News
Soldes d’hiver : se conformer à la norme PCI-DSS grâce au PAM
janvier 2023 par Christophe Varin, Regional Sales Manager for France and Benelux, ThreatQuotient
Les soldes d’hiver, qui se dérouleront du 11 janvier au 7 février 2023, approchent à grand pas et conduiront immanquablement à une hausse des achats en ligne sur la période. En effet, une étude de la Fevad indique que les promotions constituent la principale motivation d’achat pour 55 % des Français, notamment en raison de la crise économique actuelle. Cependant, les hackers profiteront également de cette période pour déployer des campagnes malveillantes afin de compromettre des identités et dérober des informations sensibles aux entreprises.
Selon Jean-Christophe Vitu, VP Solutions Engineer chez CyberArk, toute entreprise de e-commerce doit s’assurer de respecter les directives de la norme PCI-DSS en amont de la période de soldes pour protéger ses structures informatiques ainsi que les données de ses clients, et pour se mettre à l’abri de lourdes pénalités :
« La norme PCI-DSS vise à protéger l’ensemble des parties impliquées dans les transactions en ligne contre les cyberattaques : d’une part, les consommateurs, en sauvegardant leurs informations confidentielles ; mais aussi les commerçants, en limitant les vulnérabilités de sécurité et les risques liés aux accès non-autorisés et à la divulgation des données. Elle définit ainsi des dispositifs de contrôle d’accès rigoureux et impose des méthodes d’authentification multifactorielle (MFA), afin d’empêcher les hackers de pénétrer dans les infrastructures informatiques professionnelles pour y voler des données bancaires. Elle exige aussi que les commerçants surveillent et régulent l’accès aux comptes admin sur les terminaux des points de vente.
Les cybercriminels cherchent régulièrement à exploiter les identifiants à privilèges pour mettre en œuvre leurs attaques et obtenir des données sensibles. Une de leurs cibles favorites est notamment les comptes admin des systèmes informatiques, qui assurent la gestion des transactions de paiement. Or, l’effervescence des achats en ligne au moment des soldes leur offre de nombreuses opportunités d’action, car les employés se trouvent débordés et font preuve d’un relâchement dans le contrôle des identifiants. En outre, l’adoption persistante de processus de sécurité manuels, sujets aux erreurs, facilite la propagation des cyberattaques.
Afin de contrer ces tentatives, la norme PCI-DSS recommande aux commerçants de recourir à un outil PAM, afin de limiter l’accès aux comptes à privilèges et de renforcer la protection contre les violations de données. Par ailleurs, les solutions de gestion des droits de l’infrastructure cloud (CIEM) aident également les entreprises à réduire les autorisations excessives sur les systèmes hébergeant des informations sensibles dans leurs environnements cloud. Ces outils permettent de répondre à une autre exigence clé de la norme PCI-DSS : l’octroi d’accès basé sur le principe du moindre privilège.
De tels systèmes de contrôle constituent une base solide pour adopter une approche globale de la sécurité des identités et répondre aux exigences PCI-DSS. En effet, la norme impose que les différents moyens utilisés pour superviser les accès à privilèges fonctionnent de manière complémentaire, afin d’améliorer la visibilité et la gestion de ces types de comptes. Cela permet également d’isoler et de surveiller les sessions à privilèges, ce qui contribue à prévenir tout accès non autorisé.
Que ce soit pour la période des soldes, ou pendant le reste de l’année, la conformité au directives PCI-DSS 4.0 doit devenir une priorité pour les organisations. Pour ce faire, le déploiement d’une stratégie dédiée à la sécurité des identités axée sur les accès à privilèges est primordial, et permet une protection accrue contre toute tentative d’intrusion de la part des cybercriminels. »
