Comment réagir à une fuite de données de carte de paiement ?

Le PCI SSC a récemment publié une mise à jour du guide rappelant les actions à mettre en œuvre d’un point de vue PCI en cas d’accès frauduleux à des données de carte. Nous revenons sur le contenu de ce document. 
Celui-ci peut être téléchargé ici. 

1. La mise en place d’un plan de réponse à incident 

1.1 Le plan de réponse à incident : une exigence du standard 

Avant toute chose, il est bon de rappeler pourquoi le PCI SSC publie ce guide. En effet, l’exigence 12.10 du standard stipule qu’un plan de réponse à incident doit être rédigé, connu du personnel concerné, et testé. 

Ce plan doit inclure les points suivants : 

• Une description des rôles, des responsabilités et de la stratégie de communication en cas d’intrusion 
• Les procédures à suivre pour maintenir ou rétablir l’activité 
• Les procédures de restauration des données 
• Une analyse des contraintes légales de notifications en cas d’intrusions 
• Une prise en compte de tous les systèmes critiques 
• Les références aux procédures à suivre exigées par les marques de cartes et les banques 

Ce dernier point est particulièrement important dans le cadre du guide, puisque l’intérêt du document est principalement d’informer sur l’organisation du suivi de l’incident entre l’organisation victime, sa banque et les marques de carte. 

1.2 Des actions techniques à effectuer 

Même si le côté technique de la réponse à incident n’est clairement pas le cœur de ce document, un point important y est mentionné : la nécessité de préserver les preuves intactes, tout en limitant l’impact de l’intrusion. 

Il est donc recommandé à cet effet de débrancher physiquement du réseau toute machine dont la compromission est suspectée, tout en s’abstenant absolument de les éteindre ou de les redémarrer. En effet, de telles actions effaceraient de la mémoire des traces qui pourraient s’avérer très précieuses pour les investigations ultérieures. 

1.3 Préparer puis assurer une communication adaptée avec toutes les parties prenantes 

Les partenaires PCI, dont la banque et les marques de cartes, doivent bien entendu être prévenus en cas de suspicion d’accès frauduleux à des données de carte. Néanmoins, les autres partenaires devraient également être notifiés, et les contrats qui vous lient devraient être relus afin d’identifier ceux pour lesquels des obligations contractuelles ou légales à ce sujet peuvent exister, comme la nécessité de prévenir la CNIL par exemple. 

Il est également important de s’assurer, notamment par voie contractuelle, que les prestataires de services et hébergeurs coopéreront en cas d’incident (mise à disposition des locaux dans lesquels vos serveurs sont hébergés, fourniture d’éléments de preuves, etc.). 

2. Identifier et travailler avec des spécialistes forensic accrédités par le PCI SSC (PFI)

Un PCI Forensic Investigator est une entité agréée par le PCI SSC pour exécuter des investigations forensic à la suite d’un incident impliquant des données de carte. 
Ces PFI sont recensés sur le site du PCI SSC et peuvent être recherchés en fonction de critères géographiques et linguistiques, afin de trouver ceux qui correspondent le mieux à votre activité. La page permettant de les identifier est ici. 
Pour la France notamment, 4 PFI différents sont disponibles. Le guide recommande de prendre contact en amont avec au moins deux, afin de minimiser le risque qu’un contact unique soit indisponible au moment d’un éventuel incident. 

2.1 Le déroulement de l’investigation 

Le contact initial avec les marques de cartes doit permettre de définir si l’appel à un PFI est nécessaire. En effet, chaque marque définit respectivement les critères précis qui requièrent de les contacter en cas d’intrusion. Pour retrouver comment contacter chaque marque de carte, on peut se référer à la FAQ 1142 sur le site du PCI SSC, disponible ici. 

Il est à noter que les investigations internes ne doivent pas interférer avec les investigations menées par le PFI. Celui-ci doit pouvoir commencer son enquête dans les 5 jours ouvrés après le contact initial. 

Le périmètre des investigations du PFI ne se limitera pas au périmètre PCI, et tout système comportant potentiellement des preuves relatives à l’incident est susceptible d’être inspecté. 

Un dernier point important est de garder en tête que le rapport produit par le PFI à la fin de son enquête vous sera distribué, mais sera également mis à disposition de la banque et des marques de cartes. 

En plus de son investigation, le PFI pourra assister dans la mise en œuvre de la réponse à incident et fournir des recommandations dans le but d’un retour rapide à la normale. Cependant, son objectif principal est d’identifier les causes de la fuite de données de carte et d’identifier les attaquants. Afin que cet objectif soit atteint le plus facilement possible, la priorité doit être donnée à la préservation des preuves en mettant en œuvre ces trois recommandations : 

• L’isolation des systèmes impactés (débranchement des prises réseau)
• L’arrêt de toutes interactions avec ces systèmes
• La documentation de toutes les actions entreprises par rapport à l’incident et aux systèmes impactés (qui a fait quoi et quand)

Prévoyez également de donner au PFI l’accès aux locaux et de rendre disponibles les collaborateurs pertinents (y compris les prestataires) ainsi que les locaux des hébergeurs. 

3. Comprendre les rôles et responsabilités des parties prenantes 

À partir du moment où un incident impactant le périmètre PCI commence à être traité, différents acteurs vont entrer en jeu et participer à l’organisation, au déroulement, à la supervision et à la conclusion de l’incident. Dans ce cadre, des réunions de suivi de la gestion de l’incident ainsi que des investigations seront organisées, ainsi qu’une réunion finale permettant la présentation des conclusions du PFI. 

La banque est responsable du pilotage des opérations, en organisant le planning des réunions entre les parties prenantes PCI et en y participant, et en s’assurant qu’un PFI a bien été engagé. Elle fournit un rapport final aux marques de carte. 
Les marques de cartes peuvent assister aux réunions et exiger que des actions supplémentaires soient mises en œuvre pour fournir des clarifications. 
Les marchands initient le contact avec le PFI, puis lui fournissent les accès nécessaires. Ils doivent participer aux réunions, fournir la documentation et effectuent les actions demandées. Si nécessaire, les prestataires des marchands peuvent également avoir à fournir des accès, des éléments de preuve et participer aux réunions. 

Ce guide du PCI DSS est un rappel utile pour réagir correctement en cas d’incident. Les quelques liens de contacts (PFI, marques de cartes, etc.) sont notamment bons à intégrer à votre plan de réponse à incident, si cela n’était pas déjà le cas. 

Jean-Yves Kiger, Consultant PCI DSS