Monext automatise ses tests PCI-DSS avec QualysGuard

Monext, acteur majeur du paiement électronique en France souhaitait renforcer la vision de son par et de ses vulnérabilités en bénéficiant d'un aperçu plus complet de son périmètres, notamment en industrialisant et en automatisant les audits de vulnérabilités.

Besoins

En tant qu'acteur majeur du paiement électronique, Monext est exposé à un tir croisé d'audits : «Nous sommes régulièrement audités par nos clients, bien sûr. Mais nous devons aussi passer des audits réglementaires commandés par le GIE Cartes Bancaires et Visa-Mastercard. Sans compter que les banques nous reportent leurs obligations PCI-DSS», explique Grégoire Maux, RSSI de Monext.Et comme l'a constaté Monext, un tel paysage réglementaire exige une approche méthodique des audits de vulnérabilités. «Nous travaillions par le passé de manière autonome, avec des scripts développés en interne et des audits commando sur certaines portions de notre parc. Mais nous pouvions améliorer notre vision du parc : certaines parties étaient bien connues et d'autres beaucoup moins. Nous avons alors souhaité pouvoir travailler de manière plus transverse et surtout de manière industrielle», poursuit le RSSI. «Il fallait que la solution retenue soit certifiée «Approved Scanning Vendor PCI-DSS», qu'elle soit en outre présente dans le Magic Quadrant du Gartner, mais aussi référencée chez d'autres grandes banques. Et enfin, que son moteur de rapports puisse s'adapter souplement à plusieurs populations, techniques et managers notamment», se souvient Grégoire Maux. La société consacre alors six mois à observer le marché et après un écrémage drastique Qualys est sélectionné avec sa solution QualysGuard.Un déploiement basé avant tout sur PCI-DSSLa mise en œuvre de la solution QualysGuard se calque alors sur l'effort PCI-DSS de la société. «Nous suivons le plan de déploiement PCI-DSS et profitons de ces interventions pour y déployer le scanner. Nous mettons l'outil en oeuvre comme un point PCI-DSS parmi d'autres», explique Grégoire Maux. L'approche a le mérite d'être pragmatique : le réseau de Monext est très segmenté, ce qui permet de réduire les portions qui doivent être conformes PCI-DSS et par tant, de réduire également les déploiements du scanner.Dans une telle configuration, QualysGuard est donc étroitement lié aux obligations PCI-DSS de Monext, et ce n'est pas un hasard : «PCI-DSS est vital pour notre activité. Nous nous devons d'être en conformité avec les standards du marché» assène Grégoire Maux.Le scanner, tant dans son exploitation que dans ses rapports, se plie donc avant tout aux exigences de la conformité. «PCI-DSS nous oblige à un scan par trimestre sur l'ensemble du périmètre concerné. Nous avons voulu automatiser ce contrôle au maximum. Nous utilisons le modèle de rapport PCI-DSS par défaut fournit par l'application afin d'avoir une réponse PCI Pass / PCI Fail.», détaille le RSSI.Rapports PCI-DSS et bonnes pratiquesChaque trimestre, les rapports PCI Pass sont présentés aux auditeurs. Le traitement des rapports PCI Fail donne de son côté lieu à une ventilation particulière des vulnérabilités. Monext répartit les failles remontées par le scanner en deux familles (mauvaise configuration et absence de correctif) et trois catégories : systèmes d'exploitation, bases de données (essentiellement Oracle, avec un peu de Sybase et du MySQL) et exploitation (Apache / Tomcat pour l'essentiel). Cela permet de répartir les actions de correction aux équipes directement concernées. Dans son processus correctif, Monext capitalise également sur les solutions fournies par les rapports de vulnérabilités Qualys. QualysGuard permet d'alimenter - avec d'autres sources - la base de connaissances et les «best practices» sécurité de Monext, et permet par ailleurs d'en contrôler la bonne application lors du déploiement de nouveaux serveurs. Un effet de bord original noté par Monext durant les audits de vulnérabilités est la capacité à stresser les applications. A terme, Monext envisage de surveiller d'autres équipements de réseau et sécurité (reverse proxy, répartition de charge, application delivery, etc) et de pouvoir contrôler leurs analyses directement depuis l'interface d'administration de l'outil d'analyse.