Respecter facilement les normes PCI DSS avec Endpoint Central

Tous les services, protocoles et ports autorisés sont identifiés, approuvés et ont un besoin métier défini.

L’équipe SecOps peut réaliser un audit des ports dans son environnement et réduire nettement la surface d’attaque en cas d’exploit zero-day avec Endpoint Central.

Les fonctionnalités de sécurité sont définies et mises en œuvre pour tous les services, protocoles et ports utilisés et considérés comme non sécurisés, afin d’atténuer le risque.

Endpoint Central, avec ses moyens d’évaluation des menaces, identifie les points d’entrée vulnérables (ports, logiciel vulnérable, etc.) du réseau et leur applique des correctifs.

Voir :
Contrôle des appareils pour l’audit des ports (#)
Audit des logiciels (#)

Le trafic sortant du CDE (environnement de données de titulaire de carte) est limité comme suit :

• Seul le trafic qui est nécessaire.
• Tout autre trafic est spécifiquement refusé.

Endpoint Central offre des techniques de prévention avancée des pertes de données, via son module de protection du téléchargement cloud et du courrier, pour limiter le partage de données d’entreprise sensibles aux domaines approuvés, par courrier ou téléchargement cloud.

Voir :
Sécurité du courrier (#)
Protection du cloud (#)

Des mesures de sécurité de sécurité réseau (NSC) sont mises en œuvre entre les réseaux approuvés et ceux non fiables.
 

L’architecture neutre d’Endpoint Central permet aux administrateurs de gérer et sécuriser les systèmes du CDE même s’ils sont isolés d’Internet.

La divulgation des adresses IP internes et des informations de routage est limitée aux seules parties autorisées.

Les administrateurs peuvent configurer des paramètres NAT pour le serveur Endpoint Central afin que les terminaux gérés le contactent avec un nom de domaine complet.

Des mesures de sécurité sont mises en œuvre sur tous les appareils informatiques, y compris les appareils appartenant à l'entreprise et aux employés, qui se connectent à la fois aux réseaux non fiables (y compris Internet) et au CDE, de la manière suivante :

• Des paramètres de configuration spécifiques sont définis afin d'empêcher l’introduction de menaces dans le réseau de l’entité.
• Les mesures de sécurité s’appliquent activement.
• Les mesures de sécurité ne sont pas modifiables par les utilisateurs des appareils informatiques, à moins que cela ne soit précisément documenté et autorisé par la direction au cas par cas pour une période limitée.

Le module de contrôle des appareils qu’offre Endpoint Central aide à déployer une stratégie Zero Trust, voire de l’automatiser, pour garantir une protection optimale et empêcher le transfert de données d’appareils non approuvés. Endpoint Central permet aussi de déployer diverses mesures de sécurité et configurations sur les machines des utilisateurs pour imposer des restrictions déterminant si elles peuvent autoriser des périphériques USB externes ou se connecter à des réseaux non approuvés. Voir : Sécurité Zero Trust (#) Sécurité des périphériques USB Stratégies de sécurité Sécurité des configurations de navigateur(#) Protection contre les programmes malveillants

Voir :

Sécurité des configurations de navigateur(#)
Protection contre les programmes malveillants

Des normes de configuration sont élaborées, mises en œuvre et gérées pour :

• Couvrir tous les composants système.
• Corriger toutes les vulnérabilités de sécurité connues.
• Se conformer aux normes reconnues en matière de sécurité renforcée des systèmes ou aux recommandations pour les fournisseurs.
• Rester à jour des nouvelles vulnérabilités identifiées, comme défini dans l’exigence 6.3.1.
• S’appliquer lorsque de nouveaux systèmes sont configurés et vérifiés comme étant en place avant ou immédiatement après la connexion d'un composant système à un environnement de production.

Endpoint Central permet de déterminer la surface d’attaque vulnérable du réseau et appliquer alors les mesures correctives requises sur les machines de l’agent. On peut planifier la mise à jour corrective selon la gravité de la vulnérabilité détectée.

Les comptes par défaut des fournisseurs sont gérés comme suit :

• Si le ou les comptes par défaut du fournisseur sont utilisés, le mot de passe par défaut est modifié conformément à l’exigence 8.3.6.
• Si le ou les comptes par défaut du fournisseur ne sont pas utilisés, le compte est supprimé ou désactivé.

Endpoint Central peut appliquer des stratégies de mots de passe strictes aux machines des utilisateurs. On peut supprimer les comptes qui ne sont pas utilisés.

