Episode 41 : ce qui se cache derriere la sécurité de ta carte bancaire avec Leonel Gandji (Expert PCI-DSS) | Compliance Without coma

Description

Êtes-vous prêt à plonger dans l'univers de la conformité et de la sécurité des données ? Dans cet épisode spécial de "Compliance Without Coma", nous avons le plaisir d'accueillir Léonel Gandji, consultant international et expert en conformité, qui nous éclaire sur les normes PCI DSS et leur impact crucial sur la sécurité des données bancaires. Imaginez un parcours atypique : de développeur au Bénin à consultant en cybersécurité en France, Léonel partage avec nous son expérience unique et ses perspectives sur un domaine en constante évolution.

Au fil de la discussion, nous explorons ensemble la pression inhérente aux normes de conformité, notamment les défis que pose l'audit PCI DSS. Saviez-vous que ces normes ne sont pas seulement des obligations, mais aussi des outils essentiels pour lutter contre la fraude bancaire ? Léonel nous explique comment le PCI DSS fonctionne, sa gratuité (vous pouvez la télécharger plus bas) et son rôle fondamental dans la protection des données sensibles.

Les exigences rigoureuses de cette norme sont souvent mal comprises, et c'est pourquoi Léonel prend le temps de détailler le parcours nécessaire pour devenir auditeur PCI QSA. Cette conversation ne se limite pas à des concepts techniques ; elle met aussi en lumière l'importance de la vigilance et de la compétence technique dans le domaine de la cybersécurité. À travers des anecdotes et des expériences vécues, nos échanges soulignent les défis humains et techniques que nous devons surmonter pour garantir la sécurité des données.

Rejoignez-nous pour une réflexion sur la conformité sans coma, où chaque mot compte et où chaque expérience enrichit notre compréhension collective. Cet épisode est une invitation à réfléchir sur l'importance de la conformité dans notre monde numérique, tout en gardant à l'esprit que derrière chaque norme, il y a des humains qui travaillent sans relâche pour protéger nos informations. Ne manquez pas cette opportunité d'apprendre et de vous inspirer grâce à l'expertise de Léonel Gandji!

Écoutez "Compliance Without Coma" et découvrez comment naviguer dans le monde complexe de la conformité et de la sécurité des données avec confiance et compétence.

Télécharges la version gratuite du standard PCI-DSS :

https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0_1.pdf

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, Threads, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui, c'est un épisode un peu spécial. D'abord parce que mon invité et moi, on se connaît depuis un moment. On a bossé ensemble, échangé des dizaines d'heures, partagé des réflexions, notamment celle qui est plus facile d'être ISO 27001 Lead Auditor que CISA. On a refait le monde sur des standards, des audits, bref. Mais aujourd'hui, on se rencontre enfin en vrai. Mon invité s'appelle Léonel Gandji. Léonel, c'est un profil qu'on ne croise pas tous les jours. Consultant international, formateur, auditeur, expert GRC, auditeur PCI, intervenant sur PASSI. PDIS en France et comme si ça ne suffisait pas, il fait un MBA et un PhD en parallèle. Il est originaire du Bénin, vit aujourd'hui à Créteil dans le 9-4, voyage entre pays, normes, culture et cadres réglementaires. Et je profite en fait de son passage à Bruxelles pour aussi venir en studio. Ainsi, c'est une première pour nous deux. Dans cet épisode, on va parler de PCI DSS, mais on va aussi parler de parcours, de choix, de pression, de discipline et de ce que ça coûte humainement de vouloir faire les choses sérieusement. Alors, installe-toi confortablement. On entre dans le dur sans coma. Bonjour Léonel.
Speaker #1
Bonjour Fabrice.
Speaker #0
Ça fait un petit temps qu'on se connaît, mais ça me fait super plaisir d'avoir pu réussir à te choper pendant que tu étais à Bruxelles. Qu'est-ce qui a fait que tu es venu à Bruxelles ?
Speaker #1
J'ai une mission qui est demain, semaine prochaine.
Speaker #0
Ah ! Ce n'est pas faux ce que je disais, le fait que tu sois consultant international ?
Speaker #1
Non, c'est vrai.
Speaker #0
Et c'est une mission qui se fait dans quoi ?
Speaker #1
Pour une assurance.
Speaker #0
Ok. Audit ?
Speaker #1
Oui, audit.
Speaker #0
Moi, ça me fait très plaisir que tu sois là. Aujourd'hui, si tu le permets, on va parler de deux grosses thématiques. On va parler de tout ce qui est PCI DSS et principalement aussi du PASSI en France. Parce que tu viens du Bénin, mais... tu habites Créteil, donc tu es dans le 9-4, la banlieue. Mais d'abord, j'aimerais bien voir avec toi, qu'est-ce qui a fait que tu es passé dans la cyber comme ça ?
