la base des données historiques qui indiquent le succès ou l'échec de changements similaires déjà testés par le passé. La gestion des changements est également un processus structuré qui communique à toutes les parties concernées l'existence et l'état des changements. Ce processus peut produire un système d'inventaire qui indique les actions qui ont été menées et à quel moment les actions auront une incidence sur l'état des ressources principales, le but étant d'anticiper et éliminer les problèmes et de simplifier la gestion des ressources.
Exigences de la norme PCI DSS satisfaites
La gestion des changements est tout aussi cruciale dans le cadre de la mise en conformité à la norme PCI qu'à celle de n'importe quelle autre réglementation. Si votre organisation n'a pas connaissance des changements qui ont été apportés à son environnement informatique, il lui sera difficile de prétendre de façon catégorique qu'il est sécurisé. Le suivi des changements opérés dans le réseau, les systèmes, les stratégies et les procédures de votre entreprise permet de répondre aux exigences 6 et 11 de la norme PCI DSS.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft propose plusieurs technologies que vous pourrez prendre en considération au moment de concevoir vos solutions de gestion des changements.
Microsoft Office SharePoint Server En plus d'être une option technologique pour vos solutions de gestion documentaire, Microsoft Office SharePoint Server peut également constituer un élément clé du système de gestion des changements de votre organisation. Vous pouvez exploiter ses fonctionnalités de suivi de version pour surveiller dans le temps les changements opérés dans les documents de stratégies et de processus, les mises à jour et autres modifications dans les applications, ainsi que les changements apportés dans les logiciels approuvés.
Microsoft Systems Management Server Non seulement vous pouvez utiliser SMS pour gérer l'évaluation des risques pour votre organisation, mais vous pouvez également tirer parti de ses fonctionnalités de gestion pour effectuer le suivi des changements opérés dans les systèmes informatiques de votre organisation. Le suivi pourra porter aussi bien sur les modifications apportées aux paramètres de sécurité que sur les applications installées sur les ordinateurs client du réseau. De même, vous pouvez utiliser les fonctionnalités de génération de rapports intégrées à SMS pour passer en revue les modifications qui ont été apportées aux ordinateurs de votre organisation et pour déterminer si ces changements répondent aux exigences de sécurité que vous avez établies.
Fonctionnalité DCM version 2.0 de Microsoft SMS 2003. Vous pouvez enrichir vos opérations SMS grâce à la fonctionnalité DCM (Desired Configuration Monitoring) de SMS 2003, qui permet de contrôler la configuration désirée. Ainsi, vous pouvez utiliser DCM pour automatiser les audits de gestion de configuration au cours desquels les paramètres de configuration désirés ou définis sont comparés aux paramètres de configuration effectifs. DCM accomplit cette tâche en permettant à l'utilisateur de définir les paramètres de configuration désirés pour le matériel, le système d'exploitation et les applications dans plusieurs sources de données de configuration. Après quoi, grâce au moteur d'audit fourni, DCM compare les paramètres désirés aux paramètres effectifs et établit un rapport de conformité de configuration.
Microsoft Desktop Optimization Pack pour Software Assurance Microsoft Desktop Optimization Pack pour Software Assurance est un service par abonnement qui permet de réduire les coûts de déploiement d'applications, de mettre à disposition des applications sous forme de services et d'améliorer la gestion et le contrôle des environnements graphiques d'entreprise. Le Desktop Optimization Pack vous permet d'améliorer les processus de gestion des changements et les restaurations via :
une gestion de la stratégie de groupe améliorée ;
une réduction des temps d'arrêt ;
un accès à la demande aux applications pour les utilisateurs approuvés.
Sécurité réseau
Les solutions de sécurité réseau appartiennent à une grande famille de solutions destinées à assurer la sécurité du réseau de l'organisation dans tous ses aspects, notamment les pare-feu, les serveurs, les clients, les routeurs, les commutateurs et les points d'accès. La planification et le contrôle de la sécurité du réseau de votre organisation sont des éléments clés pour obtenir la conformité à la norme PCI DSS. Alors qu'il existe une grande variété de solutions en matière de sécurité réseau, votre organisation doit logiquement compter de nombreux éléments constitutifs d'un réseau sécurisé. Il est probablement plus efficace et rentable de s'appuyer sur les solutions de sécurité réseau que vous avez déjà mises en œuvre plutôt que d'en aménager une nouvelle.
Néanmoins, il se peut que vous envisagiez d'apporter des modifications à certaines technologies employées dans votre organisation ou de mettre en œuvre de nouvelles solutions que vous n'avez pas déjà intégrées à votre stratégie de sécurité réseau. Microsoft propose plusieurs solutions technologiques et autres aides pour mettre en œuvre des solutions de sécurité réseau qui répondent aux besoins de votre organisation.
Exigences de la norme PCI DSS satisfaites
La norme de sécurité des données relative au secteur des cartes de paiement ne laisse aucun doute quant à la nécessité d'établir des réseaux sécurisés à l'échelle de l'organisation pour aboutir à la conformité. La stratégie 1 stipule que pour être conforme, une organisation doit mettre en place un réseau sécurisé et en assurer la pérennité. L'exigence 1 précise que les organisations doivent installer et gérer une configuration de pare-feu pour protéger les données des détenteurs de carte. Quant à l'exigence 2, elle stipule que les organisations doivent modifier les paramètres par défaut prédéfinis pour les mots de passe système et les autres paramètres de sécurité. Les solutions de sécurité réseau permettent également à votre organisation de satisfaire aux exigences 4 et 10, qui vous obligent respectivement à chiffrer la transmission des données des détenteurs de carte sur votre réseau et à suivre et contrôler l'accès réseau.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft vous offre le choix parmi plusieurs technologies pour vous aider à satisfaire aux deux premières exigences de la norme.
Pare-feu Microsoft Windows Windows XP Service Pack 2 (SP2) intègre le Pare-feu Windows, qui a remplacé le pare-feu de connexion Internet (ICF). Le Pare-feu Windows est un pare-feu avec état basé sur l'ordinateur hôte qui bloque le trafic entrant non sollicité qui ne correspond ni à un trafic envoyé en réponse à une demande de l'ordinateur (trafic sollicité), ni à un trafic non sollicité qui a été spécifié comme étant autorisé (trafic faisant l'objet d'une exception). Le Pare-feu Windows offre un certain niveau de protection face aux utilisateurs et aux programmes malveillants qui s'appuient sur le trafic entrant non sollicité pour attaquer les ordinateurs d'un réseau. Ces fonctionnalités ont été améliorées dans le Pare-feu Windows avec fonctions avancées de sécurité de Windows Vista et de Windows Server « Longhorn ».
Microsoft Internet Security and Acceleration Server Microsoft Internet Security and Acceleration (ISA) Server peut contribuer à sécuriser votre réseau de différentes manières. En premier lieu, vous pouvez l'utiliser pour autoriser des utilisateurs à accéder à distance à des applications d'entreprise via Internet. Pour ce faire, vous pouvez configurer ISA Server pour pré-authentifier les demandes utilisateur entrantes, inspecter l'ensemble du trafic au niveau de la couche Application (y compris le trafic chiffré), et fournir des outils de publication automatisés. En second lieu, si votre organisation a des succursales, ISA Server vous permet d'utiliser la compression HTTP, la mise en cache de contenu et les fonctionnalités de réseau privé virtuel (VPN) pour faciliter et sécuriser l'extension de votre réseau. En troisième lieu, avec ISA Server, vous pouvez prémunir votre réseau contre les menaces Internet, tant internes qu'externes. Vous bénéficiez pour cela de son architecture proxy-pare-feu, de fonctionnalités d'inspection de contenu, de paramètres de stratégie granulaires, et de fonctionnalités d'alerte et de contrôle complètes.
Isolation de serveurs et de domaines à l'aide du protocole IPsec et de la stratégie de groupe Active Directory L'isolation de serveurs et de domaines crée une couche de protection de bout en bout qui peut réduire considérablement les risques d'attaques malveillantes coûteuses, ainsi que les risques d'accès non autorisés à vos ressources réseau. Basée sur le protocole IPsec de Windows et sur la stratégie de groupe Active Directory, cette solution vous permet de segmenter dynamiquement votre environnement Windows en réseaux logiques plus isolés et plus sûrs. Il existe différentes façons de créer un réseau isolé. Vous disposez ainsi d'une certaine souplesse qui vous permet d'isoler logiquement tout un domaine géré ou de créer des réseaux virtuels plus sûrs constitués de serveurs spécifiques, de données confidentielles et de clients. De ce fait, l'accès est limité aux seuls utilisateurs authentifiés et autorisés ou ces serveurs ou réseaux spécifiques sont tenus de protéger toutes les données par chiffrement. En imposant le chiffrement des données pour le trafic échangé entre certains hôtes réseau ou sous-réseaux de réseau, vous pouvez répondre aux exigences de certains partenaires commerciaux et des réglementations en chiffrant les données lorsqu'elles transitent par un réseau.