Seuls les services, protocoles, démons et fonctions nécessaires sont activés et toutes les fonctionnalités inutiles sont supprimées ou désactivées.

Le module de contrôle des applications intègre des configurations de blocage basé sur des stratégies pour renforcer la sécurité en limitant les processus inutiles. Endpoint Central peut appliquer des configurations sûres : protection USB, gestion des autorisations, stratégies de sécurité et configurations de pare-feu.
Voir :
Stratégies de sécurité Sécurité des configurations de navigateur

Si des services, protocoles ou démons non sécurisés existent :
• La justification métier est documentée.
• Des fonctions de sécurité supplémentaires sont documentées et mises en œuvre pour réduire le risque d’utilisation de services, de protocoles ou de démons non sécurisés.

Endpoint Central identifie les erreurs de configuration de sécurité, englobant la présence de protocoles hérités, non sécurisés.

Les paramètres de sécurité du système sont configurés afin d’éviter toute utilisation abusive.

On peut modifier les paramètres de sécurité comme les paramètres de registre, les autorisations de compte, de fichier ou d’annuaire et les réglages des fonctions, des ports, des protocoles et des connexions à distance en appliquant les configurations requises d’Endpoint Central.

Tous les accès d’administration hors-console sont chiffrés avec une technique fiable.

Endpoint Central utilise des protocoles de chiffrement AES (Advanced Encryption Standard) 256 bits pour la résolution de problèmes à distance. On peut aussi activer le mode FIPS sur un terminal pour garantir un fonctionnement sûr.

Les données d’identification sensibles stockées électroniquement avant l'achèvement de l'autorisation sont chiffrées à l'aide d'une technique fiable.

Endpoint Central permet aux administrateurs de chiffrer les appareils Windows des utilisateurs via la gestion Bitlocker et ceux Mac via le chiffrement FileVault. Notre module MDM permet aussi de chiffrer les appareils Android et iOS.

Le numéro de compte principal (PAN) est rendu illisible partout où il est stocké avec l’une des méthodes suivantes :

• Hachage à sens unique de tout le PAN avec une technique fiable.
• Troncature (le hachage ne peut pas remplacer le segment tronqué du PAN). Si un environnement présente des versions hachées et tronquées du même PAM, ou des formats de troncature différents, d’autres mesures de sécurité sont établies pour empêcher de corréler les différentes versions afin de reconstruire le PAM d’origine.
• Jetons d’index.
• Chiffrement fiable avec processus et procédures de gestion des clés connexes.

Endpoint Central permet aux administrateurs de chiffrer les appareils Windows des utilisateurs via la gestion Bitlocker et ceux Mac via le chiffrement FileVault. Notre module MDM permet aussi de chiffrer les appareils Android et iOS.

Si le chiffrement au niveau du disque ou de la partition (plutôt que le chiffrement de la base de données au niveau des fichiers, des colonnes ou des champs) sert à rendre le PAN illisible, il n’est mis en œuvre que de la manière suivante :

• Sur des supports électroniques amovibles

OU

• Si on l’utilise sur des supports électroniques non amovibles, le PAM est également rendu illisible via un autre mécanisme qui satisfait à l’exigence 3.5.1.

Notre module MDM permet de chiffrer les appareils Android et iOS et leurs cartes SD.

Si le chiffrement au niveau du disque ou de la partition (plutôt que le chiffrement de la base de données au niveau des fichiers, des colonnes ou des champs) sert à rendre le PAN illisible, il est géré comme suit :

• L'accès logique est géré isolément et indépendamment de l'authentification du système d’exploitation native et des mécanismes de contrôle d’accès.
• Les clés de déchiffrement ne sont pas associées aux comptes d’utilisateur.
• Les facteurs d'authentification (mots de passe, phrases secrètes ou clés de chiffrement) qui permettent l'accès aux données non chiffrées sont stockés en toute sécurité.

Endpoint Central permet aux administrateurs de chiffrer les appareils Windows des utilisateurs via la gestion Bitlocker et ceux Mac via le chiffrement FileVault. Notre fonctionnalité de gestion Bitlocker plus précise aide à remplir les exigences indiquées ici.

Des procédures sont définies et mises en œuvre pour protéger les clés de chiffrement servant à protéger les données de carte stockées contre la divulgation et l’utilisation abusive,
notamment :

• L'accès aux clés est limité au plus petit nombre d’opérateurs nécessaire.
• Les clés de chiffrement des clés sont au moins aussi fiables que les clés de chiffrement des données qu'elles protègent.
• Les clés de chiffrement des clés sont stockées séparément des clés de chiffrement de données.
• Les clés sont stockées en toute sécurité dans le moins d’emplacements et de formes possibles.