Speaker #1
Déjà, merci pour l'invitation, merci beaucoup. Ça fait un bout de temps qu'on se connaît, donc c'est aussi un plaisir pour moi de te voir à Bruxelles en physique. Oui, je me suis retrouvé un peu dans la cyber par hasard, si tu veux. Au début, je travaillais en tant que développeur. Ça faisait deux ans que je développais dans une entreprise au Bénin. Et un jour, pour signer un contrat... On a le client qui nous exige de montrer un niveau de maturité suffisant avant de signer un co-contrat. Et cela a été un déclic. Je me suis dit, tiens, donc pour moi, la cyber n'était plus juste une histoire de hacking, de Kevin Mitnick, tout ça. C'était vraiment une condition pour le business. Et du coup, je me suis dit, tiens, c'est ce que j'ai envie de faire. C'est comme ça que je me suis retrouvé dans la cyber.
Speaker #0
Et ton premier PC, c'était quoi ?
Speaker #1
C'était un Windows 95. Tu sais, oui, c'était les tours Windows 95 et j'avais l'habitude de voir mon cousin qui développait un peu avec des notepad++. Ça affichait différentes couleurs à l'époque. Ça m'a passionné, c'est pour ça que je suis devenu développeur. Avant cet épisode où le client a demandé un niveau de maturité. Donc, ce qu'on va appeler aujourd'hui un TPM, peut-être pas Third Party Risk Management, qui m'a conduit à dire, tiens, je vais faire du cyber. Du coup, je retourne pour faire un master parce que j'avais une licence en développement.
Speaker #0
Alors, la licence au Bénin, je suppose que c'est comme la France, c'est l'équivalent Bac plus 3 ou Bac plus 2 ?
Speaker #1
C'est ça, Bac plus 3.
Speaker #0
Ok. Parce que nous, en Belgique, la licence, anciennement, c'était Bac plus 4. Et comme on a aussi des auditeurs en Belgique, en francophonie et surtout en France, c'est pour juste mettre d'équerre. Donc après, tu as continué, tu as fait un master.
Speaker #1
Oui. Alors, j'ai fait une licence et après la licence, je me suis lancé dans la vie active et je suis devenu développeur. et du coup je faisais ça pendant deux ans pour moi c'était développer, c'était bon Mais quand j'ai eu le déclic pour pouvoir faire du cyber, je suis reparti faire un master. Et c'est après ce master que je me suis lancé pleinement dans la cyber.
Speaker #0
Et qu'est-ce qui a fait que tu es venu en Europe ?
Speaker #1
Alors ça, c'est une question très intéressante. Déjà, grâce à Covid.
Speaker #0
Grâce ou à cause de Covid ?
Speaker #1
C'était pendant le Covid, je ne sais pas. J'avais un ami qui travaillait en France et qui était bloqué parce que sa femme était cas contact. Et du coup, il avait une mission sur Abidjan, mais il ne pouvait pas se déplacer. Et il m'a dit, tiens, je devais venir à Abidjan, mais je suis bloqué. Qu'est-ce que je fais ? J'ai dit, bon, Abidjan, Cotonou, c'est à côté. Et j'ai été, c'était une sensibilisation, ça s'est très bien passé. Et après, j'ai dit, si tu as d'autres missions, je suis intéressé, mais je pensais à l'Afrique. Il m'a dit, bon, des missions, je n'en ai pas sur l'Afrique, mais est-ce que la France ca te tente ? Je me suis dit, bon, pourquoi pas ? C'est comme ça que j'ai eu un passeport. Je suis venu en France.
Speaker #0
Ok, là maintenant, ça fait combien d'années que tu es en France ?
Speaker #1
Ça fait trois ans.
Speaker #0
3 ans. C'est quoi le... Premier choc culturel que tu as eu sur la France ?
Speaker #1
C'est une très bonne question parce que j'en ai eu plusieurs.
Speaker #0
Ça, j'imagine. J'ai une partie africaine, comme tu le sais.
Speaker #1
Comme je te disais tout à l'heure, tu sais, quand on vient d'Afrique souvent, on se dit « Allez ici, on va venir se frotter des gens qui ont fait forcément de grandes écoles et tout. » Mais quand on arrive et qu'on rentre dans les entreprises françaises, on se rend compte que tiens, on n'est pas si mal formé que ça en Afrique. C'est vrai. et donc je pense que ma... Mon premier choc, c'était de remarquer qu'en réalité, on nous a vendu un peu, on nous a sous-vendu, je vais dire. On nous vend un peu l'expertise occidentale, si tu veux, comme étant trop en avance par rapport à la formation que nous avons eue. Mais en réalité, nous sommes peut-être aussi compétitifs sur le marché européen ou français dès qu'on arrive. Donc ça, pour moi, c'était important. Après, il y a la cuisine, mais ça, c'est une autre débat.