Assistant Configuration de la sécurité de Windows Server 2003 L'Assistant Configuration de la sécurité peut vous aider à sécuriser votre réseau en réduisant la vulnérabilité aux attaques de vos serveurs exécutant Windows Server 2003, Service Pack 1. L'Assistant Configuration de la sécurité détermine les fonctionnalités minimales requises pour les rôles d'un serveur et les désactive lorsqu'elles n'ont plus d'utilité. Plus spécifiquement, l'Assistant Configuration de la sécurité
désactive les services inutiles ;
bloque les ports inutilisés ;
autorise des restrictions d'adresses ou de sécurité pour les ports laissés ouverts ;
interdit les extensions Web IIS inutiles, le cas échéant ;
réduit l'exposition du protocole au sein des blocs SMB, de LanMan et du protocole LDAP ;
définit une stratégie d'audit à rapport signal/bruit élevé.
Connexion Bureau à distance avec authentification serveur Les connexions Bureau à distance offrent un moyen efficace d'autoriser des utilisateurs à accéder à des ordinateurs client et des serveurs partagés. Cette technologie peut être un moyen économique de créer des ordinateurs de développement et de test partagés. En outre, ces ordinateurs peuvent faire office de points centraux pour divers types de projets, et vous pouvez autoriser des utilisateurs extérieurs à votre réseau à accéder à ces ordinateurs, isolant ainsi les risques qu'ils posent en termes de sécurité réseau. Par ailleurs, la mise à jour du client Connexion Bureau à distance 6.0 permet à vos informaticiens de configurer l'authentification du serveur. Avec l'authentification du serveur, vous pouvez empêcher les utilisateurs de se connecter à un ordinateur ou serveur différent de celui auquel ils avaient l'intention de se connecter et éviter ainsi d'exposer des informations potentiellement confidentielles. Microsoft a introduit cette fonctionnalité dans Windows Vista et Windows Server « Longhorn ». Le client Connexion Bureau à distance 6.0 peut être utilisé par les ordinateurs exécutant Windows Server 2003 avec Service Pack 1 ou Windows XP avec Service Pack 2 (SP2). Ce client permet de se connecter aux anciens serveurs Terminal Server ou bureaux à distance comme auparavant, sauf que l'authentification du serveur ne se produit que lorsque l'ordinateur distant exécute Windows Vista ou Windows Server « Longhorn ».
Wi-Fi Protected Access 2 (WPA2) Si votre organisation utilise un réseau sans fil, vous devez envisager d'adopter des routeurs, des points d'accès et autres périphériques sans fil qui prennent en charge la certification de produit WPA2 (Wi-Fi Protected Access 2). WPA2 est une certification de produit disponible auprès de la Wi-Fi Alliance qui certifie la compatibilité des équipements sans fil avec la norme IEEE 802.11i. La certification WPA2 vise à prendre en charge les caractéristiques de sécurité obligatoires de la norme IEEE 802.11i qui étaient absentes des produits conformes à la certification WPA. Par exemple, WPA2 exige une prise en charge du chiffrement TKIP et AES. WPA2 est disponible dans deux modes :
WPA2-Enterprise, qui utilise l'authentification 802.1X et s'adresse aux réseaux d'infrastructure moyenne à grande ;
WPA2-Personal, qui utilise l'authentification PSK et s'adresse aux réseaux domestiques et de PME.
Protection de l'accès réseau (NAP) La protection de l'accès réseau (NAP) est une plateforme conçue pour Windows Server « Longhorn » et Windows Vista. Elle fournit des composants de mise en application de stratégies qui permettent de s'assurer que les ordinateurs se connectant ou communiquant sur un réseau répondent aux exigences définies par l'administrateur pour assurer l'intégrité du système. Votre organisation peut utiliser une combinaison de composants de validation de stratégies et de limitation d'accès réseau pour contrôler l'accès ou les communications réseau. Vous pouvez également choisir de limiter temporairement l'accès des ordinateurs qui ne satisfont pas aux exigences et ainsi travailler avec un réseau restreint. Selon la configuration que vous choisissez, le réseau restreint peut mettre à disposition les ressources nécessaires à la mise à jour des ordinateurs. Après quoi, ceux-ci répondront aux exigences d'intégrité et bénéficieront d'un accès réseau illimité et de communications normales. NAP intègre une interface de programmation d'applications (API) conçue pour les développeurs et les fournisseurs. Elle leur permet de créer des solutions complètes en matière de validation de stratégies d'intégrité, de limitation d'accès réseau et de mise en conformité permanente aux exigences d'intégrité. NAP fournit des composants de mise en œuvre de l'accès limité pour le protocole IPsec, les connexions réseau authentifiées IEEE 802.1X, les réseaux privés virtuels, ainsi que le protocole DHCP (Dynamic Host Configuration Protocol). Vous pouvez associer ces technologies ou les utiliser séparément. Ces fonctionnalités font de NAP un outil puissant pour garantir l'intégrité et la sécurité de votre réseau.
Microsoft Virtual Server Microsoft Virtual Server 2005 R2 fournit une plateforme de virtualisation qui exécute la plupart des systèmes d'exploitation x86 les plus courants dans un environnement « invité ». Il est pris en charge par Microsoft en tant que hôte pour les systèmes d'exploitation Windows Server et les applications Windows Server System. Grâce à son intégration à divers outils de gestion existants Microsoft et autres, les administrateurs peuvent gérer de façon transparente un environnement Virtual Server 2005 R2 à l'ide de leurs outils de gestion de serveurs physiques existants. En offrant la possibilité à votre organisation d'exécuter plusieurs systèmes d'exploitation sur un même ordinateur, Microsoft Virtual Server peut vous aider à satisfaire aux exigences 2.2.1 de la norme PCI DSS, qui imposent à votre organisation de n'exécuter qu'une seule fonction majeure par serveur. Ainsi, vous pouvez utiliser Virtual Server pour déployer un serveur Web virtuel, un serveur de base de données virtuel et un serveur de fichiers virtuel sur un même ordinateur.
Contrôle d'hôte
Les solutions de contrôle d'hôte permettent de contrôler les systèmes d'exploitation des serveurs et des stations de travail. Par ailleurs, ces solutions mettent en œuvre les meilleures pratiques de sécurité à tous les niveaux du système d'exploitation de chaque hôte, ce qui signifie qu'il utilise toujours les mises à jour et les correctifs logiciels les plus récents, et que les méthodes employées dans le cadre des opérations quotidiennes sont des plus sûres.
Exigences de la norme PCI DSS satisfaites
Les solutions de contrôle d'hôte peuvent vous aider à satisfaire aux exigences de la norme PCI DSS en tenant à jour les systèmes d'exploitation et en veillant à la fiabilité de leur configuration. Plus précisément, le contrôle d'hôte peut vous aider à satisfaire aux exigences 6 et 11 de la norme PCI DSS.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft propose plusieurs technologies que vous pouvez utiliser conjointement et indépendamment pour créer des solutions de contrôle d'hôte. À l'image des autres solutions technologiques, vous devez concevoir ces solutions pour répondre aux exigences de la norme PCI DSS et, le cas échéant, aux autres exigences réglementaires applicables à votre organisation.
Microsoft Baseline Security Analyzer (MBSA) L'un des principaux outils que vous pouvez utiliser pour évaluer les risques associés aux données des détenteurs de carte dans votre organisation est MBSA. MBSA est un outil convivial qui vous permet d'identifier les problèmes courants de configuration de la sécurité dans divers produits Microsoft, notamment le système d'exploitation Windows, les services IIS (Internet Information Services), SQL Server, Internet Explorer et Microsoft Office. MBSA effectue également des analyses, à la recherche de mises à jour de sécurité, de correctifs cumulatifs et de Service Packs manquants, qui sont publiés sur Microsoft Update. Vous pouvez exécuter MBSA à partir de l'invite de commandes ou d'une interface utilisateur, et vous pouvez l'utiliser conjointement avec Microsoft Update et Microsoft Windows Server Update Services. Il est très important de maintenir vos systèmes à jour pour assurer un niveau de sécurité optimal pour les données des détenteurs de carte. À ce titre, MBSA peut s'avérer un outil inestimable pour évaluer les risques associés aux données dans votre organisation.
