Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Conformité PCI pour les containers et le cloud

La norme de sécurité des données de l’industrie des cartes de paiement – également connue sous le nom de PCI DSS, ou parfois simplement PCI – a vu le jour en 2004, bien avant que la plupart des gens ne pensent aux containers et au cloud.

Mais ce n’est pas parce que les contrôles PCI sont antérieurs aux technologies modernes qu’ils ne s’appliquent pas à celles-ci. Au contraire, il est essentiel de veiller à ce que les containers et les services cloud soient déployés conformément à la norme PCI pour toute entreprise soumise aux règles PCI, c’est-à-dire, en général, toute entreprise qui traite des données de transaction par carte de crédit de quelque manière que ce soit.

Dans cet article, vous apprendrez tout ce que vous devez savoir pour vous assurer que vos workloads basés sur les containers et le cloud sont conformes aux règles de conformité PCI DSS. Il aborde également la question de la conformité PCI, où elle s’applique et comment concevoir des workloads natifs dans le cloud de manière à s’aligner sur les exigences PCI.

Conformité PCI : de quoi s’agit-il ?

La conformité PCI fait référence à un ensemble de règles établies par les principales sociétés de cartes de crédit pour régir les données associées aux transactions de paiement par carte de crédit. Cette norme est encadrée par le Payment Card Industry Security Standards Council, une organisation industrielle indépendante qui supervise le cadre de conformité PCI et le met à jour périodiquement.

La version actuelle des règles PCI DSS, dont la dernière mise à jour remonte à mai 2018, est la version 3.2. Toutefois, une refonte majeure du cadre devrait arriver en 2022 sous la forme de la norme PCI DSS 4.0. Les documents officiels de la norme PCI DSS sont disponibles dans la bibliothèque du PCI Security Standards Council.

Qui doit respecter les exigences de conformité PCI ?

Contrairement à de nombreuses autres exigences en matière de conformité, la norme PCI ne s’applique pas uniquement aux entreprises d’une certaine taille ou à celles qui gèrent un certain volume de données pertinentes. Elle ne se limite pas non plus à certains types de technologies ou de juridictions politiques.

Ainsi, si votre entreprise gère des transactions par carte de crédit ou les données qui y sont associées de quelque manière que ce soit, les règles PCI s’appliquent à vous. Peu importe l’endroit où se trouve votre entreprise, sa taille ou les types de workloads que vous exécutez. Si les transactions ou les données relatives aux cartes de crédit touchent vos systèmes de quelque manière que ce soit, vous devez respecter les exigences de conformité PCI.

Le non-respect des règles PCI entraîne des frais de non-conformité et des amendes, qui sont évalués par les différentes sociétés de cartes de crédit. Les amendes varient, mais elles peuvent être très lourdes : les violations majeures en termes de sécurité peuvent entraîner des amendes de non-conformité pouvant atteindre 500 000 dollars ou plus.

Il convient de noter qu’étant donné que de nombreuses exigences PCI recoupent celles des règles de conformité réglementaire (comme le GDPR et la CPRA), le non-respect des exigences PCI pourrait également entraîner des problèmes avec les autorités réglementaires gouvernementales. Ainsi, bien que la norme PCI DSS soit elle-même conçue et administrée par un groupe industriel plutôt que par une agence gouvernementale, elle a des implications importantes pour les entreprises qui sont également soumises à des mandats de conformité gouvernementaux.

Quelles sont les règles de conformité PCI ?

Bien que les différentes versions de la norme PCI DSS varient quelque peu dans leurs exigences, elles se résument à un ensemble de règles de base que les entreprises sont tenues de respecter lors de la conception, de la mise en œuvre et de la gestion des systèmes qui jouent un rôle dans le traitement des transactions par carte de crédit.