Speaker #0
On a de pires en cuisine.
Speaker #1
C'est ça. C'est aller au restaurant et ne pas comprendre le menu. Ça, c'était aussi un vrai choc. Quand tu arrives au restaurant et que tu lis le menu, tu ne comprends rien. C'est complètement différent de ce qu'on a toujours mangé. Et ça, par contre, pas si bien, mais ça, c'est aussi une culture.
Speaker #0
Après, tu as différentes cultures aussi au sein de l'Europe. Il y a toujours des... Des zones de repli, tiens, si ça ne va pas, je vais manger une pizza.
Speaker #1
C'est tard, c'est tard. Mais si tu veux comprendre le menu, la gastronomie française, oui. Ah oui,
Speaker #0
la gastronomie française, oui. Oui, ça peut être compliqué. Ok, écoute, du coup, on va rentrer dans le vif du sujet, parce que tu es aussi consultant PCI DSS. Donc, c'est quoi PCI DSS pour nos auditeurs ? Pour ceux qui doivent découvrir ce que c'est aujourd'hui.
Speaker #1
Le PCI, je ne suis plus, mais je suis PCIP, donc ça veut dire que j'ai toujours un professionnel qui peut faire de l'audit, qui fait de l'accompagnement d'un organisme dessus. Le PCI-DSS, c'est la norme qui permet de protéger, on va dire, de lutter contre les fraudes bancaires. Donc, protection des données bancaires, ce qui concerne les cartes bancaires pour éviter la fraude massive. En gros, pour faire plus simple, si tu as une carte bancaire, j'ai vu qu'on l'avait là. Tout le monde détient aujourd'hui une carte bancaire. Tout le monde a une carte bancaire aujourd'hui. C'est la confiance, c'est ce qui permet de créer la confiance. Pourquoi tu peux dire, je mets mon salaire dessus, je perds l'effet. C'est le référentiel qui te permet de protéger, de mettre en place les exigences nécessaires pour garantir que tes données de carte bancaire ne soient pas usurpées ou détournées.
Speaker #0
OK, donc PCI DSS, c'est un des standards qui s'appelle Payment de carte industrie. C'est ça. Data security standard. Si on doit faire le lien avec ISO 27001, moi j'ai connu le PCI DSS, je ne connais plus la version d'époque, mais qui venait comme un sous-ensemble de l'ISO 27001 et on pouvait étendre un ISO 27001 vers du PCI DSS. Est-ce qu'aujourd'hui on fait encore ça ?
Speaker #1
Non, c'est vrai qu'à l'époque oui, c'est parti sur la base, donc toutes les normes, généralement plus la base d'un ISO 27001 qui est un très bon préférentiel, qui est une très bonne norme. Par contre ? aujourd'hui, c'est beaucoup plus exigeant. C'est vraiment axé sur la partie opérationnelle. PCI DSS, tu dois démontrer une conformité opérationnelle. Tu dois montrer un niveau de maturité. Tu ne peux pas dire que c'est un coup. C'est factuel, PCI DSS.
Speaker #0
Il y a beaucoup d'auditeurs qui nous écoutent qui sont aussi en Afrique, mais aussi en alternance en France, donc des jeunes. En tout cas, bien plus jeunes que nous deux. Est-ce que... Pourquoi je parle de ça ? Parce que si je parle le coût des standards ISO... C'est plus ou moins 200 euros par standard, par langue. T'imagines, si tu prends le 27001 en français, 200 euros. J'arrondis. Le 27200 euros. Donc du coup, ce sont des standards qui ne sont pas abordables pour les étudiants ou pour les jeunes qui voudraient déjà se former. Est-ce que le PCI DSS est gratuit, déjà, le standard ?
Speaker #1
Alors, c'est complètement gratuit.
Speaker #0
Super.
Speaker #1
Chez le site PCIstandard.org. Donc vraiment, c'est gratuit et c'est fait à dessein. Parce que, par exemple, tu as bien envie de savoir... Comment est-ce que tu es donné des cadres pour être protégé ou quelles sont les mesures en place ? Donc l'idée, c'est de rendre le standard disponible pour tout le monde, pas seulement pour les banques, même si généralement ce sont les institutions bancaires qui ont l'obligation de l'appliquer. Mais tu peux, n'importe qui peut aller sur Conetti, créer un compte et télécharger le standard. C'est complètement gratuit.