Microsoft Windows Server Update Services Microsoft Windows Server Update Services (WSUS) avec Service Pack 1 permet à votre organisation de déployer un grand nombre de mises à jour de produits Microsoft récemment publiées sur le site Microsoft Update. WSUS est un composant de mise à jour de Windows Server qui offre un moyen rapide et efficace de maintenir les systèmes à jour. WSUS fournit une infrastructure de gestion constituée des éléments suivants :
Microsoft Update Site Web Microsoft auquel les composants WSUS se connectent pour les mises à jour de produits Microsoft.
Serveur WSUS Composant serveur installé sur un ordinateur exécutant un système d'exploitation Microsoft Windows 2000 Server avec Service Pack 4 (SP4) ou Windows Server 2003 à l'intérieur d'un pare-feu d'entreprise. Le serveur WSUS intègre les fonctionnalités dont ont besoin les administrateurs pour gérer et distribuer les mises à jour via un outil Web accessible à partir d'Internet Explorer sur n'importe quel ordinateur Windows du réseau d'entreprise. En outre, un serveur WSUS peut faire office de source de mises à jour pour d'autres serveurs WSUS.
Mises à jour automatiques Composant d'ordinateur client intégré aux systèmes d'exploitation Windows Vista, Windows Server 2003, Windows XP et Windows 2000 avec SP 3. Avec les Mises à jour automatiques, les ordinateurs serveur et client peuvent recevoir les mises à jour de Microsoft Update ou d'un serveur exécutant WSUS.
Microsoft Systems Management Server Si votre organisation utilise SMS pour gérer ses ordinateurs client et ses serveurs, vous possédez peut-être déjà les outils dont vous avez besoin pour effectuer une évaluation des risques inhérents aux données des détenteurs de carte. Avec SMS, votre organisation peut gérer à distance les paramètres de sécurité des ordinateurs exécutant un système d'exploitation Windows sur des réseaux distribués. Vous pouvez déterminer si les ordinateurs de votre réseau ont installé les mises à jour logicielles requises et suivre la progression des déploiements de mises à jour sur ces ordinateurs. SMS vous permet également de générer des rapports qui identifient votre inventaire matériel et logiciel complet, les détails et l'état de configuration des ordinateurs de votre réseau, ainsi que l'état des déploiements de logiciels et les erreurs de déploiement. Ces fonctionnalités SMS peuvent s'avérer très précieuses dans le cadre de l'évaluation des risques associés aux données des détenteurs de carte au sein de votre organisation.
Microsoft Desktop Optimization Pack pour Software Assurance Microsoft Desktop Optimization Pack pour Software Assurance est un service par abonnement qui permet de réduire les coûts de déploiement d'applications, de mettre à disposition des applications sous forme de services et d'améliorer la gestion et le contrôle des environnements graphiques d'entreprise. Le Desktop Optimization Pack est une solution de contrôle d'hôte efficace qui vous permet de :
rationaliser et accélérer le cycle de gestion des applications, depuis la planification et le déploiement prévisible des logiciels, jusqu'à leur utilisation, gestion et migration ;
améliorer la gestion des actifs logiciels de votre organisation ;
accélérer et simplifier le déploiement et la migration des postes de travail.
Prévention contre les logiciels malveillants
Les solutions de prévention contre les logiciels malveillants constituent des éléments clés de la sécurisation des données des détenteurs de carte à l'échelle de votre réseau. En faisant obstacle au courrier indésirable et en maintenant les systèmes du réseau libres de tout virus et logiciels espions, ces solutions sont l'assurance que les systèmes de votre réseau fonctionneront à leur optimum et que des données confidentielles ne seront pas transmises de façon involontaire à des personnes non autorisées.
Exigences de la norme PCI DSS satisfaites
Les solutions de prévention contre les logiciels malveillants que vous choisissez peuvent vous aider à satisfaire aux exigences 5 et 6 de la norme PCI DSS.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft propose plusieurs technologies que vous pouvez utiliser conjointement et indépendamment pour vous prémunir contre les logiciels malveillants. Vous devez envisager ces technologies comme un moyen pour votre organisation de parfaire votre mise en conformité à la norme PCI DSS et à des exigences réglementaires plus étoffées.
Microsoft Forefront™ Forefront est une suite de produits de sécurité métier qui offrent une protection pour les systèmes d'exploitation client, les serveurs d'applications et l'extrémité du réseau. Vous pouvez utiliser Forefront avec votre infrastructure informatique existante pour protéger vos serveurs et ordinateurs client contre les programmes malveillants et les autres attaques malintentionnées venues de l'intérieur ou de l'extérieur de votre organisation.
Outil de suppression des logiciels malveillants (MSRT) L'outil de suppression des logiciels malveillants (MSRT) de Microsoft analyse les ordinateurs sous Windows XP, Windows 2000 et Windows Server 2003 à la recherche d'infections par des logiciels spécifiques largement répandus, puis supprime ce qu'il trouve. Une fois la détection et la suppression terminées, l'outil affiche la liste des logiciels malveillants qui ont été détectés et supprimés. Microsoft publie une version actualisée de cet outil le deuxième mardi de chaque mois, et à chaque fois que des incidents liés à la sécurité le requièrent.
Filtres tiers avec Microsoft ISA Server En plus de fournir des solutions de sécurité réseau, ISA Server peut vous aider à protéger votre organisation contre les attaques malveillantes. Pour ce faire, vous pouvez utiliser des filtres personnalisés ou tiers afin de supprimer les logiciels malveillants avant qu'ils n'atteignent votre réseau d'entreprise.
Sécurité des applications
Pour répondre aux exigences de la norme PCI DSS, vous devez envisager vos solutions de sécurité des applications sur deux plans. En premier lieu, vous devez exiger que les nouvelles applications créées par les développeurs de votre organisation soient conformes aux pratiques de développement sécurisé. En deuxième lieu, vous devez veiller à respecter les recommandations de sécurité fournies avec les applications logicielles que vous achetez auprès de Microsoft ou de tout autre éditeur tiers.
Exigences de la norme PCI DSS satisfaites
Dans le cadre de vos démarches de mise en conformité à la norme PCI DSS, il importe de développer des applications sûres (qu'il s'agisse d'applications Web ou Windows) et de veiller à ce qu'elles le restent. Plus particulièrement, ces solutions technologiques vous permettent de répondre à l'exigence 6.
Pour obtenir le texte intégral de chacune de ces exigences, reportez-vous à The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais.)
Technologies disponibles
La société Microsoft offre des conseils et des outils spécifiques pour développer des applications sûres. Elle offre également des conseils spécifiques pour utiliser ses principaux produits serveur en toute sécurité.
Microsoft Visual Studio® 2005 Visual Studio 2005 fournit différents outils qui permettent à vos développeurs de vérifier que leur code n'a pas subi de violations de sécurité en phase de développement :
FxCop vérifie que le code managé ne présente pas de défauts, notamment de sécurité.
PREfast est un outil d'analyse statique pour le code C et C++. Il permet à vos développeurs de détecter divers problèmes de sécurité.
Le langage SAL (Sandard Annotation Language) peut aider les développeurs à détecter des bogues de sécurité susceptibles de passer au travers des compilateurs de code C ou C++.
Lorsqu'il s'agit de compiler du code non managé écrit en C ou C++, vos développeurs doivent toujours compiler avec la fonctionnalité de détection de débordement de pile /GS et lier le code avec l'option /SafeESH.
Les développeurs RPC doivent compiler leur code en spécifiant l'indicateur MIDL /robust.
Microsoft Intelligent Application Gateway (IAG) 2007 En tant que partie intégrante de Microsoft Forefront Network Edge Security, IAG fournit un réseau privé virtuel (VPN) avec SSL (Secure Socket Layer), un pare-feu d'application Web, et une gestion de la sécurité au point terminal. Grâce à ces fonctionnalités, les entreprises contrôlent les accès, définissent des autorisations et procèdent à l'inspection du contenu pour un ensemble varié d'applications métier. Ensemble, ces technologies offrent aux employés itinérants et distants un accès sécurisé, simple d'emploi et souple, à partir d'une grande variété d'équipements et de sites, notamment les bornes, les ordinateurs de bureau et les appareils mobiles. Par ailleurs, avec IAG, les administrateurs mettent en application la réglementation relative à l'utilisation des applications et des informations par le biais d'une stratégie d'accès à distance personnalisée en fonction de l'équipement, de l'utilisateur, de l'application, et d'autres critères métier. Les principaux avantages en sont les suivants :
combinaison unique d'accès VPN avec SSL, de protection d'applications intégrée et de gestion de la sécurité au point terminal ;
pare-feu d'application Web puissant qui contribue à maintenir le trafic malveillant à l'extérieur du réseau et les informations confidentielles à l'intérieur ;
gestion de l'accès sécurisé et protection des actifs d'entreprise facilitées grâce à une plateforme complète et conviviale ;
interopérabilité avec l'infrastructure de base des applications Microsoft, les systèmes d'entreprise tiers et les outils internes personnalisés.
