La conformité PCI en environnements virtualisés reste un défi

Le conseil de définition des standards de sécurité (le PCI SSC) pour le traitement des données des cartes bancaires a édicté ses recommandations pour la conformité PCI des environnements virtualisés il y a désormais près d’un an. Mais les entreprises et les organismes d’évaluation continuent de rencontrer des défis importants.

Les recommandations PCI pour les environnements virtualisés devaient constituer un outil permettant aux entreprises d’avancer, explique Eric Chiu, président et co-fondateur d’HyTrust, un éditeur d’outils de gestion des politiques et de contrôle des accès pour infrastructures virtualisées : «avant la publication de ces recommandations, les organisations n’étaient pas sûres de pouvoir réussir un audit PCI si elles traitaient des données de titulaires de cartes bancaires dans un environnement virtualisé [...] Cela dépendait vraiment de l’auditeur, de l’évaluateur qualité (QSA), et de la manière dont l’un et l’autre pouvaient être à l’aise avec la virtualisation.» Las, les recommandations «n’ont pas clarifié la situation au point de permettre à chacun de se contenter de lire un document pour savoir quoi faire », déplore David Ottenheimer, Président du cabinet de conseil en sécurité IT Flying Penguin, un évaluateur PCI reconnu. 

Présentées en juin 2011, les recommandations PCI pour les environnements virtualisés soulignent les complexités liées à la sécurisation des données de cartes bancaires dans ces environnements. Elles sont basées sur quatre principes : les exigences PCI SSC (PCI Security Standards Council) s’appliquent aux technologies de virtualisation qui sont utilisées pour traiter des données de cartes bancaires; la virtualisation induit de nouveaux risques; les systèmes virtualisés sont extrêmement divers et leurs caractéristiques et interactions avec les données de cartes bancaires doivent être largement documentées; il n’y pas de solutions clés-en-main idéales pour configurer ces systèmes et les rendre conformes à PCI.

Avec ses recommandations, le PCI SSC a assis sa légitimité sur le sujet, estime Ottenheimer : «le conseil a montré qu’il voulait ouvrir le débat sur la sécurisation des environnements virtualisés. Maintenant, c’est aux QSA et aux éditeurs de prendre les choses en main.» Et pour lui, c’est toujours un défi : «en définitive, on retombe toujours sur des décisions de management, sur des questions relatives aux individus impliqués et aux processus métiers. Bien sûr, il y a la question de la technologie. Et on peut la sécuriser largement, on peut s’appuyer sur l’hyperviseur pour créer un environnement conforme, mais pouvons-nous forcer les entreprises à l’adopter sous sa forme la plus sécurisée dans le cadre de ses processus métiers ? C’est le coeur du sujet.»

Les erreurs de la conformité PCI

Chiu explique que son entreprise a commencé à observer la multiplication des opérations de gestion de la conformité PCI au cours du premier trimestre. Depuis le 1er janvier, les tests de conformité doivent être conduit suivant la version 2.0 du standard. HyTrust travaille avec des entreprises qui ont besoin de s'y préparer  ou qui ont besoin de réparer des défauts de conformité. A trois reprises, chez des clients confrontés à cette dernière situation, le problème venait des environnements virtualisés dans lesquels les données de cartes bancaires sont traités, indique Chiu.

L’une des erreurs qu’il a pu observer consister à traiter l’environnement virtualisé comme un environnement physique. Alors que le premier est bien plus dynamique que le second et que des accès non contrôlés peuvent avoir des conséquences bien plus étendues, «il est possible pour quelqu’un de causer beaucoup de dégâts parce que tout est consolidé sur une unique plateforme.»

Autre erreur : considérer que l’on est conforme PCI parce que son fournisseur de services Cloud l’est, relève John Clark, consultant sécurité et QSA chez FishNet Security, car «au final, c’est le commerçant, ou le client du fournisseur de ces services », qui est responsable de la conformité PCI; «il n’est pas possible de se décharger sur le fournisseur de services.»

Accessoirement, il est difficile pour fournisseur de services Cloud d’affirmer qu’il propose un service conforme PCI, estime Eric Fischer, également consultant sécurité et QSA chez FishNet Security : «ils n’offrent qu’un composant d’un ensemble plus vaste que les clients doivent maintenir en conformité. Celui qui souscrit à un service et qui estime qu’il peut ainsi être instantanément conforme PCI, se trompe.» 

Les organisations qui utilisent un fournisseur Cloud doivent avoir une compréhension claire et un accord contractuel sur les niveaux de responsabilité de chacun, explique Fisher - «sinon, les choses dérapent », souligne Clark. 

Pratiques de référence pour la conformité PCI en environnement virtualisé

Les recommandations PCI pour les environnements virtualisés sont suffisamment claires pour montrer que les environnements multi-tenants ne sont plus un problème. Mais elles sont moins claires sur les différents niveaux de sécurité d’un matériel partagé, explique Ottenheimer. L’utilisation d’un hyperviseur de type 1 (bare-metal) lorsque l’on héberge différents niveaux de sécurité sur les machines virtuelles peut limiter le problème, estime-t-il. Et de recommander de suivre les recommandations de sécurisation de VMware

«Si vous réagissez rapidement aux vulnérabilité connues, alors vous n’êtes clairement pas dans une situation plus difficile qu’avec un environnement physique », souligne-t-il. «Et il se pourrait même que vous soyez dans une meilleure situation car l’environnement virtuel est moins sensible à l’état d’une machine. Même à l’arrêt, vous pouvez étudier sa conformité. Ce qui n’est pas possible avec une machine physique.»

Il travaille avec d’autres QSA au développement de recommandations auprès du PCI SSC dont il espère, in fine, qu’elles seront retenues pour les exigences de conformité. D’ici là, le PCI SSC a formé un groupe dédié à l’étude du cas des environnements Cloud.

Dans l’état, Fischer recommande aux entreprises de segmenter leurs environnements virtualisés dans lesquels des données de cartes bancaires sont traitées - en plus d’une préparation initiale adéquate, dont le recours à un processus de due diligence avant de signer un contrat avec un fournisseur Cloud.

Il renvoie également ses clients aux recommandations de la Cloud Security Alliance et recommande aux entreprises d’évaluer les compétences techniques d’un QSA avant son embauche : «le client peut dire d’un QSA que celui qu’on lui propose n’est pas le plus adapté à son organisation.»

Chiu relève que la virtualisation reste en phase d’apprentissage pour certains QSA : «ce sont des technologies récentes et ils ont besoin d’en devenir des experts pour comprendre comment elles fonctionnent et comment les auditer par rapport aux pratiques de référence de sécurité.»

Quoi qu’il en soit, deux auditeurs n’auront pas forcément la même opinion, selon Ottenheimer : «nous cherchons tous à avoir la meilleur approche compte tenu des besoins spécifiques de chaque client en matière de conformité. Mais tout n’est pas blanc ou noir.»  

Adapté de l’anglais par la rédaction.

Pour approfondir sur Virtualisation de serveurs

Close