Speaker #0
Ok, donc on leur mettra le lien. On leur mettra le lien dans les commentaires. Mais du coup, tu disais, tu as été, tu n'es plus, mais tu as été PCI QSA. C'est quoi le parcours pour devenir auditeur PCI QSA ? Alors,
Speaker #1
c'est très important. C'est une très bonne question parce que justement, pourquoi je le supplie ? Parce que quand tu quittes une entreprise QSA, tu n'es plus QSA. Du coup, pour devenir QSA, il faut d'abord... être dans une entreprise qui, elle, est QSA. Donc, QSA Company. Il faut d'abord que ce soit une entreprise qui soit QSA. Ensuite, tu as l'individu. Il doit démontrer une compétence technique, puisque QSA, encore une fois, ce n'est pas juste de la conformité, c'est vraiment la partie technique, la vérification des preuves. Tu vas vérifier comment le firewall est configuré. On ne fait pas ça souvent si on fait un audit ISO, on n'a pas assez de temps. Donc, c'est de démontrer vraiment. Un exemple pratique, c'est si on te dit la norme interdit l'utilisation de ports non sécurisés. Donc, tu vas demander la configuration du firewall et regarder, lui parler, est-ce que les gars, ils ont laissé un port non sécurisé, tu vois. Oui, ça,
Speaker #0
on ne fait pas ça en ISO 27000. Non,
Speaker #1
et là, tu parles jusque là. Du coup, pour devenir QSA, pour répondre à ta question, il faut d'abord avoir une compagnie. qu'il soit un entreprise soit que ça. Ensuite, toi, en tant que personne, tu dois avoir une certaine expérience. Il faut être l'ISO-LI et LA ou CISM et CISA.
Speaker #0
Oui.
Speaker #1
Donc, chaque fois, c'est un duo de dites et de compétences et minimum cinq ans d'expérience.
Speaker #0
Oui.
Speaker #1
Donc, normalement, si tu as un CISA, tu as certifié que tu as cinq ans. Si tu as un ISO-LI, tu as cinq ans. Donc, voilà, il faut démontrer ces expériences-là et certifier avant d'aller maintenant passer les amens. QSA fait la formation officielle chez PCI, organisée que par PCI.
Speaker #0
Bien sûr.
Speaker #1
Attention. Le lobby. Voilà, c'est PCI qui te valide pour faire de toi un QSA. Et l'autre aspect qui est très important dans le parcours de QSA, c'est le fait qu'il y a une grosse assurance et la responsabilité de l'auditeur qui est engagé. Une grosse assurance qui va jusqu'à 2 millions d'euros.
Speaker #0
Oui, parce que derrière, on parle de fraude. D'un côté de fraude, mais surtout de confiance numérique.
Speaker #1
C'est ça.
Speaker #0
Tu sais, ça me fait songer où j'ai connu quelqu'un sur Paris qui a eu un souci parce qu'il s'est fait certifier lead auditor par un bureau de certification qui n'était pas accrédité. Et lui, il ne savait pas ça à l'époque. Et donc, il a payé cher et vilain sa formation. Lui, il était compétent. Il connaissait. tout à fait compétent, mais au moment de passer son examen ou de solliciter pour devenir QSA, etc., on lui a dit « Ah oui, mais tel bureau de certification n'est pas accrédité » , et il ne connaissait pas la différence entre un bureau accrédité et pas accrédité. Et c'était un bureau de certification français, je tirerai le nom, qui à l'époque n'avait pas l'accréditation, et qui vendait ça, lead implementer, lead auditor, comme tu veux, quoi. Tout comme moi, je pourrais te créer un examen Qu'est-ce qui ferait que tu serais moins compétent ou plus compétent ? Rien, parce que c'est uniquement l'accréditation qui vient, mais après il y a un parcours dessus. C'est pour ça que je voulais insister avec toi là-dessus, pour bien expliquer aux jeunes que s'ils veulent devenir auditeurs PCI DSS, le chemin est quand même long, il faut l'enseigner, il faut investir, mais c'est tout à fait réalisable.
Speaker #1
Il faut la compétence. Vraiment, il faut une bonne dose de compétence technique. Parce que ce n'est pas juste un audit de plus, ce n'est pas juste de la conformité. Je prends la liste et pour donner un exemple simple, le rapport QSA, ça fait environ 300 pages à vide. Et donc, tu as un rapport qui est le ROC, par exemple, pour un organisme. Déjà, on t'impose le format du rapport. Donc, je ne pense pas que ce... Si l'ISO n'impose pas un rapport, tu n'as pas un tram de rapport avec l'entête.
Speaker #0
Non, l'ISO n'a pas de tram de rapport. Par contre, tu dois respecter... Si je parle du 27001, tu vas respecter la 1911. Et après, c'est le bureau de certification qui va respecter la 17021-1. Mais le comment ?