Conseils
Cycle de développement d'une sécurité informatique fiable Si votre organisation décide de développer certaines de ses solutions pour gérer les données des détenteurs de carte, vous avez tout intérêt à demander à vos développeurs de se conformer au cycle de développement de la sécurité élaboré par Microsoft. Il s'agit d'une approche globale de développement d'applications Web et bureautiques pour les besoins d'une organisation qui traite et stocke des informations confidentielles, telles que des données de détenteurs de carte. Le cycle de développement de la sécurité se compose de différentes phases, à savoir, la planification (pour la sécurisation des applications), la vérification des techniques de codage employées, le test et le déploiement sécurisés des applications à l'issue de la phase de développement.
Respect des recommandations en matière de sécurité des produits Microsoft dispense des conseils de sécurité pour un certain nombre de ses produits logiciels. Les conseils de sécurité relatifs aux produits Exchange Server, Systems Management Server et SQL Server intéresseront tout particulièrement les organisations de taille moyenne à grande. Pour plus d'informations sur les conseils de sécurité pour ces produits, consultez la section traitant de la sécurité des applications dans le Guide de planification de la mise en conformité aux réglementations (la page peut être en anglais).
Messagerie et collaboration
Pour satisfaire aux exigences de la norme PCI DSS, vous devez vous assurer que les logiciels de messagerie et de collaboration utilisés dans votre organisation sont configurés et définis dans les règles. Les applications de messagerie et de collaboration étant devenues des outils incontournables dans le secteur des cartes de paiement, vous devez faire votre possible pour vous assurer que les documents ou les messages électroniques susceptibles de contenir des données de détenteur de carte sont sécurisés.
Exigences de la norme PCI DSS satisfaites
Parmi les méthodes les plus usitées en matière de prévention des brèches de sécurité de la messagerie, on peut citer les passerelles de messagerie, les serveurs de messagerie sécurisés et le filtrage du contenu de la messagerie. Dans le cas des passerelles de messagerie et du filtrage du contenu de la messagerie, les messages sont acheminés vers une application logicielle spécialisée. Cette application peut employer diverses méthodes pour isoler des chaînes de mots spécifiques, des chaînes numériques, des types de mots spécifiques ou d'autres éléments qui varient en fonction de la conception de la solution. Les messages qui contiennent ces mots clés ou ces chaînes peuvent alors être placés en quarantaine en attendant que les informations suspectes contenues dans les messages aient été vérifiées, à moins que la solution ne supprime et ne purge purement et simplement le message. Ces méthodes peuvent contribuer à sécuriser les données des détenteurs de carte lorsque celles-ci sont envoyées par le biais d'un message électronique ou d'un document dans un environnement collaboratif. L'ensemble de ces techniques et solutions peuvent vous aider à satisfaire à l'exigence 4 de la norme PCI DSS.
Pour obtenir le texte intégral de chacune de ces exigences, reportez-vous à The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais.)
Technologies disponibles
Microsoft propose plusieurs solutions qui peuvent vous aider à sécuriser les logiciels de messagerie et de collaboration. Chacune de ces solutions offre à votre entreprise une solution à certains problèmes spécifiques. Vous devez les déployer de manière organisée de sorte qu'à l'issue de l'opération, il ne reste qu'un minimum de failles de sécurité.
Microsoft Exchange Server Comme dans le cas de la gestion documentaire, Exchange peut vous aider à définir des solutions efficaces pour les besoins de votre organisation en matière de messagerie, en sécurisant les données des détenteurs de carte contenues dans les messages électroniques. Exchange Server 2007 intègre une messagerie unifiée qui regroupe dans une boîte de réception unique les messages électroniques, les messages vocaux et les télécopies envoyés à un même utilisateur. Il propose également des fonctionnalités qui permettent à votre organisation d'appliquer des règles de rétention, d'analyser et d'intervenir sur les messages en transit, de procéder à une journalisation flexible, et d'effectuer des recherches de texte enrichi dans toutes les boîtes aux lettres déployées. Pour plus d'informations sur Microsoft Exchange Server, reportez-vous au site Web suivant : http://www.microsoft.com/exchange/default.mspx (la page peut être en anglais).
Microsoft Forefront Security pour Exchange Server Microsoft Forefront Security pour Exchange Server vous permet de protéger votre infrastructure de messagerie électronique contre les infections et les temps d'arrêt à travers une approche qui privilégie les défenses par couches, l'optimisation des performances et la disponibilité d'Exchange Server et un contrôle de gestion simplifié.
Une protection complète Microsoft Forefront Security pour Exchange Server inclut plusieurs moteurs d'analyse issus de sociétés de sécurité leaders de l'industrie intégrés à une solution unique pour aider les entreprises à protéger leurs environnements de messagerie électronique Exchange contre les virus, les vers et le courrier indésirable.
Des performances optimisées Grâce à son intégration étroite avec Exchange Server, plusieurs innovations en matière d’analyse et des contrôles flexibles des performances, Forefront Security pour Exchange Server permet de protéger les environnements de messagerie tout en garantissant leur disponibilité et leurs performances.
Une administration simplifiée Forefront Security pour Exchange Server permet aussi aux administrateurs de gérer facilement la configuration et le fonctionnement, les mises à jour automatiques des signatures de moteur d'analyse et la création de rapports au niveau du serveur comme de l'entreprise.
Pour plus d'informations sur Microsoft Forefront, reportez-vous au site Web suivant : http://www.microsoft.com/forefront/default.mspx (la page peut être en anglais).
Microsoft Exchange Hosted Services Microsoft Exchange Hosted Services est constitué de quatre services distincts destinés à assurer la sécurité et la gestion de la messagerie. Ils permettent aux organisations de se prémunir contre les logiciels malveillants transmis par courrier électronique, à répondre aux exigences de conformité en matière de rétention, à chiffrer les données pour préserver la confidentialité, et à préserver l'accès à la messagerie électronique pendant et après les situations d'urgence. Les services sont déployés via Internet selon le modèle SaaS (Software as a Service), qui permet de limiter autant que possible l'investissement supplémentaire, de libérer des ressources informatiques pour se concentrer sur d'autres initiatives porteuses de valeur, et de réduire les risques liés à la messagerie avant qu'ils n'atteignent le pare-feu d'entreprise.
Pour plus d'informations sur Microsoft Exchange Hosted Services, reportez-vous au site Web suivant : http://www.microsoft.com/exchange/services/default.mspx (la page peut être en anglais).
Microsoft Office Information Right Management (IRM) Office est la principale suite d'applications de productivité de l'entreprise. Les fonctionnalités IRM de Microsoft Office peuvent aider votre organisation à contrôler l'accès aux informations confidentielles, telles que les données des détenteurs de carte.
Plus précisément, voici en quoi les fonctionnalités IRM d'Office aident votre organisation :
un utilisateur autorisé qui reçoit des informations protégées ne peut pas transférer, copier, modifier, imprimer, télécopier ou couper et coller ces informations pour une utilisation non autorisée ;
les informations protégées ne peuvent pas être copiées à l'aide de la fonction d'impression écran de Windows ;
les informations sont toujours fournies avec le même niveau de protection, quelle que soit leur destination. On parle dans ce cas de « protection permanente » ;
le même niveau de protection est appliqué aux pièces jointes aux messages électroniques, pourvu que ces pièces jointes soient des fichiers créés avec d'autres programmes Office, comme Excel ou Word ;
les informations contenues dans les messages électroniques ou les documents prévus pour expirer sont protégées, si bien qu'elles ne peuvent plus être consultées à l'issue de la période spécifiée ;
les stratégies d'entreprise qui régissent l'utilisation et la diffusion d'informations à l'intérieur et à l'extérieur de la société sont mises en application.