Les principales règles PCI sont les suivantes :

  • Sécurité réseau : les entreprises doivent planifier et appliquer les défenses de sécurité du réseau.
  • Sécurité des données : les données sensibles associées aux transactions par carte de crédit – y compris non seulement les numéros de carte de crédit mais aussi les données du titulaire de la carte comme les noms et les adresses – doivent être stockées de manière sécurisée.
  • Gestion des vulnérabilités : les entreprises doivent concevoir et suivre des règles pour détecter et traiter les problèmes de sécurité dans toutes les couches de leurs environnements.
  • Tests et audit : des tests et des audits de sécurité doivent être effectués régulièrement.
  • Contrôle d’accès : des contrôles d’accès doivent être mis en place pour toutes les ressources informatiques afin d’atténuer le risque d’accès non autorisé aux données et systèmes sensibles. Des contrôles d’accès doivent également être mis en place pour les systèmes physiques.
  • Politiques de sécurité : les entreprises doivent établir des politiques de sécurité qui s’appliquent à leurs équipes internes, ainsi qu’à tous les entrepreneurs ou éditeurs avec lesquels elles travaillent.

PCI DSS, containers et le cloud

les exigences PCI sont conçues pour être larges et applicables à tout type de technologie ou d’environnement informatique. Elles ne font pas mention des containers ou des environnements cloud, et encore moins des recommandations spécifiques sur la façon dont les containers ou les ressources dans le cloud doivent être configurés afin de répondre aux règles de conformité PCI.

La responsabilité de l’interprétation des règles PCI dans le contexte des environnements basés sur les containers ou le cloud incombe plutôt aux entreprises. Et si la nature exacte des efforts de conformité PCI variera en fonction de la nature de votre environnement en container ou dans le cloud, voici les meilleures pratiques à garder à l’esprit lors de la gestion d’applications ou d’infrastructures qui incluent des containers ou du cloud.

Conformité des containers à la norme PCI

À certains égards, les containers simplifient la conformité PCI car ils isolent les workloads les uns des autres, ce qui permet de respecter certaines des règles de conformité PCI associées à la sécurité du réseau et au contrôle d’accès.

Cela ne signifie pas pour autant que le simple fait de déployer des workloads dans des containers garantit la conformité PCI. Au contraire, vous devrez prendre une série de mesures supplémentaires pour éviter les problèmes de conformité liés à la norme PCI lorsque vous utilisez des containers :

  • Isolement du réseau : isolez chaque container pour qu’il n’accède pas aux ressources du réseau, sauf s’il a spécifiquement besoin d’y accéder. Vous pouvez renforcer l’isolement du réseau à l’aide de politiques réseau dans Kubernetes (si vous utilisez Kubernetes), ou via iptables ou un autre framework de pare-feu de niveau OS.
  • Contrôle d’accès des containers : chaque container ne doit pouvoir accéder qu’aux processus externes, au stockage et aux autres ressources dont il a strictement besoin. Empêchez les containers de s’exécuter en mode privilégié, et tirez pleinement parti de frameworks tels que Kubernetes RBAC et des contextes de sécurité pour verrouiller vos containers.
  • Contrôle d’accès de l’hôte : veillez également à appliquer des contrôles d’accès stricts dans les systèmes d’exploitation des serveurs qui hébergent vos containers. La manière de procéder dépend de l’OS que vous utilisez et de la conception de vos serveurs. Mais en principe, vous prendrez quelques mesures, comme la désactivation des comptes utilisateurs inutiles, le blocage de l’accès SSH depuis l’Internet public et la fermeture des ports ouverts inutiles.
  • Mises à jour de sécurité des containers : pour respecter les règles de gestion des vulnérabilités PCI, assurez-vous que votre orchestrateur de containers, votre moteur d’exécution et vos systèmes d’exploitation hôtes sont à jour.
  • Analyse des images de containers : analysez vos images de containers avant le déploiement pour détecter les logiciels malveillants ou les composants non sécurisés.
  • Surveillance de sécurité des containers : surveillez votre environnement d’applications en containers pour détecter les signes de violation en temps réel.
  • Audits de l’environnement en container : effectuez régulièrement des audits (par exemple, tous les trimestres – ou, mieux encore, en permanence) pour détecter et corriger les configurations non sécurisées. Des ressources telles que le framework d’audit Kubernetes sont utiles pour cette tâche, tout comme des stratégies telles que l’audit des modèles IaC que vous utilisez pour provisionner vos clusters.
  • Établir des règles de gouvernance des containers : créez des règles de sécurité et de gouvernance qui définissent comment vos équipes peuvent utiliser les environnements en containers. Par exemple, déterminez les workloads autorisés à partager un namespace et les procédures à suivre lors de la publication d’images de containers dans un registre.