Speaker #1
Voilà. Alors que là-bas, tu as une pam, donc tu as un template qui fait 300 pages à vide. D'accord ? Si tu prends le rank et tu dois, et chaque preuve qui doit être collectée, on te met la liste des preuves à collecter. Donc, tu n'improvises rien. Et tu dois justifier chaque ligne et ensuite... Pour revenir à l'analyse que tu as citée tout à l'heure, pour une entreprise, par exemple, qui veut être QSA, déjà, un, elle doit aller sur le site de QSA pour vérifier le nom. Tu tapes le nom de l'entreprise qui veut se certifier parce que chaque année, elle doit maintenir. Si elle n'a plus de QSA, elle n'est plus habilité à donner une certification. Donc, vérifier si son nom est sur le site de PCI, vérifier le nom de ton auditeur. Parce que l'auditeur qu'on envoie chez toi, il faut que tu vérifies à l'amant quand même s'il est certifié, il est accrété. Donc, tu dois vérifier ces noms-là. Et si la personne, par exemple, te dit, là je te dis, je suis plus curieux, ça, mais je suis PCIP. Mais si tu vas là-bas, tu ne vas pas trouver mon nom parce que c'est chaque année qu'il faut le renouveler.
Speaker #0
Ça coûte combien le renouvellement ? Un ordre de grandeur, est-ce que tu l'as payé ? Comme tous les audits, ou toutes les certifications de personnes, ou accréditations. Tu as parlé d'ISACA tout à l'heure avec 6M, 6A. Ça, ce sont des AMF, des annuels maintenance fee qu'il faut payer.
Speaker #1
C'est ça.
Speaker #0
Pour maintenir ta certif PCI, c'est combien par an, plus ou moins ?
Speaker #1
Alors, je sais que le premier examen, encore une fois, c'est PCI qui te forme, c'est 4000 dollars. Oui, oui, oui, 4000 dollars. Et je vais aller me convaincre, c'est que si tu rates, alors je sais plus combien, parce que généralement, c'est même pas le candidat qui le prend en charge, c'est l'entreprise. Donc c'est l'entreprise qui le prend en charge. Mais ce que je peux te dire, c'est que si tu rates le continuell improvement où tu dois faire la formation, si tu le rates, tu repars pour les 4000 dollars. Et il n'y a pas de peace of mind. Si tu fais la formation, c'est deux jours. C'est deux jours en présentiel pour dévalidifier ça. Si tu rates cette formation, Si pour exemple, tu m'envoies une formation TQSA, tu m'envoies une formation, je viens, je la rate, qu'est-ce qui se passe ensuite ? Tu repais les 4000 dollars et je repars pour un tour.
Speaker #0
Et donc, tu dois repartir pour la formation plus l'examen ? Oui,
Speaker #1
je dois repartir pour la formation. Il n'y a pas de frais de formation, pas d'examen, pas. Tu repars pour les 4000 dollars.
Speaker #0
C'est un bel business model. Ils contrôlent tout. Tu vois, en Afrique, on parle de corruption, nous on parle de lobby.
Speaker #1
Oui, c'est ça. Là, c'est un business model. La promenade est différente.
Speaker #0
Après, PCI et DSS donnent quand même la confiance.
Speaker #1
Vraiment, on va dire que c'est un gage de confiance. Parce qu'ils s'investissent énormément et ils sont dans le détail. Et si tu certifies, il y a beaucoup... poser la question par rapport aux jeunes. Contrairement à un audit SI que je peux faire, ou un audit suivi en CISO que je peux faire, ou un audit CISO que je peux faire, si je fais un audit QSA, ça engage la responsabilité de l'entreprise et la responsabilité de l'auditeur. La marge d'erreur, c'est très très faible. Et c'est très très agissant. Comme je te dis, tu ne peux pas juste te contenter de déclarations pour dire que vous êtes complais. Non. Tu dois vérifier jusqu'au bout est-ce que les données de la carte sont protégées de bout en bout. Et comme je te parlais des protocoles non sécurisés. Il faut que tu vérifies, tu dois vérifier tes configs, être engagé et du coup il faut que tu...
Speaker #0
Et une anecdote pour un truc qui s'est bien passé ou mal passé, sans dévoiler le client, parce que t'es sur NDA aussi, et puis c'est pas le but, on est pas là pour... Bien sûr. Mais un truc style what the fuck, tu t'attendais pas à ça au niveau audit de cette société-là, et t'as découvert vraiment des failles, mais tu te dis mais c'est pas possible.
Speaker #1
Alors moi, je pense que c'est beaucoup plus la compréhension déjà de la norme qui pose problème. Parfois, parce que ça évolue aussi. Autre chose, c'est quand tu prends la norme, le standard PCI DSS, c'est beaucoup de pages. Et donc, il faut être patient, il faut le lire et avec beaucoup de petites lignes. Et du coup, parfois, on découvre une entreprise. persuadé qu'elle avait compléhens, ils ont externalisé le service et quand le disque est tombé en panne comme c'est en panne un des gars pouvait aller chercher le disque et le ramener au bureau ce qui était normal si tu veux, si on peut dire ça comme ça sauf que le problème c'est que ce disque appartenant au périmètre moi je vois la fuite de veneur directe c'est ça, on dit que le disque est tombé en panne, ça fonctionne pas, on peut dire que c'est craché mais derrière On ne peut pas le chercher comme ça.