La gestion Bitlocker d’Endpoint Central offre des options pour les clés de récupération.

Une ou plusieurs solutions anti-programmes malveillants sont déployées sur tous les composants système, à l'exception de ceux identifiés dans les évaluations régulières conformément à l’exigence 5.2.3 concluant que ces composants système ne courent pas un tel risque.

Endpoint Central intègre un moteur antivirus de nouvelle génération (actuellement disponible en avant-première) qui décèle de façon proactive les cybermenaces avec sa détection comportementale en temps réel assistée par IA et une technologie d’apprentissage profond.

Les solutions anti-programmes malveillants déployées :

• Détectent tous les types connus de programmes malveillants.
• Suppriment, bloquent ou confinent tous les types connus de programmes malveillants.

Endpoint Central intègre un moteur antivirus de nouvelle génération qui décèle de façon proactive les cybermenaces avec sa détection comportementale en temps réel assistée par IA et une technologie d’apprentissage profond.

Outre la détection des menaces en temps réel, Endpoint Central permet l’examen des incidents pour que l’équipe SecOps analyse la cause première et la gravité des menaces.

Si le moteur antivirus de nouvelle génération détecte un comportement suspect sur des terminaux, il peut les mettre en quarantaine puis, après un examen complet, les réintégrer en production.

Si un fichier est infecté par un rançongiciel, on peut le restaurer avec sa copie de sauvegarde la plus récente.

La ou les solutions anti-programmes malveillants sont tenues à jour via des mises à jour automatiques.

Endpoint Central est configuré pour effectuer des mises à jour automatiques.

La ou les solutions anti-programmes malveillants :

• Effectue des analyses régulières et des analyses actives ou en temps réel.

OU

• Effectue une analyse comportementale continue des systèmes ou des processus.

Notre antivirus de nouvelle génération peut effectuer une analyse en temps réel à la création d’un processus, au chargement d’une DLL, au téléchargement d’un nouveau fichier ou sa copie sur un terminal.

L’antivirus utilise un moteur comportemental qui analyse les processus d’un terminal pour déceler l’activité suspecte.

Effectue des analyses automatiques lorsque le support est inséré, connecté ou monté logiquement,

Un processus d’analyse automatique se déclenche lorsqu’un périphérique tente de se connecter à un terminal, par branchement ou Bluetooth, et contrôle l’appareil selon la stratégie créée. Cela s’ajoute à notre antivirus qui lance une analyse pour détecter la présence de programmes malveillants.

Voir :
Analyse et audit des appareils (#)

Les journaux d’audit des solutions anti-programmes malveillants sont activés et conservés conformément à l’exigence 10.5.1.
 

Selon le laps de temps (par exemple, 12 mois) que configure l’administrateur, la console conserve les incidents détectés jusqu’à l’expiration du délai. Notre solution intègre aussi des outils SIEM comme Eventlog Analyzer, Splunk, Rapid 7, etc.

Les mécanismes anti-programmes malveillants ne peuvent pas être désactivés ou modifiés par les utilisateurs, à moins que cela ne soit précisément documenté et autorisé par la direction au cas par cas pour une durée limitée.
 

Notre antivirus est infalsifiable. Les utilisateurs ne peuvent pas le désactiver. Endpoint Central offre aussi un contrôle d’accès basé sur le rôle pour que seuls les administrateurs désignés puissent accéder à sa console.

Des processus et des mécanismes automatisés sont en place pour détecter et protéger le personnel contre les attaques d’hameçonnage.
 

Endpoint Central utilise ses configurations de navigateur sécurisées, surtout des filtres d’hameçonnage, pour protéger les utilisateurs contre ces attaques.

Les vulnérabilités de sécurité sont identifiées et gérées comme suit :

• Les nouvelles vulnérabilités de sécurité sont identifiées via des sources reconnues en matière de veille sur les vulnérabilités de sécurité, notamment les alertes des équipes internationales et nationales d’intervention en cas d’urgence informatique (CERT).
• Les vulnérabilités se voient affecter un niveau de risque basé sur les bonnes pratiques du secteur et la prise en compte de l’impact potentiel.
• Les niveaux de risque déterminent, au minimum, toutes les vulnérabilités considérées comme à haut risque ou critiques pour l'environnement.
• Les vulnérabilités des logiciels sur mesure et personnalisés ou tiers (comme les systèmes d’exploitation et les bases de données) sont couvertes.

