Embed Size (px)
Citation preview
Cartes Afrique 2010Tunis
Fraude et sécuritéAu-delà du PCI-DSS classique !
Rappel
Les standards PCI sont : Une réponse rationnelle à un problème global Un standard global Un processus de bout en bout Largement reconnus comme raisonnables
Les standards PCI ne sont pas : Un faire-valoir pour les systèmes de paiement Une solution miracle universelle Un exercice La seule solution
Extrait de l’exposé de Monsieur Jean-Marc Bruneau, PDG de SPHERAGONE« Gestion des risques et de la sécurité : Les règles PCI-DSS »Cartes Afrique 2009
Les acteurs à sécuriser• PCI-DSS sécurise tous les maillons de la chaine :
– Les réseaux– Les banques– Les opérateurs– Les marchands
• Pour les réseaux, les banques et les opérateurs, lutter contre la fraude est une composante forte de leur métier.
• Pour les marchands, la sécurité des moyens de paiement électronique est une contrainte liée à ceux-ci.
Rappel Introduction
Principes
Rappel Introduction
Principes
La mise en œuvre d’une stratégie de sécurité globale demande l’application du PCI-DSS
à tous les niveaux,
chez chacun des acteurs,
notamment chez le personnalisateur
Rappel Introduction
Principes 3 niveaux
Fraude et SécuritéAu niveau de la personnalisation
Rappel Introduction 1er Niveau
Principes
Il convient donc d’analyser la chaîne de circulationet de production afin de :
C’est le niveau le mieux pris en compte
Corps de carte,Clés secrètes,Données Client,Rapports de production,Etc.
Le 1er niveau est lié à la concentration des donnéeset des objets sécurisés dansun minimum de mains
Le transport des corps des cartes
BUT QUI RESPONSABILITE ACTION
Sécuriser l’accès Personne A Transporteur Utiliser camion blindé
Partitionner Personne B Fournisseur carte Transporter la clé ou le code par un autre moyen
Vérifier Pers A + Pers B Transporteur + Fournisseur
Double signer un récépissé après avoir vérifier l’intégrité de l’emballage
Tracer Pers A + Pers B Transporteur + Fournisseur
Archiver le récépissé
Auditer Personne C Auditeur Contrôler le procédé suivi
Rappel Introduction 1er Niveau
Exemple 1
Réceptionner des corps de cartes
BUT QUI RESPONSABILITE ACTION
Sécuriser l’accès Personne A Transporteur Placer le camion dans un sas
Partitionner Personne B Centre de personnalisation
Ne pas avoir accès au sas
Vérifier Pers A + Pers B Transporteur + Centre de personnalisation
Double signer un récépissé après avoir vérifier l’intégrité de l’emballage
Tracer Pers A + Pers B Transporteur + Fournisseur
Archiver le récépissé
Auditer Personne C Auditeur Contrôler le procédé suivi
Rappel Introduction 1er Niveau
Exemple 2
La Direction de progrès ….
Rappel Introduction 1er Niveau
Direction de progrès
Rappel Introduction 1er Niveau 2eme Niveau
Principes
Le 2eme niveau de risque est lié à la motivation des personnes
MOTIVER ?
Ce niveau de risque est souvent sous estimé car il ne fait pas intervenir des personnes directement au contact des objets ou de données à sécuriser
ResponsabiliserDévelopper le sens
de la sécurité.
Eviter la routine
Finance (blocage des commandes de réparation, choix des fournisseurs intervenants)
Services généraux (archivage sécurisé, introduction de personnes étrangères, court-circuitage des procédures pour des tâches courtes et répétitives)
Ressources humaines (choix des candidats, formations continues, motivation, primes à la sécurité, importance du gardiennage)
Bâtiments (entretien des accès et des sas, entretien des portiers de contrôle d'accès, entretien des caméras)
Une porte sous contrôle d’accès ne ferme plus : que faire ?
BUT QUI ACTION
Alerter Sécurité Transmettre l’information aux bonnes personnes
Tracer Tous Remplir un formulaire de risque
Protéger Ressources Humaines Placer un gardien devant la porte
Approvisionner Finance Acheter une serrure
Réparer Bâtiments Changer la serrure
Rappel Introduction 1er Niveau 2eme Niveau
Exemple
Une porte sous contrôle d’accès ne ferme plus
Sommaire Introduction 1er Niveau 2eme Niveau
Bonnes pratiques
Une personne doit passer d’une zone à une autre
Une personne est présente de manière répétitive
Organiser périodiquement des séminaires de formations
Auditer périodiquement le
niveau de connaissance Tester en permanence
les motivations
Limiter la routine
Mettre en place des outils de motivation
……
Sommaire Introduction 1er Niveau 2eme Niveau
Direction de progrès
Ce niveau est lié à la volonté de nuire
Ce niveau est rare mais dangereux car tout est fait pour que le risque n’apparaisse pas
Rappel Introduction 1er Niveau 2eme Niveau 3eme Niveau
Principes
Objectifs à atteindre
Rappel Introduction 1er Niveau 2eme Niveau 3eme Niveau
Direction de progrès
Maintenir un bon climat social et être à l’écoute des problèmes du personnel
Investiguer périodiquement l’environnement extérieur des employés
Valoriser le risque judiciaire et la faible probabilité de réussite
Rappel Introduction 1er Niveau 2eme Niveau 3eme Niveau Débat
Une offre technologique complète et intégrée pour vous accompagner
MERCI DE VOTRE ATTENTION
Fahd MEKOUARfahd@fi natech.com+212 661 159 923
www.finatech.com
