Soyez plus intelligent en matière de cybersécurité et de conformité PCI

iStock 1181166035


Temps de lecture: 5 minutes

Par Rob Chapman, directeur de l'architecture de sécurité chez Cybera

"Vous ne savez pas ce que vous ne savez pas." C’est un truisme qui entraîne malheureusement beaucoup de risques inutiles dans nos activités. Nous supposons souvent le meilleur de toutes les personnes et des systèmes informatiques qui travaillent autour de nous. Si tout fonctionne, cela doit bien fonctionner, non? Cependant, il existe un vilain secret dans le monde informatique d’entreprise: la frontière entre «bien fonctionner» et le chaos total est infime.

Comme un mentor d'IBM l'a confié un jour à un jeune diplômé d'université: «Si vous vous lancez dans l'informatique, vous constaterez inévitablement qu'une partie importante de votre entreprise fonctionne sur une technologie maintenue avec un peu plus que de l'espoir et une prière. Vous trouverez des serveurs dont personne ne sait rien. Mais s'ils cessent de fonctionner, l'entreprise cessera de gagner de l'argent. » Il s'est avéré absolument correct.

Aussi intelligents que soient la plupart des informaticiens (et aussi bien intentionnés que la plupart des cadres), les ateliers informatiques sont toujours principalement considérés comme des centres de coûts. Cela signifie qu'ils ont tendance à être examinés uniquement lorsqu'une de ces machines aléatoires maintenues ensemble avec du fil de sauvetage et du ruban adhésif cesse de fonctionner – et l'entreprise en souffre en conséquence.

Ces informations fournies par un informaticien de «l'autre côté» vous aideront à aligner vos équipes dirigeantes et informatiques afin que vous puissiez mieux protéger votre entreprise et vos clients.

«Travailler» ne signifie pas nécessairement «bien travailler»

L'un des moyens les plus simples d'éviter les risques commerciaux inutiles consiste à s'intéresser davantage à vos opérations informatiques. Regardons les choses en face, de nombreux cadres traitent l’informatique comme un réfrigérateur: il est simplement censé fonctionner sans souci.

En d'autres termes, ils n'ont pas tendance à aller trop loin dans les détails lorsqu'il s'agit de donner la priorité à la sécurité informatique et à la conformité réglementaire. À moins que vous n'ayez une culture de sécurité solide ou un champion informatique de premier plan dans votre entreprise, vous constaterez probablement des lacunes évidentes dans ces deux domaines. Heureusement, ce problème est relativement facile à résoudre, car il s’agit davantage d’un problème de culture qu’un problème technologique réel.

Obtenir la bonne culture d'abord

Si vous voulez épater l’esprit collectif de votre équipe informatique, planifiez de manière proactive une réunion pour parler du chiffrement des données. Oui, cryptage. Nous, les responsables de la sécurité informatique, adorons ce genre de choses. Mais ne vous inquiétez pas, vous n’avez pas besoin de suivre une leçon approfondie sur les mathématiques derrière le chiffrement. Tout ce que vous avez à faire est de poser des questions honnêtes sur où et comment le cryptage est utilisé dans votre entreprise et quel pourrait être son impact économique potentiel.

Vous constaterez souvent que votre équipe informatique dispose déjà de bons outils de chiffrement pour accroître la sécurité. Ils ont simplement besoin d'un soutien de la direction pour les mettre en œuvre correctement. Ce leadership est vital pour deux domaines critiques qui ont un impact significatif sur votre entreprise et vos clients:

  1. Respecter les obligations de conformité de votre industrie des cartes de paiement (PCI)
  2. Déployer en toute sécurité des appareils Internet des objets (IoT) dans le cadre de votre stratégie commercialeiStock 1152694089

Réduction des risques et de la complexité de la conformité PCI grâce au chiffrement

Si votre entreprise est dans le secteur de la vente au détail, vous acceptez probablement les cartes de crédit pour les transactions de paiement. Cela signifie que vous avez l'obligation de protéger les données sensibles des titulaires de carte pendant qu'elles voyagent du point d'achat jusqu'à la banque de traitement de la carte et vice-versa.

Les principaux objectifs de la conformité PCI sont les suivants:

  • Protégez les données sensibles des titulaires de carte client
  • Réduisez la menace de vol de données et de failles de sécurité
  • Vous aider à éviter les amendes réglementaires et les frais juridiques

Si vous demandez à votre équipe de conformité PCI comment cela se passe, préparez-vous à entendre une litanie de frustrations sur la complexité et la quantité de ressources nécessaires pour bien faire le travail. La plupart des environnements PCI sont des mastodontes tentaculaires des systèmes de point de vente et de back-office hérités. C'est là que de nombreuses entreprises ressentent tout le poids des règles de conformité PCI – et ces règles peuvent être extrêmement décourageantes et coûteuses à gérer.