Microsoft Windows SharePoint Services Information Rights Management (IRM) Tout comme pour vos solutions de gestion documentaire, SharePoint Services IRM peut contribuer à rendre vos solutions de collaboration conformes aux exigences de la norme PCI DSS. Cette technologie vous permet de créer un ensemble permanent de contrôles d'accès liés au contenu plutôt qu'à un emplacement réseau spécifique, ce qui vous aidera à contrôler l'accès aux fichiers même après que vous en ayez perdu le contrôle direct. IRM est disponible pour les fichiers situés dans des bibliothèques de documents et stockés sous forme de pièces jointes à des éléments de liste. Avec IRM, les administrateurs de site peuvent choisir de protéger les téléchargements opérés à partir d'une bibliothèque de documents. Ainsi, lorsqu'un utilisateur tente de télécharger un fichier à partir de la bibliothèque, Windows SharePoint Services vérifie que cet utilisateur dispose de droits d'accès au fichier et émet une licence à destination de l'utilisateur, ce qui lui permet d'accéder au fichier au niveau d'autorisation approprié. Windows SharePoint Services télécharge alors le fichier sur l'ordinateur de l'utilisateur dans un format de fichier chiffré et dont les droits sont gérés.
Les fonctionnalités IRM d'Office reposent sur la plateforme Microsoft Windows Rights Management Services. Pour activer cette fonctionnalité dans Office, vous devez acheter des licences de serveur RMS.
Pour plus d'informations sur les produits et technologies Microsoft SharePoint, reportez-vous au site Web suivant : http://go.microsoft.com/fwlink/?linkid=12632 (la page peut être en anglais).
Classification et protection des données
Les solutions de classification et de protection des données sont des éléments cruciaux de la mise en conformité aux exigences de la norme PCI DSS et de la sécurisation des données des détenteurs de carte. Ces solutions traitent de la façon d'appliquer des niveaux de classification de sécurité aux données des détenteurs de carte sur un système ou dans la transmission. Cette catégorie de solutions traite également de la protection des données en termes de confidentialité et d'intégrité des données stockées ou transmises. Les solutions cryptographiques correspondent à la méthode de protection des données la plus communément utilisée par les organisations.
Exigences de la norme PCI DSS satisfaites
Les solutions de classification et de protection des données contribuent à répondre aux exigences de la norme PCI DSS en sécurisant les données des détenteurs de carte lorsque celles-ci sont stockées dans une base de données, transmises d'un serveur à un autre, ou transmises dans votre réseau lorsqu'un détenteur de carte effectue un achat. Ces solutions vous permettent de répondre aux exigences 3 et 7 de la norme PCI DSS.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft propose plusieurs technologies qui vous permettent de classifier et de protéger les données des détenteurs de carte, qu'elles soient transmises sur votre réseau, stockées dans un document sur l'ordinateur d'un employé, ou stockées dans une base de données. Parmi ces technologies figurent les suivantes :
Chiffrement de lecteur BitLocker™ Le chiffrement de lecteur BitLocker vous permet de protéger les données des détenteurs de carte en assurant un chiffrement du lecteur et une vérification de l'intégrité des composants qui démarrent en premier. Le chiffrement de disque protège les données en empêchant les utilisateurs non autorisés de contourner la protection des fichiers et du système Windows sur les ordinateurs perdus ou volés. Cette protection est obtenue par le chiffrement du volume Windows entier. Avec BitLocker, tous les fichiers utilisateur et système sont chiffrés, y compris les fichiers d'échange et de mise en veille. La vérification d'intégrité des composants qui démarrent en premier permet de garantir que le déchiffrement des données n'intervient que si ces composants semblent non modifiés et si le lecteur crypté se trouve dans l'ordinateur d'origine. BitLocker est disponible dans Windows Vista Entreprise et Édition Intégrale, ainsi que dans Windows Server « Longhorn ».
Système de fichiers Windows EFS (Encrypting File System) Le système de fichiers EFS fournit la technologie de chiffrement de fichiers de base utilisée pour le stockage des fichiers chiffrés sur des volumes du système de fichiers NTFS. Après avoir chiffré un fichier ou un dossier, vous utilisez le fichier ou le dossier chiffré comme n'importe quel autre fichier ou dossier.
Le chiffrement est une opération transparente pour l'utilisateur qui a chiffré le fichier. Autrement dit, vous n'avez pas besoin de déchiffrer manuellement un fichier chiffré pour pouvoir l'utiliser. Vous pouvez ouvrir et modifier le fichier comme vous le faites habituellement.
Microsoft Windows Rights Management Services Windows Rights Management Services (RMS) est une plateforme logicielle qui permet de protéger les données des détenteurs de carte contre une utilisation non autorisée (en ligne et hors connexion, à l'intérieur ou à l'extérieur du pare-feu).
Chiffrement Microsoft SQL Server Lorsque vous stockez des données de détenteurs de carte dans SQL Server, ces données sont chiffrées avec un chiffrement hiérarchique et une infrastructure de gestion de clés. Chaque couche chiffre la couche qui se trouve en dessous d'elle en utilisant une combinaison de certificats, de clés asymétriques et de clés symétriques. Il existe une clé principale pour SQL Server lui-même et une clé distincte pour chaque base de données présente dans l'instance active de SQL Server. Ce système procure à votre organisation une sécurité de stockage pour les données des détenteurs de carte.
Gestion des identités
La gestion des identités est un autre élément important de la mise en conformité à la norme PCI DSS. Les solutions de gestion des identités vous permettent de limiter les membres du personnel autorisés à accéder, traiter et transmettre les données des détenteurs de carte. Votre organisation peut tirer parti de ces solutions de gestion des identités pour gérer les identités et les autorisations numériques de vos employés, clients et partenaires.
Exigences de la norme PCI DSS satisfaites
Le recours à des solutions de gestion des identités peut vous aider à satisfaire à l'exigence 8 de la norme PCI DSS par la création et l'attribution d'un identificateur unique à chaque personne de votre organisation ayant accès à un ordinateur. Ces solutions peuvent également vous permettre de limiter l'accès aux données des détenteurs de carte sur la base de cet identificateur unique, ce qui correspond au principe de l'exigence 7 de la norme PCI DSS.
Pour obtenir le texte intégral de chacune de ces exigences, reportez-vous à The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais.)
Technologies disponibles
Microsoft propose diverses technologies qui peuvent vous aider à répondre aux besoins de votre organisation en matière de gestion des identités.
- **Microsoft Active Directory** Active Directory prend en charge différentes techniques pour vous permettre de contrôler qui des membres du personnel peut accéder aux données des détenteurs de carte dans et hors de votre réseau. En premier lieu, Active Directory prend en charge l'authentification Kerberos, l'une des techniques d'authentification par défaut de Windows. Kerberos offre une authentification utilisateur sécurisée répondant à une norme industrielle qui autorise l'interopérabilité. Le contrôleur de domaine Active Directory gère les informations sur les comptes d'utilisateurs et sur les ouvertures de session pour accompagner le service Kerberos. En second lieu, Active Directory prend en charge l'authentification de carte à puce. Vous pouvez exiger de la part des utilisateurs distants ou des administrateurs de systèmes contenant des données de détenteurs de carte qu'ils utilisent une carte à puce et un code confidentiel pour accéder à votre réseau. En troisième lieu, Active Directory prend en charge les informations d'identification itinérantes, un service qui permet aux utilisateurs disposant de plusieurs ordinateurs d'utiliser les mêmes informations d'identification sur chacun de ces ordinateurs. En quatrième lieu, Active Directory permet à votre organisation de personnaliser les fournisseurs d'informations d'identification qu'elle utilise pour authentifier les utilisateurs. Ces fonctionnalités peuvent vous aider à contrôler avec précision comment vous autorisez les comptes Active Directory à accéder aux données des détenteurs de carte, et à quels comptes vous fournissez un accès à ces données. Pour plus d'informations, reportez-vous au centre technologique Windows Server 2003 Active Directory à l'adresse
- **Services de fédération Microsoft Active Directory (ADFS)** Les services de fédération Active Directory (ADFS, Active Directory Federation Services) vous permettent de créer des solutions de gestion des identités qui franchissent les limites traditionnelles de votre forêt Active Directory. En employant ADFS, votre organisation peut étendre son infrastructure Active Directory existante pour procurer un accès aux ressources offertes par des partenaires de confiance via Internet. Ces partenaires de confiance peuvent consister en des tiers externes, à d'autres services ou à des filiales d'une même organisation. ADFS est entièrement intégré à Active Directory. ADFS récupère les attributs des utilisateurs auprès d'Active Directory et authentifie ces derniers par le biais d'Active Directory. ADFS fait également appel à l'authentification intégrée de Windows. ADFS est disponible dans les systèmes d'exploitation Windows Server 2003 R2 et Windows Server « Longhorn ».
