Les risques de sécurité évoluent constamment, avec de nouvelles menaces apparaissant apparemment tous les jours. La seule façon de traiter les risques est d'abord de les identifier.

Une évaluation des risques PCI vous aide à le faire en utilisant une méthodologie pour aider à identifier les risques potentiels qui pourraient affecter votre environnement de données des titulaires de carte.

Les évaluations des risques sont un moyen de détecter de manière proactive les faiblesses de sécurité et d'analyser votre posture de sécurité pour atténuer les menaces actuelles et futures.

Ci-dessous, nous décrivons comment réaliser votre propre évaluation des risques PCI en cinq étapes simples.

Une évaluation des risques est-elle nécessaire pour la conformité PCI ?

Oui, les évaluations des risques sont requises pour la conformité PCI. Les détails sur les évaluations des risques sont inclus dans l'exigence 12.2.

Selon l'exigence PCI, les entreprises doivent établir un processus pour identifier les actifs, les menaces et les vulnérabilités et mener une évaluation formelle des risques. Le PCI DSS exige que les entreprises effectuent des évaluations des risques au moins une fois par an.

Il existe plusieurs approches d'évaluation des risques que vous pouvez utiliser, mais la norme PCI DSS mentionne spécifiquement les méthodologies suivantes :

• OCTAVE
• ISO 27005
• National Institute of Standards and Technology (NIST) Special Publication 800-30

Pourquoi les évaluations des risques sont-elles importantes ?

Puisque l'objectif du PCI DSS est de protéger les données des titulaires de carte, il est important d'identifier, d'atténuer ou de remédier complètement à vos plus grandes vulnérabilités avant qu'elles ne se transforment en problèmes plus importants ou ne soient exploitées.

En surveillant continuellement les risques de sécurité de l'information, votre entreprise peut avoir une image plus claire de sa posture de sécurité. Ce processus est un excellent moyen de gérer les risques tout au long de l'année, en identifiant et en traitant en continu les menaces qui pourraient avoir un impact important sur la sécurité de votre entreprise.

Les risques de sécurité sont dynamiques, il est possible qu'un risque classé comme ayant un impact faible l'année dernière soit maintenant un risque plus élevé en fonction des changements dans l'environnement. Sans surveillance continue, il est difficile de repérer ces fluctuations de risque jusqu'à ce que vous soyez au milieu d'un incident de risque.

Les avantages supplémentaires d'une évaluation des risques PCI comprennent la capacité à :

• Comprendre votre profil de risque
• Prioriser les efforts de gestion des risques et les dépenses de sécurité
• Créer un inventaire de vos actifs informatiques et de données
• Mettre en œuvre des contrôles de sécurité plus efficacement

Comment mener une évaluation des risques PCI en 5 étapes

La norme PCI DSS n'indique pas une procédure spécifique étape par étape pour mener une évaluation des risques. Cependant, les étapes suivantes vous aideront à identifier les menaces et les vulnérabilités qui pourraient affecter votre environnement de données de titulaires de carte, ce qui est l'objectif principal d'une évaluation des risques PCI.

1. Délimitez votre évaluation

Avant de commencer à identifier les risques, vous devez cartographier les domaines de votre entreprise que vous devez sécuriser et déterminer quels actifs composent votre environnement de données de titulaires de carte. Ceci est connu sous le nom de votre périmètre PCI.

Pour ce faire, considérez toutes les personnes, processus et technologies qui stockent, traitent et transmettent des données de titulaires de carte ou peuvent affecter la sécurité des données de titulaires de carte. Les questions à poser lors du processus de délimitation incluent :

• Comment les données de titulaires de carte sont-elles ingérées ?
• Comment les données de titulaires de carte sont-elles traitées et transmises dans l'environnement des données de titulaires de carte?
• Qui a accès à l'environnement des données de titulaires de carte ou peut voir les données de titulaires de carte ?
• Y a-t-il des systèmes ou des personnes qui peuvent potentiellement affecter l'environnement des données de titulaires de carte ?

La cartographie de votre flux de données de carte peut vous aider à mieux comprendre comment les données de titulaires de carte sont ingérées et transmises dans votre environnement de données de titulaires de carte du début à la fin. Cela vous fournira une vue claire de votre environnement de données de titulaires de carte et des systèmes qui y sont connectés.

2. Identifiez les risques

Ensuite, vous devrez identifier les personnes, processus et technologies qui font partie de votre environnement de données de titulaires de carte ou peuvent affecter l'environnement.

À cette phase, vous identifierez les menaces et les vulnérabilités qui pourraient potentiellement affecter vos systèmes, aidant ainsi à façonner votre profil de risque.

• Vulnérabilités sont des défauts dans l'état de votre environnement qui pourraient être exploités
• Menaces sont des possibilités pour quelqu'un ou quelque chose d'exploiter une vulnérabilité.
• Risques sont une mesure de la probabilité qu'une menace donnée exploite une vulnérabilité donnée et de l'impact que cela aura sur l'environnement des données de titulaires de carte.

Par exemple, considérons un système logiciel qui n'a pas été mis à jour avec une nouvelle version censée corriger une vulnérabilité de sécurité. Cette vulnérabilité est le logiciel obsolète, la menace est qu'un pirate pourrait infiltrer le système, et le risque est de ne pas s'assurer que le logiciel est à jour.