Endpoint Central identifie les vulnérabilités de sécurité du réseau, les affichant selon la priorité avec laquelle y remédier. On peut alors prendre des mesures dans la console du produit en conséquence.

Tous les composants système sont protégés contre les vulnérabilités connues en installant les correctifs/mises à jour de sécurité applicables comme suit :

• Les correctifs/mises à jour des vulnérabilités critiques (identifiées selon le processus de classement des risques énoncé à l’exigence 6.3.1) sont installés dans le mois suivant leur publication.

 

• Tous les autres correctifs/mises à jour de sécurité applicables sont installés dans un délai approprié que détermine l’évaluation par l’entité de la criticité du risque pour l’environnement, comme indiqué par le processus de classement des risques dans l’exigence 6.3.1.

Endpoint Central utilise ses fonctions d’évaluation et de correction des vulnérabilités pour veiller à protéger pleinement tous les systèmes du réseau contre les menaces graves.

Le déploiement de correctifs automatique permet d’appliquer systématiquement un ou tous les correctifs manquants sans intervention humaine.

Les privilèges minimaux requis (par exemple, utilisateur, administrateur) pour remplir une fonction.

Le principe du privilège minimum intégré au module de contrôle des applications veille à réduire un large éventail de privilèges au strict minimum suffisant pour remplir la fonction. Ce principe ne se limite pas aux utilisateurs, car il s’applique aux systèmes, applications et services.

Un ou plusieurs systèmes de contrôle d'accès sont en place qui limitent l'accès en fonction du besoin de savoir de l'utilisateur et couvrent tous les composants système.

Le module de contrôle des applications d’Endpoint Central permet aux administrateurs d’autoriser ou bloquer des applications logicielles des systèmes. Il impose des stratégies d’accès conditionnel, veillant à ce que seuls les utilisateurs autorisés puissent accéder aux systèmes vitaux et aux données sensibles.

Endpoint Central offre aussi un accès juste-à-temps pour que les administrateurs octroient des privilèges d’accès temporaires/précis à des utilisateurs.

L'accès des utilisateurs dont le contrat a été résilié est immédiatement révoqué.

Endpoint Central permet d’effectuer un nettoyage à distance pour garantir la sécurité des données d’entreprise.

Les comptes d’utilisateur inactifs depuis 90 jours sont supprimés ou désactivés.

Endpoint Central permet aux administrateurs de localiser les comptes d’utilisateur inactifs et de les supprimer.

Si une session utilisateur est inactive pendant plus de 15 minutes, l’utilisateur doit s'authentifier à nouveau pour réactiver le terminal ou la session.

Endpoint Central peut configurer, via la gestion de l'alimentation, les machines des utilisateurs pour effectuer diverses opérations comme estomper ou désactiver l’affichage, inviter l’utilisateur à taper un mot de passe au réveil de l’ordinateur, etc.

Tous les accès d’un utilisateur ou administrateur aux composants système sont authentifiés via au moins l'un des facteurs d'authentification suivants :

• Une information connue, comme un mot de passe ou une phrase secrète.

• Un objet possédé, comme un jeton d’authentification ou une carte à puce.

• Une caractéristique individuelle, comme un élément biométrique.

Endpoint Central aide à créer et configurer des mot de passe forts pour sécuriser les appareils et empêcher des intrus d’accéder aux terminaux de l’entreprise.

Les tentatives d’authentification infructueuses sont limitées par :

• Le verrouillage de l’identifiant utilisateur après 10 échecs au maximum.

• Le réglage de la durée de verrouillage à 30 minutes minimum ou jusqu’à la confirmation de l'identité de l'utilisateur.

Le module de gestion des vulnérabilités d’Endpoint Central permet d’indiquer le nombre autorisé de saisies de mot de passe avant de restreindre le compte, pour éviter un accès non autorisé. Il permet aussi d’établir des stratégies de codes secrets pour les appareils mobiles Android, Apple et Windows, veillant à ce que l’utilisateur crée des codes forts sur ses appareils.

Les utilisateurs ne sont pas autorisés à soumettre un nouveau mot de passe/phrase secrète correspondant à l’un des quatre derniers mots de passe/phrases secrètes utilisés.

Le module de gestion des appareils mobiles d’Endpoint Central peut conserver plusieurs codes secrets dans l’historique, ce qui permet d’indiquer le nombre de mots de passe antérieurs à conserver afin que les utilisateurs ne les réutilisent pas.