- **Microsoft Identity Lifecycle Manager** Le gestionnaire Microsoft Identity Lifecycle Manager (ILM) simplifie le processus de mise en correspondance et de gestion des enregistrements d'identité issus de référentiels de données bien distincts et empêche les anomalies, telles que la présence d'enregistrements actifs d'employés qui ont quitté l'organisation. ILM fournit à votre organisation un cadre stratégique pour contrôler et suivre les données d'identité et d'accès qui contribuent à la mise en conformité. Il s'accompagne également d'outils d'aide sans assistance pour les utilisateurs finaux, ce qui permet à votre service informatique d'améliorer son efficacité en délégant de nombreuses tâches aux utilisateurs finaux en toute sécurité. Autre caractéristique clé du gestionnaire ILM : il inclut une solution de gestion de certificats Windows qui s'intègre au système d'exploitation Windows Server 2003 et à Active Directory. Il s'agit pour l'autorité de certification Windows Server 2003 d'une solution prête à l'emploi pour gérer le cycle de vie complet des cartes à puce et des certificats numériques. ILM offre à votre organisation les possibilités suivantes :
Synchronisation des informations d'identité entre diverses banques d'identités de type répertoire et non-répertoire hétérogènes. Ceci vous permet d'automatiser le processus de mise à jour des informations d'identité sur des plateformes bien distinctes, tout en préservant l'intégrité et la propriété de ces données à l'échelle de l'entreprise.
Mise en service et annulation de mise en service des comptes d'utilisateurs et des informations d'identité (p.ex., distribution, comptes de messagerie et groupes de sécurité) sur les différents systèmes et plateformes. De nouveaux comptes d'employés peuvent être créés rapidement en fonction des événements ou des modifications apportées dans les banques de référence, comme le système de ressources humaines. De plus, lorsque des employés quittent une société, leur mise en service peut aussitôt être annulée sur ces mêmes systèmes.
Gestion des certificats et des cartes à puce. ILM intègre un workflow et une solution basée sur des stratégies qui permettent aux organisations de gérer facilement le cycle de vie des certificats numériques et des cartes à puce. ILM exploite les services Active Directory et les services de certificats Active Directory pour mettre en service les certificats numériques et les cartes à puce. La gestion du cycle de vie complet des informations d'identification à base de certificats est, quant elle, assurée par un workflow automatisé. ILM diminue considérablement les coûts associés aux certificats numériques et aux cartes à puce en permettant aux organisations de déployer, gérer et entretenir avec plus d'efficacité une infrastructure basée sur des certificats. Il permet également de rationaliser la mise en service, la configuration et la gestion des certificats numériques et des cartes à puce, tout en améliorant la sécurité par une technologie d'authentification multifacteur à toute épreuve.
- **Microsoft SQL Server** Vous pouvez combiner SQL Server avec d'autres technologies pour créer des solutions de gestion des identités. Utilisez des bases de données SQL Server pour stocker les données de noms d'utilisateurs et de mots de passe et pour mapper les certificats sur des comptes d'utilisateurs et d'autres solutions. Vous pouvez utiliser SQL Server de concert avec Microsoft ILM, Active Directory, la stratégie de groupe et des listes de contrôle d'accès (ACL) pour limiter l'accès des utilisateurs aux données de détenteurs de carte stockées dans une autre base de données, dans des documents ou des répertoires. Pour plus d'informations sur Microsoft SQL Server, reportez-vous au site Web suivant :
Pour plus d'informations, consultez la présentation des services de fédération Active Directory (ADFS) dans Windows Server 2003 R2 à l'adresse http://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx (la page peut être en anglais).
- Infrastructure de clés publiques Une infrastructure de clés publiques (PKI) est un système de certificats numériques, d'autorités de certification (CA) et d'autorités d'inscription qui vérifient et authentifient la validité de chaque partie impliquée dans une transaction électronique via l'utilisation de la cryptographie de clé publique. Cette infrastructure peut vous permettre de sécuriser et d'échanger les données des détenteurs de carte avec un niveau de sécurité élevé par le biais d'Internet, d'extranets, d'intranets et d'applications.
Authentification, autorisation et contrôle d'accès
L'authentification est l'opération par laquelle un utilisateur est identifié. Dans les environnements informatiques, l'authentification va de pair avec un nom d'utilisateur et un mot de passe. Or, elle peut faire intervenir d'autres méthodes pour prouver l'identité des personnes, comme la carte à puce, l'analyse de la rétine, la reconnaissance vocale ou les empreintes digitales. L'autorisation consiste uniquement à déterminer si l'identité authentifiée est autorisée à accéder aux ressources demandées. Vous pouvez choisir d'accorder ou de refuser un accès en fonction de divers critères, tels que l'adresse réseau du client, l'heure du jour ou le navigateur utilisé par la personne.
Au moment de planifier votre stratégie d'authentification, d'autorisation et de contrôle d'accès, vous devez également élaborer une stratégie d'octroi d'autorisations aux comptes d'utilisateurs pour l'ensemble des ressources de votre réseau. Pour plus d'informations, consultez l'article Application du principe du moindre privilège aux comptes utilisateur sous Windows XP (la page peut être en anglais).
Exigences de la norme PCI DSS satisfaites
L'authentification, l'autorisation et le contrôle d'accès sont des éléments clés de votre stratégie de sécurité des données relatives aux détenteurs de carte, plus particulièrement lorsqu'ils sont combinés à des solutions de classification et de protection des données et à des solutions de gestion des identités. Dans ce contexte, les solutions d'authentification, d'autorisation et de contrôle d'accès peuvent aider votre organisation à satisfaire aux exigences 6, 7 et 8 de la norme PCI DSS.
Pour obtenir le texte intégral de ces exigences, consultez le document The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais).
Technologies disponibles
Microsoft propose plusieurs technologies qui peuvent vous aider à créer des stratégies d'authentification, d'autorisation et de contrôle d'accès et à les intégrer à votre solution complète de mise en conformité à la norme PDI DSS.
Microsoft Active Directory Le service Active Directory disponible dans Microsoft Windows 2000 Server, Windows Server 2003 et Windows Server « Longhorn » est essentiellement axé sur l'authentification, l'autorisation et le contrôle d'accès. Par exemple, Active Directory prend en charge l'authentification Kerberos, l'une des techniques d'authentification par défaut de Windows. Kerberos offre une authentification utilisateur sécurisée répondant à une norme industrielle qui autorise l'interopérabilité. Le contrôleur de domaine Active Directory gère les informations sur les comptes d'utilisateurs et sur les ouvertures de session pour accompagner le service Kerberos. De même, Active Directory prend en charge l'authentification de carte à puce. Vous pouvez exiger de la part des utilisateurs distants ou des administrateurs de systèmes contenant des données de détenteurs de carte qu'ils utilisent une carte à puce et un code confidentiel pour accéder à votre réseau. Active Directory prend en charge les informations d'identification itinérantes, un service qui permet aux utilisateurs disposant de plusieurs ordinateurs d'utiliser les mêmes informations d'identification sur chacun de ces ordinateurs. Avec Active Directory, votre organisation peut également personnaliser les fournisseurs d'informations d'identification qu'elle utilise pour authentifier les utilisateurs. Par ailleurs, Active Directory vous permet de déléguer les tâches d'administration au sein de votre organisation. Ces fonctionnalités peuvent vous aider à contrôler avec précision comment vous autorisez les comptes Active Directory à accéder aux données des détenteurs de carte, et à quels comptes vous fournissez un accès à ces données.
Service d'authentification Microsoft Internet (IAS) Le service d'authentification Internet (IAS, Internet Authentication Service) est l'implémentation Microsoft d'un serveur et d'un proxy RADIUS (Remote Authentication Dial-in User Service, ou services d'authentification à distance des utilisateurs d'accès à distance). En tant que serveur RADIUS, le service IAS opère une authentification, une autorisation et une gestion des comptes centralisées des connexions pour divers types d'accès réseau, y compris les connexions sans fil et VPN. En tant que proxy RADIUS, le service IAS transfère les messages d'authentification et de gestion des comptes aux autres serveurs RADIUS. En ce faisant, le service IAS exécute des étapes d'authentification pour les connexions distantes avant qu'elles n'atteignent le réseau de l'organisation. À partir des informations d'identification que les utilisateurs ont fournies pour se connecter à distance, vous pouvez les autoriser à accéder aux ressources de votre réseau dont ils ont besoin pour accomplir leur travail.