Considérez ces catégories de menaces et de vulnérabilités :

• Numérique : Ne pas mettre à jour les logiciels avec les correctifs de sécurité
• Physique : Élimination incorrecte des données
• Interne : Employés
• Externe : Pirates
• Environnemental : Catastrophe naturelle

3. Analysez les risques

Une fois que vos risques ont été identifiés, vous devrez évaluer la probabilité de survenance du risque et l'impact potentiel que ce risque aurait sur votre organisation.

• Probabilité du risque : Considérez la probabilité qu'une menace profite d'un risque donné. Par exemple, si vous avez subi une violation de données l'année dernière, la probabilité qu'une autre se produise serait élevée à moins que vous n'ayez remédié à la vulnérabilité qui a causé la violation.
• Potentiel de risque : Considérez les dommages qu'un risque pourrait causer à votre organisation. Par exemple, des pare-feux mal configurés auraient une forte probabilité de permettre à un trafic inutile d'entrer ou de sortir de l'environnement de données de titulaires de carte.

En fonction de la probabilité et de l'impact potentiel, attribuez à chaque vulnérabilité et à chaque menace associée un niveau de risque. Les catégories de niveaux de risque courantes incluent les risques élevés, moyens et faibles. Votre équipe doit prioriser la gestion des risques les plus élevés avant de s'attaquer aux risques moyens, puis faibles.

4. Créer une stratégie de gestion des risques

Une fois les risques catégorisés, vous pouvez commencer à élaborer votre processus de gestion des risques. Bien que certains risques ne puissent être éliminés entièrement, le processus de gestion des risques aide à réduire les risques à un niveau plus acceptable. Le niveau de risque restant est appelé risque résiduel.

Lors de l'élaboration de votre stratégie de gestion des risques, pensez à la façon dont les contrôles de sécurité seront évalués, priorisés et mis en œuvre. Il est utile de nommer une équipe pour s'occuper de ce processus et documenter régulièrement les résultats.

Lorsque vous savez comment le processus de réduction des risques sera suivi, vous pouvez appliquer des contrôles de sécurité pour traiter les domaines de risque les plus élevés. Après la mise en œuvre des mesures de sécurité, vérifiez leur efficacité et continuez à surveiller les nouveaux risques.

Bien que les évaluations des risques doivent être effectuées chaque année pour la conformité PCI, il existe quelques stratégies supplémentaires pour vous aider à surveiller les risques entre les évaluations :

• Tests de pénétration: Requis par PCI DSS, les tests de pénétration sont un test pratique de la sécurité de votre système.
• Analyse des écarts : Cette évaluation mesure vos pratiques commerciales actuelles pour trouver d'éventuels manquements qui pourraient vous rendre non conforme.
• Scans de vulnérabilité internes et externes : Également requis par PCI DSS, les scans de vulnérabilité testent les faiblesses de votre infrastructure et de vos applications.

5. Documentez correctement votre évaluation des risques

Après avoir terminé votre évaluation des risques, compilez vos conclusions dans un rapport formel. Ce rapport inclura des détails sur chaque vulnérabilité identifiée et sur la manière dont vous avez traité ou accepté les risques découverts.

Les sections d'un rapport d'évaluation des risques incluent :

• Historique des versions : La date d'achèvement de l'évaluation et l'auteur du document
• Résumé exécutif : Un résumé de la posture de sécurité de votre organisation avant et après l'évaluation
• Périmètre de l'évaluation des risques : Décrivez votre entreprise et donnez un aperçu de votre environnement de données de titulaires de cartes
• Approche d'évaluation des risques : Votre processus pour mener l'évaluation des risques et la méthode utilisée pour catégoriser et prioriser les risques
• Inventaire des actifs : Une liste des actifs inclus dans votre évaluation
• Menaces : Une liste des menaces qui pourraient affecter vos actifs
• Vulnérabilités : Une liste des vulnérabilités dont les menaces pourraient profiter pour affecter les données des titulaires de carte
• Résultats de l'évaluation des risques : Une liste des risques catégorisés et des actions prises pour traiter et atténuer les risques

Modèle de rapport d'évaluation des risques PCI

PCI DSS exige que les entreprises documentent leur processus d'évaluation des risques et leurs conclusions. Téléchargez notre modèle ci-dessous pour vous aider à formater vos résultats d'évaluation des risques.

Comment Secureframe peut vous aider à vous préparer à une évaluation des risques PCI

Les évaluations des risques sont une partie importante de la conformité PCI. Une évaluation approfondie vous aide à identifier tous les risques potentiels et à mettre en œuvre de manière proactive des mesures de sécurité.

Notre équipe d'experts PCI peut vous aider à identifier avec précision tous vos actifs et vulnérabilités potentielles afin d'obtenir une image complète de votre posture de sécurité, garantissant ainsi qu'aucun élément ne passe à travers les mailles du filet.

Pour en savoir plus sur la façon dont Secureframe peut vous aider à atteindre la conformité PCI, demandez une démo avec notre équipe dès aujourd'hui.