Speaker #0
Ça me fait penser à un truc, ce que tu dis. Parce que quand je bossais pour un de mes anciens employeurs, j'ai bossé chez Sun Microsystems aussi. Et Sun Microsystems, avant qu'il se fasse racheter par Oracle, mais ça remonte à 25 ans maintenant, Sun avait un cycle de vie de disques durs qu'ils appelaient ça refurbished, donc des deuxièmes mains.
Speaker #1
C'est bien ça.
Speaker #0
Et donc, moi j'avais mon ex-employeur, j'étais administrateur système à ce moment-là. Et on recommandait des disques refurbish, c'est-à-dire qu'ils sont retournés au centre chez Son à l'usine. Ils ont réparé tout ce qui était à erreur et ils l'ont remis sur un réseau de deuxième main. J'ai fait un strings et je suis tombé sur la comptabilité d'une boîte.
Speaker #1
Oui, c'est ça. Exactement. Et des hommes comme ça, j'en ai un autre. Là, c'était le disque qui pouvait revenir au bureau. Et du coup, dans ce cas-là, il pouvait être complet. Parce que, comme je te disais au départ...
Speaker #0
Ils ont eu un écart, alors.
Speaker #1
Alors, justement, c'était... ISO 27001, tu peux avoir non-conformité mineure, non-conformité majeure, recommandation. Il n'y a pas ça au PCI DSS. Le PCI DSS, c'est compliance ou non-compliance. Il n'y a pas un milieu.
Speaker #0
Mais, c'est-à-dire, tu as, j'invente, tu as une centaine de contrôles et c'est non-compliance.
Speaker #1
C'est non-compliance. C'est nous ? Oui, il n'y a pas un milieu. Du coup, donc on arrive sur ce sujet et j'explique au gars. Je dis comment ça se fait, ça tombe en panne. Il me dit oui, le gars me dit oui, c'est moi qui vais chercher. Je lui dis génial. Et comment tu le fais pour le ramener au bureau ? Il me dit, je me donne la voiture, je reviens. J'ai dit à la direction, on a un problème. Parce que j'ai le droit de faire ça quand même. Ils ont fait un PCDS. Je dis, on a un problème. Ce n'est pas compliance. Du coup, avant que je finisse l'audit, ils ont rappelé le fournisseur, ils ont fait un avenant au contrat pour dire, il n'y a rien qui sort. Sans que c'est détruit. Donc, on ne peut plus sortir. Il a fallu que je voie cet avenant, il faut que je voie ce contrat. avant de dire, ok, on est bon. Mais si je n'étais pas à tête là, je m'étais fait à ma mission. Si à la fin de ma mission, je disais, on a remarqué ça, ils étaient non compléments, c'était tout.
Speaker #0
Oui, à cause d'un détail.
Speaker #1
C'est ça. C'est une liste qui est en panne, et qu'on peut ramener au bureau en voiture.
Speaker #0
Ça, c'est un cycle de vie du système d'information globalement. Bon, moi, je vais reparler d'ISO, mais qui a été mal pensé, ou parce que ce n'est pas tombé en panne directement. où les auditeurs précédents n'ont pas vu, et auditeurs internes n'ont pas vu, et auditeurs de certification précédents n'ont pas vu non plus.
Speaker #1
Exactement. Alors tu as raison parce que c'est ça qu'on m'a dit. On m'a dit mais attendez, c'est votre cabinet qui nous a redité l'année dernière.
Speaker #0
On a les rêves humains.
Speaker #1
Donc voilà, c'est des choses qu'on peut avoir. Et d'un côté à l'autre, le regard peut être différent. Et c'est justement ça le piège. C'est-à-dire qu'un jour tu auras quelqu'un qui va être un peu plus regardant, il va te dire non, ça ne va pas. C'est pareil qu'une autre que je peux te donner où on a dit même si tu es pour des accès admin, même si tu es en VPN, déjà il faut le VPN, c'est obligatoire pour les admin, mais il faut double tente.
Speaker #0
Il faut ?
Speaker #1
Double tente, exactement.
Speaker #0
Oui. Donc MFA. Oui, MFA, oui.
Speaker #1
Et du coup, on m'a dit oui, donc je fais avec un poste de rebond. Donc je suis chez moi, je suis chez un PC admin, je fais un rebond à l'intérieur. Donc je viens dans la boîte. Et ensuite, de là-bas, je vais sur le poste, sur le serveur admis. Donc, je ne tombe pas directement. Génial. Sauf qu'on te dit qu'il te faut MFA. Et le gars me dit, oui, mais de chez moi, au bureau, j'ai un VPN avec login mot de passe. Et de mon bureau, sur le serveur, donc environ 4 bancaires, j'ai également un login mot de passe. J'ai dit, et ? Il dit, oui, donc ça va. Je dis, non. Tu peux mettre 50 login mot de passe. Ça n'aurait pas de problème. Ça reste autant de portes d'épargne faibles. Il faut que ton mec, à la maison, il faut qu'il puisse avoir un YubiKey, quelque chose, une pote, un Google Authenticator, Microsoft. Mais tu vois, ça, ça fonctionnait comme ça. Et ça ne dérangeait personne. À l'époque. À l'époque.