Fonctionnalités de prise en charge des systèmes d'exploitation
Utilisation des listes de contrôle d'accès pour accorder des droits d'accès aux ressources La liste de contrôle d'accès (ACL, Access Control List) est un mécanisme par lequel les systèmes d'exploitation (à compter de Microsoft Windows NT) protègent les ressources telles que les fichiers et les dossiers. Les ACL contiennent des entrées de contrôle d'accès (ACE, Access Control Entry) qui associent une entité de sécurité (généralement un compte d'utilisateur ou un groupe de comptes) à une règle régissant l'utilisation de la ressource. Les ACL et les ACE permettent à votre organisation d'autoriser ou de refuser l'accès à des ressources en fonction des autorisations que vous pouvez associer aux comptes d'utilisateurs. Par exemple, vous pouvez créer une ACE et l'appliquer à l'ACL d'un fichier pour empêcher tous les utilisateurs de lire le fichier à l'exception d'un administrateur. Vous devez utiliser cette technologie dans votre solution de gestion des identités principale, mais elle reste un moyen efficace de limiter l'accès aux données des détenteurs de carte aux seuls individus qui en ont besoin dans le cadre de leur travail.
Pare-feu Windows de Microsoft Windows Vista et Windows Server « Longhorn » Comme nous l'avons vu précédemment, le Pare-feu Windows de Windows Vista et Windows Server « Longhorn » peut vous aider à protéger vos systèmes et réseaux contre des attaques malveillantes. Il vous permet également de contrôler qui des utilisateurs, des ordinateurs et des groupes peuvent accéder aux ressources d'un ordinateur ou d'un domaine. Lorsque vous utilisez le Pare-feu Windows avec fonctions avancées de sécurité, vous pouvez créer des règles qui filtrent les connexions par utilisateur, ordinateur ou groupe Active Directory. Pour créer ces types de règles, vous devez sécuriser la connexion à l'aide du protocole IPsec en utilisant des informations d'identification qui comportent des informations de compte Active Directory, comme Kerberos version 5.
Identification des vulnérabilités
Les solutions d'identification des vulnérabilités fournissent des outils dont peut se servir votre organisation pour rechercher des vulnérabilités dans ses systèmes informatiques. Votre personnel informatique doit avoir connaissance des vulnérabilités de l'environnement informatique pour pouvoir les combattre efficacement. De même, la capacité à restaurer des données qui ont été perdues par inadvertance suite à une erreur d'un utilisateur fait partie intégrante de l'identification des vulnérabilités.
Exigences de la norme PCI DSS satisfaites
Les solutions d'identification des vulnérabilités permettent à votre organisation de satisfaire à l'exigence 11 de la norme PCI DSS, à savoir, tester régulièrement les systèmes et les procédures de sécurité.
Pour obtenir le texte intégral de chacune de ces exigences, reportez-vous à The Payment Card Industry Data Security Standard, version 1.1 (Norme relative à la sécurité des données dans le secteur des cartes de paiement) (la page peut être en anglais.)
Technologies disponibles
Microsoft propose des solutions qui peuvent vous aider à concevoir des solutions d'identification des vulnérabilités pour répondre aux exigences de la norme PCI DSS.
- Microsoft Baseline Security Analyzer (MBSA) À l'instar de l'évaluation des risques à laquelle vous avez généralement recours lors de la conception de vos contrôles de protection des données des détenteurs de carte, MBSA vous permet de passer régulièrement en revue les vulnérabilités qui risquent de compromettre la sécurité des données des détenteurs de carte. Vous pouvez utiliser MBSA pour repérer les problèmes de configuration de la sécurité les plus courants dans divers produits Microsoft, notamment le système d'exploitation Windows, les services IIS (Internet Information Services), SQL Server, Internet Explorer et Microsoft Office. MBSA effectue également des analyses, à la recherche de mises à jour de sécurité, de correctifs cumulatifs et de Service Packs manquants, qui sont publiés sur Microsoft Update. Vous pouvez exécuter MBSA à partir de l'invite de commandes ou d'une interface utilisateur, et vous pouvez l'utiliser conjointement avec Microsoft Update et Microsoft Windows Server Update Services. Il est très important de maintenir vos systèmes à jour pour assurer un niveau de sécurité optimal pour les données des détenteurs de carte. À ce titre, MBSA peut s'avérer un outil inestimable pour déterminer si, au fil du temps, vos installations de produits n'ont pas rendu les données des détenteurs de carte vulnérables.
Contrôle, audit et génération de rapports
Les solutions de contrôle et de génération de rapports collectent et auditent les journaux résultant de l'authentification et de l'accès aux systèmes. Vous pouvez concevoir ce type de solution afin de recueillir des informations spécifiques en vertu de la norme PCI DSS, comme vous pouvez utiliser les journaux existants intégrés aux systèmes d'exploitation ou aux packages logiciels.
Il est possible de distinguer une sous-catégorie dans le domaine du contrôle et de la génération de rapports, à savoir, la collecte, l'analyse et la corrélation de toutes les données journalisées à l'échelle de l'organisation. Ces tâches sont parfois assurées au moyen d'une solution de type tableau de bord, qui permet de mieux analyser les diverses informations recueillies dans l'ensemble de organisation. Ce type de solution permet aux responsables informatiques de mieux déterminer s'il existe une corrélation entre les événements.
Exigences de la norme PCI DSS satisfaites
Les solutions de contrôle, d'audit et de génération de rapports peuvent vous aider à satisfaire à l'exigence 10 de la norme PCI DSS, à savoir, assurer le suivi et surveiller tous les accès aux ressources réseau et aux données des détenteurs de carte.
Technologies disponibles
Microsoft propose plusieurs technologies qui permettent de contrôler l'accès réseau et l'accès aux données des détenteurs de carte.
Collecte d'audit de Microsoft System Center Operations Manager Operations Manager 2007 est capable d'extraire et de recueillir les journaux de sécurité des systèmes d'exploitation Windows et de les stocker à des fins d'analyses et de rapports ultérieurs dans des conditions de sécurité et d'efficacité optimales. Les journaux extraits sont stockés dans une base de données de collecte d'audit distincte. Operations Manager est fourni avec des rapports qui peuvent être utilisés pour les données de collecte d'audit. La collecte d'audit peut être utilisée pour produire divers rapports de conformité, tels que les audits Sarbanes-Oxley complémentaires. La collecte d'audit peut également servir pour l'analyse de la sécurité, comme la détection des intrusions et des tentatives d'accès non autorisés.
Infrastructure de journalisation des événements Microsoft Windows Vista Les améliorations de l'infrastructure de journalisation des événements Windows ont eu pour conséquence de simplifier la gestion et le contrôle du Bureau Windows Vista et de fournir des informations plus détaillées pour la résolution des problèmes. Des normes strictes garantissent que les événements sont explicites, bien documentés et permettent des actions. De nombreux composants qui stockaient les informations de journalisation dans des fichiers texte dans les versions antérieures de Windows peuvent désormais ajouter des événements au journal des événements. Avec l'envoi des événements, les administrateurs peuvent gérer les événements de manière centralisée à partir d'ordinateurs situés n'importe où sur le réseau, ce qui facilite l'identification proactive des problèmes et la corrélation des problèmes qui affectent plusieurs ordinateurs. Enfin, l'observateur d’événements a été entièrement revu afin de permettre aux utilisateurs de créer des vues personnalisées dans le but d'associer facilement les événements à des tâches et de consulter à distance les journaux d'autres ordinateurs. Cela permet aux administrateurs d'utiliser plus facilement le journal des événements afin de résoudre les problèmes des utilisateurs.
Microsoft SQL Server Les services de rapport SQL Server offrent une solution serveur complète autorisant la création, la gestion et la livraison à la fois de rapports traditionnels destinés à être imprimés et de rapports interactifs destinés à être affichés sur le Web. En tant que partie intégrante du cadre d'applications de veille stratégique Microsoft, les services de rapport combinent les fonctionnalités de gestion des données de SQL Server et Microsoft Windows Server aux puissantes applications du système Microsoft Office pour fournir des informations en temps réel dans le but de soutenir les opérations quotidiennes et de favoriser la prise de décisions. Vous pouvez utiliser ces services pour générer des rapports qui analysent les données des détenteurs de carte et assurent le suivi des modifications dont elles sont l'objet. Vous pouvez également utiliser les services de rapport pour surveiller plus simplement les modèles d'utilisation du réseau et les flux d'informations.
Fonctionnalités de prise en charge des systèmes d'exploitation
- Listes de contrôle d'accès du système NTFS Votre organisation peut utiliser des listes de contrôle d'accès du système NTFS (ou SACL, System Access Controls List) au niveau des fichiers et des répertoires pour faciliter le suivi des modifications apportées aux fichiers ou aux dossiers d'un système. Lorsque vous définissez une liste SACL au niveau d'un fichier ou d'un dossier déterminé, chaque fois qu'un utilisateur effectue une action sur ce fichier ou dossier, le système d'exploitation Windows journalise l'action et le nom de son auteur. Vous ne pouvez pas définir de listes SACL sur les systèmes formatés selon le système de fichiers FAT. Autrement dit, votre organisation doit utiliser le format de système de fichiers NTFS sur tous les volumes où sont stockées des données d'utilisateurs et de détenteurs de carte.
