Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

ISO 27001 par conviction, PCI-DSS par pragmatisme

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur ISO 27001 par conviction, PCI-DSS par pragmatisme

Autre difficulté imprévue rencontrée : une bonne dose de cuisine maison a été nécessaire. « Nous sommes sous Active Directory avec des GPO, mais si nous devons accueillir un serveur Linux il faudra tout de même que nous puissions répondre à la condition de gestion des accès imposée par PCI-DSS, et donc savoir pousser des GPO Windows sous Linux. C’est le genre de choses que nous n’avions pas du tout anticipé !« .

En définitive la plate-forme témoin n’est guère utile : ce sont plutôt des VLAN vides qui sont certifiés, avec l’infrastructure qui les supporte. « Le client doit se faire certifier lui-même une fois qu’il installe ses serveurs. C’est par exemple à lui de prouver la conformité au TOP 10 de l’OWASP, car on ne peut évidemment pas s’engager sur son développement web« , explique le RSSI. Bien entendu cela signifie que outre l’audit PCI-DSS annuel de l’hébergeur, chaque client sera lui aussi audité une fois par an… sur la même infrastructure !

Si les systèmes sont prêts, la politique de sécurité, elle, a souffert de l’arrivée de PCI-DSS dans le paysage. « Ma PSSI est cassée ! Il a fallu rajouter des bouts de paragraphes et greffer des documents partout pour satisfaire aux exigences de PCI-DSS, et on se retrouve avec des documents ISO torturés pour être conformes PCI. En définitive ma PSSI n’a plus beaucoup de sens vis-à-vis d’ISO 27001 !« , regrette le RSSI. Il envisage d’ailleurs de la ré-écrire intégralement, en séparant les deux normes. « Il faut accepter d’avoir une PSSI à deux vitesses, avec d’un côté un document global ISO qui permette de manager la totalité du SI, et de l’autre un document dédié à PCI-DSS, pour les systèmes qui doivent être conformes. Et ça facilitera en plus la vie de l’auditeur !« , poursuit Christophe Jodry.

Hors de question pour autant de jeter face à face les deux normes. La culture ISO 27001 de Runiso a aussi facilité les choses lors des travaux de conformité PCI-DSS. « Nous étions prêts sur beaucoup de choses, nous étions au carré grâce à ISO et cela nous a facilité les choses. En fait, ce qui nous a mis dedans, c’est le documentaire !« , précise Christophe Jodry en regrettant encore sa PSSI ISO.

Les normes, bien entendu, ne vivent pas en vase clos et convergent généralement vers le même objectif, avec souvent des bonnes pratiques similaires. Mais l’expérience de Runiso montre que face à l’option raisonnable consistant à commencer par ISO 27001 (et bien que cela facilite effectivement les choses par la suite), il peut-être tentant de préférer d’abord PCI-DSS pour des raisons strictement commerciales. « Du point de vue du ROI, finalement, nous avons trouvé que c’est plus intéressant« , conclue Christophe Jodry.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.