Speaker #0
Maintenant, le MFA, il est quand même démocratisé partout. C'est dans les mœurs.
Speaker #1
Mais non, c'est obligatoire. Donc, ça n'est pas des choses qu'on peut aussi mal comprendre. Se dire, mais tiens, déjà, on fait l'effort, on fait un rebond, etc. On a un logique mot de passe. Mais non, il te faut MFA. Donc le gars, il doit avoir MFA, même si tu mets 50 fois. Le guillemot dépasse, on arrive à toujours moins.
Speaker #0
Ça reste authentification faible. One factor authentication.
Speaker #1
C'est ça.
Speaker #0
Comment ça se déroule un audit PCI dans la vraie vie ?
Speaker #1
Alors, le nez de la guerre, c'est toujours là où se trouvent les données. Les données du cadre bancaire. Donc, il faut délimiter le périmètre. Et comme je disais, j'ai déjà vu des gens qui disent « Je peux te donner la cartographie de mon périmètre où j'ai les données du cadre, mais le reste, je ne sais pas. » Donc, tu commences toujours d'abord par le périmètre qui est délimité. Et donc, le scoping, la bonne nouvelle, c'est qu'ils ont même mis en place des outils pour t'aider à faire du scoping. Donc, ils ont documenté comment on peut délimiter, identifier où se trouve la donnée, qu'est-ce qui est inclus et qu'est-ce qui n'est pas inclus. Donc, bien délimiter le périmètre. Et ensuite, on va faire un peu comme du lézou cette fois-ci. On va regarder les procédures, les politiques, les procédures. Mais on va regarder les configs. et les exigences une à une. Donc, toutes les exigences de l'ISO, on va les regarder, pardon, du PCI, on doit les regarder une à une et vérifier. Et contrairement un peu à l'ISO, là, on est vraiment des exigences techniques où on va les regarder de façon pratique. Comment ça se passe ?
Speaker #0
Est-ce que maintenant, avec tout ce qui est crypto-monnaie, tokenisation, monnaie décentralisée, etc., tu penses que ça devient une menace pour PCI DSS ou pas ?
Speaker #1
Non. Honnêtement, je ne pense pas. Je pense que PCI aussi évolue et ils vont s'adapter, donc ça ne remplace pas. Parce que comme je l'ai dit, PCI, c'est l'assurance. C'est aussi un peu dire, si j'ai un mot pour dire, c'est la ceinture de sécurité.
Speaker #0
Ceinture bretelle, comme dit notre ami François. Je ne sais pas si vous connaissez cette expression-là,
Speaker #1
mais en fait,
Speaker #0
ils mettent ceinture et alors ils rajoutent les bretelles au cas où la ceinture lâche. C'était ça. C'était très français.
Speaker #1
Mais tu vois, donc on m'a dit que vraiment, c'est la ceinture. Pourquoi ? Parce que c'est... C'est notre gage commun, tu vois, contre la fraude. Donc, même si demain, il y a de la tokenisation, il y a de l'IA et tout, le standard évolue et s'adapte. Là, on est à la version 4.01, mais elle évolue et elle s'adapte. Technologie émergente, si on peut appeler ça comme ça. Mais oui, il disparaîtra pas.
Speaker #0
On peut dire, on l'a fait ce matin, au début d'après, on a été prendre un café tous les deux et on a réfléchi au moment où... Ou tu vas payer avec ta carte, du coup tu as quand même cette confiance-là en PCI DSS, malgré qu'il peut y avoir de la fraude, mais on sait quand même que le risque de fraude est minimisé. Oui. Tu continues à payer avec ta carte.