Gestion des solutions technologiques PCI DSS
Même si l'utilisation de produits de gestion ne permet pas à votre organisation de satisfaire aux exigences de la norme PCI DSS, ils peuvent néanmoins vous aider à assurer le suivi des contrôles informatiques que vous avez mis en œuvre à des fins de mise en conformité. En créant une structure de contrôles informatiques, vous devez toujours être en mesure de gérer de manière centralisée ces contrôles sur un nombre aussi limité que possible de postes d'administration.
Technologies disponibles
Microsoft propose deux outils principaux pour gérer la structure de contrôles informatiques que vous mettrez en œuvre pour répondre aux exigences de la norme PCI DSS et à celles des autres réglementations.
Microsoft Forefront Microsoft Forefront est une suite de produits de sécurité métier qui offrent une protection pour les systèmes d'exploitation client, les serveurs d'applications et l'extrémité du réseau. Vous pouvez utiliser Forefront avec votre infrastructure informatique existante pour protéger vos serveurs et ordinateurs client contre les programmes malveillants et les autres attaques malintentionnées—le tout en bénéficiant d'une intégration aisée aux serveurs d'applications, comme Exchange, SharePoint et la messagerie instantanée. Forefront propose également une intégration prédéfinie à Active Directory et utilise ISA Server pour prendre en charge RADIUS, DHCP et les cartes à puce par le biais d'Active Directory. Forefront fournit par ailleurs un outil de gestion centralisée qui permet de générer des rapports et de définir des mesures de contrôle de stratégies d'un seul et même emplacement.
Microsoft System Center Microsoft System Center est une famille de produits de gestion destinés à doter votre organisation des outils nécessaires à l'automatisation de la gestion de ses systèmes. En effet, System Center propose des technologies qui permettent d'automatiser les tâches de gestion les plus courantes, et fournit en outre des outils qui permettent aux informaticiens de détecter, diagnostiquer et corriger les problèmes au sein de leur environnement informatique. Plus spécifiquement, System Center propose des produits qui remplissent les fonctions suivantes :
contrôle du matériel et des logiciels au sein d'un environnement distribué pour détecter les problèmes et les résoudre à l'aide des outils fournis ;
automatisation du processus d'installation, de mise à jour et de correction des logiciels ;
mise à œuvre de processus standard pour la gestion des systèmes ;
prise en charge de la sauvegarde et de la restauration des données de serveur de fichiers Windows ;
réponse aux exigences de contrôle et de configuration des petites organisations ;
gestion des ordinateurs virtuels. Sachant que plus le matériel est rapide, plus le nombre d'applications pouvant s'exécuter sur chaque ordinateur est important, les organisations ont de plus en plus recours à la virtualisation pour isoler ces applications ;
dimensionnement approprié des installations en fournissant des outils permettant d'estimer les besoins en ressources.
Synthèse
Cette section décrit les solutions technologiques qui s'offrent à votre organisation pour se mettre et rester en conformité avec la norme PCI DSS. Elle explique les raisons de l'importance de ces solutions et fournit des liens vers des conseils et des technologies Microsoft qui peuvent aider votre organisation à se mettre en conformité avec les réglementations.
La mise en œuvre de ces solutions n'a pas que pour seul effet de mettre à la disposition de votre environnement informatique des normes de sécurité et de conformité ; elle a également un effet positif sur les processus métier de votre organisation. Avant de mettre en œuvre l'une des solutions identifiées, demandez conseil auprès de vos conseillers juridiques et auditeurs pour connaître vos besoins exacts en matière de conformité à la norme PCI DSS, et étudiez avec soin l'impact de ces solutions sur l'ensemble de l'organisation. Ne raisonnez pas simplement en termes de conformité. Microsoft s'est engagé à consentir des efforts de recherche plus poussés et à fournir des solutions plus abouties pour répondre aux exigences de la norme PCI DSS et à celles des autres réglementations. Toutefois, vous pouvez également vous renseigner de votre côté pour tenter d'obtenir des informations complémentaires sur ce sujet ô combien complexe et important.
Annexes
Cette section contient des questions que nos clients nous posent fréquemment à propos des solutions technologiques de Microsoft et de la façon dont elles intègrent les exigences de la norme PCI DSS. Elle fournit par ailleurs une carte des solutions technologiques qui peuvent aider votre organisation à répondre à ces exigences.
Forum aux questions
Q : Pourquoi mon organisation devrait-elle s'évertuer à se mettre conformité avec la norme de sécurité des données relative au secteur des cartes de paiement ? Ne s'agit-il pas encore d'une de ces normes inutiles et coûteuses à mettre en place ?
R : Il existe trois raisons qui devraient inciter votre organisation à se mettre en conformité à la norme PCI DSS. La première, c'est que les marques de cartes telles que Visa se sont engagées à offrir des incitations financières en cas de conformité à la norme PCI et à imposer des pénalités en cas de non conformité. La deuxième, c'est que la conformité peut contribuer à limiter les responsabilités en cas de perte de données. La troisième, c'est que par une analyse approfondie de vos systèmes et une conception appropriée, le processus peut vous permettre d'assurer un suivi plus efficace des données clients, et par voie de conséquence d'améliorer les services offerts et la satisfaction du client.
Q : La société Microsoft ne vante-t-elle pas trop l'efficacité de ses technologies eu égard à la conformité à la norme PCI DSS ?
R : La situation de chaque organisation étant différente, ce guide se veut le plus exhaustif possible. Microsoft est susceptible d'élaborer des recommandations pour des secteurs d'activité spécifiques. Vous pouvez également contacter votre représentant commercial Microsoft pour obtenir des conseils. Comme indiqué précédemment, vous pouvez améliorer vos résultats commerciaux si vous considérez cela non pas simplement comme un projet de mise en conformité mais comme un moyen d'améliorer le suivi et la gestion des informations clients.
Q : Ce document décrit bon nombre de technologies qui aident à la mise en conformité à la norme PCI DSS, mais très peu de solutions de mise en conformité. Pourquoi ?
R : Chaque situation est unique. De ce fait, il n'est pas possible de concevoir une solution unique qui s'adapte à tous les cas de figure. Microsoft s'engage à fournir à votre organisation des informations plus détaillées, comme indiqué en synthèse.
Q : En quoi Microsoft peut aider mon organisation à obtenir une certification PCI DSS ?
R : Microsoft est en mesure de proposer des logiciels et des services qui peuvent vous aider à répondre aux exigences de la norme PCI DSS, mais nous ne saurions vous garantir que votre organisation accèdera à la conformité. En tant que fournisseur, nous sommes tout à fait disposés à aider votre organisation à répondre à ces exigences, mais la mise en conformité se jouera entre votre organisation, ses auditeurs et les marques de carte avec lesquelles vous travaillez.
Q : La section 3.4.1 n'implique-t-elle pas que les technologies de protection des données Microsoft ne peuvent pas être utilisées ?
R : Non. Voici ce que dit cette section :
« Si un cryptage par disque est utilisé (au lieu d'un cryptage par fichier ou base de données au niveau colonne), l'accès logique doit être géré indépendamment des mécanismes de contrôle d'accès au système d'exploitation natif (par exemple, en n'utilisant pas un système local, ni des comptes Active Directory). Les clés de décryptage ne doivent pas être liées à des comptes d'utilisateur. »
Les technologies de protection des données Microsoft ne lient pas les clés de décryptage (ou déchiffrement) aux comptes d'utilisateurs. Ainsi, le chiffrement de lecteur BitLocker ne lie jamais les clés de déchiffrement (codes confidentiels ou mot de passe de récupération) aux comptes d'utilisateurs d'Active Directory. Le système de fichiers EFS (Encrypting File System) ne lie pas non plus les clés de déchiffrement aux comptes d'utilisateurs. Votre organisation peut ôter à une personne la capacité de déchiffrer un document sans modifier les privilèges d'accès au système. Dans certaines configurations, EFS tente d'optimiser l'expérience utilisateur en plaçant automatiquement certaines clés de déchiffrement dans le profil d'utilisateurs spécifiques. Toutefois, ce comportement peut être modifié par une configuration appropriée.
Exigences de la norme PCI DSS et solutions technologiques associées