Si les mots de passe/phrases secrètes sont utilisés comme seul facteur d'authentification pour l'accès utilisateur (c'est-à-dire dans le cas d’une authentification à un seul facteur), alors :

• Les mots de passe/phrases secrètes sont modifiés au moins une fois tous les 90 jours,

OU

• L’état de sécurité des comptes est analysé de manière dynamique et l’accès aux ressources en temps réel est déterminé automatiquement en conséquence.

Les fonctionnalités MDM d’Endpoint Central permettent de configurer des stratégies de mots de passe qui établissent certaines caractéristiques comme la longueur du mot de passe, l’âge maximal des codes secrets, etc. On peut aussi générer un rapport personnalisé avec les détails des utilisateurs dont le mot de passe arrive à expiration.

L'accès physique aux points d'accès sans fil, aux passerelles, au matériel de mise en réseau/communication et aux lignes de télécommunication dans l’installation est limité.

Endpoint Central offre des stratégies Wi-Fi, des restrictions et une authentification par certificat (pour l’accès aux points d’accès sans fil) pour les appareils mobiles.

Tous les supports contenant des données de titulaire de carte sont physiquement sécurisés.

Lorsque des données sont identifiées et classées comme sensibles et contenant des détails PCI, Endpoint Central utilise des techniques de prévention des pertes de données pour limiter leur exposition ou fuite via un périphérique de stockage amovible, ou leur impression et copie via le Presse-papiers.

Voir :
Contrôle des appareils (#)
Menaces internes (#)

Tous les supports contenant des données de titulaire de carte sont classés en fonction de la sensibilité des données.

Endpoint Central offre des règles de données simplifiées mais efficaces pour identifier de façon fiable et précise les données d’entreprise sensibles comme les codes banque, les numéros ABA, IBAN (International Bank Account Number) et de carte bancaire.

Voir :
Recherche de données (#)
Classification des données (#)

Les analyses des vulnérabilités internes sont effectuées comme suit :

• Au moins une fois tous les trois mois.
• Les vulnérabilités à haut risque ou critiques (selon les niveaux de risque des vulnérabilités de l'entité définis à l'exigence 6.3.1) sont résolues.
• De nouvelles analyses sont effectuées pour confirmer que toutes les vulnérabilités à haut risque et critiques, comme indiqué ci-dessus, ont été résolues.
• L'outil d’analyse est tenu à jour avec les dernières informations sur les vulnérabilités.
• Les analyses sont réalisées par du personnel qualifié, le testeur ne dépendant pas de l’organisation.

Endpoint Central identifie les vulnérabilités de sécurité du réseau, les affichant selon la priorité avec laquelle y remédier. On peut alors prendre des mesures dans la console du produit en conséquence.

Des politiques d’utilisation acceptable de la technologie informatique sont documentées et mises en œuvre, notamment :

• Une approbation expresse par les parties autorisées.
• Des utilisations acceptables de la technologie.
• Une liste de produits approuvés par l'entreprise pour une utilisation par le personnel, notamment le matériel et les logiciels.

Endpoint Central aide à déployer des documents de conditions d’utilisation sur les appareils du personnel et ne démarre la gestion de l’appareil qu’à leur acceptation, obtenant effectivement un accord préalable de l’utilisateur.

On peut aussi diffuser les bonnes pratiques informatiques de l’entreprise via son catalogue de contenu.

 

Les technologies matérielles et logicielles utilisées sont examinées au moins une fois tous les 12 mois, en incluant au moins les éléments suivants :

• Une analyse démontrant que les technologies continuent de recevoir rapidement des correctifs de sécurité des fournisseurs.

• Une analyse démontrant que les technologies continuent de permettre (et n'empêchent pas) la conformité PCI DSS de l’entité.

• Une documentation de toute annonce ou tendance du secteur en matière de technologie ; par exemple, lorsqu’un fournisseur annonce des plans de fin de vie pour un outil.

• La documentation d'un plan, approuvé par la haute direction, pour remédier aux technologies obsolètes, notamment celles pour lesquelles les fournisseurs ont annoncé des plans de fin de vie

Endpoint Central analyse constamment le réseau de l’entité pour identifier les logiciels en fin de vie et peut leur appliquer des correctifs de sécurité si nécessaire.

Un inventaire des composants système entrant dans le périmètre PCI DSS, incluant une description de la fonction ou de l'utilisation, est tenu et mis à jour.

Endpoint Central tient un inventaire des actifs informatiques avec des détails associés aux éléments concernés. Outre ses techniques de prévention avancée des pertes de données, Endpoint Central protège les données sensibles contre un nombre croissant de vecteurs de menace.

Voir :
Analyse, gestion et protection des données (#)