À partir de maintenant, les règles PCI actuelles exigent le chiffrement uniquement lorsque les données de titulaire de carte quittent le magasin pour se rendre à la banque de traitement (le chiffrement des données de la carte au niveau du magasin n'est pas nécessaire). Cette approche n'est pas suffisante. Heureusement, l'organe directeur PCI propose un ensemble de règles plus gérables tant que vous implémentez un cryptage point à point (également appelé P2PE) dans votre environnement de paiement.

Le P2PE permet de garantir que les données sont cryptées dès leur création et restent cryptées sur l'ensemble de votre tout environnement. Pensez-y la prochaine fois que vous vous rendrez dans un magasin qui accepte les cartes de crédit. À moins qu'ils n'utilisent le P2PE, il y a de fortes chances que les données de votre carte de paiement soient non protégé dans l'environnement du magasin.

Astuce IT Insider: L'une des meilleures décisions que vous puissiez prendre en tant que chef d'entreprise est de demander à votre équipe informatique de tout chiffrer. Les données doivent être chiffrées dès leur création, lorsqu'elles se trouvent sur vos systèmes et lorsqu'elles sont acheminées vers les systèmes de quelqu'un d'autre. La mise en œuvre du chiffrement dans ces trois domaines contribuera davantage à accroître la sécurité et à protéger la confidentialité des clients que tout ce que vous pouvez faire.

Sécurisation des appareils IoT

Tout comme la conformité PCI, la montée en puissance du déploiement des appareils IoT souffre de types similaires de problèmes de sécurité. Ces appareils connectés à Internet peuvent aller des jauges de surveillance des réservoirs de carburant aux affichages de menus numériques et aux kiosques alimentaires autonomes. Pour la plupart, ces appareils orientés tâches remplissent une fonction très spécifique et c’est tout.

L’hypothèse générale est qu’ils fonctionneront simplement et en toute sécurité. Cependant, la réalité est souvent une autre histoire. Par exemple, il y a eu des contrôles industriels non sécurisés exposés juste en bordure d'Internet. Disons simplement que si vous souhaitez modifier le volume connu de carburant dans un réservoir de stockage, il y a de fortes chances que le système de contrôle soit vulnérable.

Ce qui soulève une question sur laquelle vous vous demandez peut-être: comment les appareils IoT pourraient-ils être si vulnérables à une faille de sécurité? La plupart du temps, il s'agit simplement de paresse et d'économies de coûts perçues. De nombreuses entreprises perçoivent ces appareils comme un risque relativement faible. Et lorsqu'ils les intègrent à des systèmes tiers, la priorité est généralement de le faire à moindre coût et rapidement plutôt que correctement.

Astuce IT Insider: Voici comment créer une culture de sécurité plus forte pour votre entreprise

  1. Resserrez le lien entre vos équipes informatiques et de direction
  2. Encouragez le service informatique à faire les bons choix, pas seulement les choix les plus faciles
  3. Devenez un ardent défenseur de la sécurité pour mieux gérer les risques d'entreprise et protéger vos clientsiStock 1181166035

Devenir un champion de la cybersécurité

La notion selon laquelle les personnes et les systèmes informatiques fonctionnent bien simplement parce qu’ils travaillent est devenue désespérément dépassée – et potentiellement catastrophique – dans le monde de plus en plus numérique d’aujourd’hui. Vous ne pouvez jamais supposer que tout est sécurisé, car les pirates ne prennent pas de vacances de sitôt.

Heureusement, la solution est simple. Comme mentionné précédemment, il ne s’agit pas uniquement d’un problème de technologie. Nous savons déjà comment sécuriser les choses. Cela dépend de la culture de votre entreprise et des valeurs que vous définissez par vos décisions et actions exécutives. Après tout, voulez-vous créer une culture de «faisons-le juste» ou «faisons-le correctement?»

A propos de Rob Chapman

Screen Shot 2020 09 10 at 10.11.32 AMEn tant que directeur de l'architecture de sécurité chez Cybera, Rob Chapman est rresponsable de l’architecture globale de cybersécurité de l’entreprise et des initiatives de conformité PCI. Au cours de sa carrière, il s'est concentré sur des domaines allant des technologies académiques et d'entreprise aux big data et aux systèmes audiovisuels. Chapman est titulaire d'une maîtrise en leadership pédagogique et technologie pédagogique de l'Université technologique du Tennessee. Il réside à Columbia, Tenn.

<! –

->



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *