Connected to the future - ITnation
Connected to the future - ITnation
Connected to the future - ITnation
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
SÉCURITÉ petit-déjeuner it news<br />
Pho<strong>to</strong>s sur www.itnation.eu<br />
L’EXPÉRIENCE IBM<br />
Simples recommandations, les PCI Data Security Standards (DSS) sont pourtant suffisamment<br />
précis pour constituer la base d’une politique de sécurité complète. «PCI correspond<br />
aux exigences de sécurité décrites par SOX et Bâle II, dit Umber<strong>to</strong> Sansovini. Les 12 règles<br />
n’impliquent pas une mise en conformité supplémentaire. Elles posent les bases pour le futur.»<br />
Un réseau sécurisé, un programme de gestion de la vulnérabilité, une politique de sécurité<br />
de l’information, etc., les standards PCI <strong>to</strong>mbent sous le sens. «Pourtant, les entreprises qui<br />
regardent leur organisation et leur système d’information de plus près découvriront des failles»,<br />
prévient Umber<strong>to</strong> Sansovini. La sécurité est à l’entreprise ce que la médecine est au corps<br />
humain : mieux vaut prévenir que guérir.<br />
CETREL AU CRÉNEAU<br />
«Il est rare que les entreprises actives sur<br />
internet considèrent la conformité à PCI, dit<br />
Dominique Klein, Account Manager chez<br />
CETREL. Or, les sociétés à l’origine de PCI,<br />
telles VISA, peuvent remettre en cause la<br />
crédibilité de ces entreprises en soulignant<br />
leurs lacunes en matière de sécurité.» Sur<br />
son site, VISA dresse une liste des entreprises<br />
conformes à PCI et reconnues ainsi<br />
pour leur engagement. Fournisseur de services<br />
majeur auprès de onze grandes banques<br />
luxembourgeoises, CETREL au<strong>to</strong>rise 250.000<br />
transactions par jour, est active dans le<br />
clearing et le settlement, agit en tant que<br />
helpdesk auprès des détenteurs de cartes,<br />
contrôle les fraudes, règle les conflits, etc.<br />
CETREL a donc, à ce titre, suivi une stricte<br />
mise en conformité.<br />
La société CETREL a ainsi fait appel à IBM<br />
pour sa qualité de Qualified Security Audi<strong>to</strong>r.<br />
En suivant les PCI Data Security Standards,<br />
CETREL a mis en place une stratégie : identification<br />
des données essentielles qui sont<br />
encryptées ou tronquées, encryptage de la<br />
base de données, des disques et du backup,<br />
centralisation des log, gestion d’identité,<br />
remplacement du pro<strong>to</strong>cole FTP par SFTP,<br />
consolidation du système pour éviter les<br />
failles, renforcement des firewalls sur les<br />
LAN, et formations. La société doit cependant<br />
encore compléter sa politique d’IAM et<br />
va à présent se concentrer sur l’encryption de<br />
la base de données en lien avec la migration<br />
vers les RDBMS. Au troisième trimestre 2009,<br />
la version 2.0 des standards PCI apportera<br />
d’autres changements… «La PCI est une<br />
plateforme idéale pour la sécurité», déclare<br />
Dominique Klein.<br />
NOVEMBRE 08 61