Conformité PCI du cloud

La conformité PCI du cloud est un peu compliquée en raison du modèle de responsabilité partagée sous lequel les fournisseurs de cloud public opèrent. La responsabilité partagée implique que les fournisseurs de services cloud sont responsables du respect de certaines règles de conformité PCI, telles que la sécurité physique de leurs centres de données et l’audit de leur infrastructure dorsale pour les problèmes de sécurité.

Cependant, au-delà du fait de s’assurer que votre fournisseur de services cloud respecte les règles de base de la conformité PCI (et tous les principaux fournisseurs de services cloud le font), la majeure partie de la responsabilité de la conformité PCI dans le cloud incombe aux entreprises qui utilisent le cloud. À cet égard, vous devrez adhérer à ces pratiques :

  • Utilisation de cloud IAM : appliquez un contrôle d’accès granulaire à l’aide du framework Identity and Access Control (IAM) de vos fournisseurs cloud. Les politiques IAM doivent appliquer le principe du moindre privilège, ce qui signifie que chaque utilisateur et chaque ressource ne peut accéder qu’aux ressources spécifiques dont il a besoin.
  • Audits IAM : analysez automatiquement vos modèles IAM pour détecter les erreurs de configuration susceptibles de créer des problèmes de sécurité.
  • Isolement du réseau cloud : à l’aide d’outils tels que les VPC, isolez les workloads dans votre environnement cloud au niveau du réseau.
  • Contrôle d’accès au stockage dans le cloud : utilisez des politiques IAM pour empêcher l’accès non autorisé aux données stockées dans le cloud.
  • Découverte des données du cloud : envisagez d’utiliser des outils de prévention des pertes de données dans le cloud pour vous aider à détecter les données sensibles présentes dans vos compartiments de stockage dans le cloud, vos bases de données et vos systèmes de fichiers. Ces outils peuvent détecter des données telles que des numéros de carte de crédit à des endroits où vous ne vous rendez pas compte qu’elles sont stockées.
  • Audits du cloud : effectuez des audits réguliers ou continus de votre environnement cloud afin d’identifier les mauvaises configurations susceptibles d’entraîner des failles de sécurité. Certains fournisseurs de services cloud offrent des services d’audit natifs à cette fin, mais vous trouverez peut-être plus pratique d’utiliser une solution tierce qui peut auditer plusieurs environnements cloud (ou des environnements cloud et des environnements sur site) à la fois.
  • Gouvernance du cloud : établissez des politiques de gouvernance pour contrôler la façon dont votre entreprise fournit des workloads dans le cloud. Répondez à des questions telles que les suivantes : Quels employés peuvent créer quels types de ressources dans le cloud ? Quand les employés ou les équipes peuvent-ils partager un compte cloud, et quand les workloads doivent-ils être exécutés sous des comptes séparés ? Quelles politiques de balisage les utilisateurs doivent-ils suivre lorsqu’ils créent des workloads afin de réduire le risque que les ressources cloud soient lancées puis oubliées (ce qui non seulement entraîne un gaspillage d’argent mais augmente également les risques de sécurité car les ressources cloud non surveillées sont des proies faciles pour les attaques) ?

Conclusion

La norme PCI DSS est un sujet complexe, et il n’existe pas de règle simple à suivre pour assurer la conformité PCI pour les containers et les workloads basés sur le cloud. L’approche de chaque entreprise en matière de conformité PCI sera unique.

En général, cependant, la conformité PCI pour les containers et le cloud se résume à deux concepts simples. Tout d’abord, vous devez utiliser les outils à votre disposition – comme les outils RBAC de Kubernetes et les frameworks IAM du cloud – pour vous assurer que vos workloads sont aussi sécurisés que possible dès le départ. Ensuite, vous devez déployer des outils de surveillance et d’audit de la sécurité pour détecter les problèmes de sécurité qui surviennent dans vos environnements malgré votre planification minutieuse.

En prenant des mesures pour créer des environnements sécurisés par défaut tout en surveillant en permanence les vulnérabilités, vous maximisez votre capacité à vous conformer aux différents mandats du PCI concernant la sécurité des réseaux et des données, la gestion des vulnérabilités, les contrôles d’accès et les audits.