Speaker #1
C'est ça, je continue à utiliser la carte et le risque zéro n'existe pas. Par contre, aujourd'hui, tout le monde, chacun et chaque fois, déjà doit être vigilant. Mais le risque, réellement, ce n'est pas que tu paies de la fraude, ce n'est pas l'argent qui reste à la carte. C'est l'utilisation qu'on peut faire des données qui sont collectées. C'est pour ça que PCI met tout en œuvre pour protéger au maximum. Les données, par exemple, te disent de ne pas scanner, de ne pas conserver, par exemple, le code derrière le CVV. Depuis la version 4, ils ont introduit, par exemple, que si avant, par exemple, s'il y avait une page web, et je fais du Paypal, je ne fais rien. Je mets une intégration Paypal, je fais une rédigation. Au début, sur la version 3, il n'y a pas de problème. Aujourd'hui, depuis la version 4, cette page-là, PCI-E dit, s'il y a des scripts Java, par exemple, Java Script, il faut les analyser. Je ne sais pas de la page qui fait... que de la redirection. À la base, cette page, ça ne sert à rien. Tu fais une page web, tu mets ton code, tu fais, tu mets ton mainframe, enfin, ton code au milieu et tu affiches les onglets. Mais ce n'est pas toi qui ébèges le stripe ou bien, ce n'est pas toi qui ébèges... Non, non, non. Mais PCI demande que cette page-là soit contrôlée pour voir si dans chaque ligne de la publicité, j'avais ce que tu appelles pour afficher cette page, est-ce que c'est clean ou pas. Donc oui, j'ai confiance au système. à l'écosystème qui est mis en place parce que ça permet de lutter vraiment contre la faute. Mais chacun doit rester vigilant et signaler automatiquement dès que sa carte a été utilisée ou qu'il a perdu sa carte.
Speaker #0
Après, je pense que le plus gros risque au niveau PCI DSS, mais le plus gros risque au niveau de l'utilisation de la carte bancaire, c'est la personne qui l'utilise, qui va donner son code, je ne sais pas comment on va les appeler en France, on a peut-être un vocabulaire différent en Belgique, mais qui va Merci. qui va communiquer son compte M1 ou M2 à des hackers, à des social engineers. Et alors là, c'est eux qui communiquent.
Speaker #1
C'est ça. Malheureusement, ça arrive très souvent. Parce que la dernière fois, il y avait même un banquier qui s'est fait avoir parce que les gars, l'un dit, découpe ta carte et mets ça dans un truc qu'on vient chercher.
Speaker #0
Il a découpé la carte. Le gars l'a dit, non, non, non, on va vous changer la carte, etc. Il a découpé la carte, il l'a envoyée. Et les gars, ils ont collé les morceaux et ils ont pris 8000 euros.
Speaker #1
La carte, j'ai un shredder et je tape dans le shredder. C'est ça qu'il faut faire. À la maison.
Speaker #0
Et aujourd'hui, il y a beaucoup de banques, peut-être les banques en ligne, qui proposent des solutions où tu as des cartes en one-time payment. Donc, tu génères une carte à la seconde. Ça ne coûte rien, c'est gratuit. Tu fais un paiement. C'est un peu de tout. il vaut mieux utiliser 64 ou d'autres, où tu peux générer des cartes virtuelles à la demande, en illimité. Ça te permet aussi de...
Speaker #1
Ou tu prends des prepaid. Et à ce moment-là, dans le pire des cas, tu as perdu 500 euros, mais ils ne savent pas dépasser. Exactement. Pour les enfants, c'est très bien parce que du coup, ils ont tous les games en ligne. Et tu peux leur charger 30 euros sur la prepaid. Dans le pire des cas, tu perds 30 euros.
Speaker #0
Et aujourd'hui aussi, tu sais que tu peux limiter le plafond. Donc pas à tout. donc il y a beaucoup de mécanismes en place quand même et comme tu le dis vraiment le moyen le plus faible c'est l'homme c'est si au delà de tout ça quelqu'un n'arrive pas à te convaincre de sauter ton plafond de donner ton code de donner le numéro de la carte ni PCI DSS, ni PCI Conseil ni ta banque,
Speaker #1
personne ne pourra rien faire non là on peut rien faire là on quitte le monde technique et on va dans le social engineering et donc là on va sur le tous les biais qu'on a sur l'être humain.
Speaker #0
Malheureusement, tu vois, en entreprise, nous on s'en soucie des collaborateurs, on va revenir dessus peut-être plus tard, sur les risques cyber, etc. Mais la banque ne s'en soucie pas les gens sur les cotes. En tout cas, pour moi, pas assez. Combien de fois ta banque t'a-t-elle appelé pour te dire « Tiens, tu sais, on envoie des messages, parce que personne ne lit ? »
Speaker #1
Il ne m'appelle pas, mais je le vois bien. Je ne vais pas citer mes banques, mais je le vois. Je suis sensible à l'Aucilite aussi, pour Open Source Intelligence. Mais je trouve que ce qu'ils font est bien, mais je n'ai pas ta vision. Donc c'est ça que j'aimerais bien avoir ton point de vue après. C'est bien, mais je pense que les gens ne lisent plus. C'est-à-dire que quand je vais sur le site web de ma banque, ils mettent toujours une bannière, attention. En plus, on est pour l'instant période de Noël, fin d'année. C'est sûr que l'escamme, ça va augmenter. Mais je trouve qu'ils le font bien, mais je n'ai pas le recul parce que je suis un professionnel de la cyber. Et moi, je dis, OK, ça va. Mais pour M. Mme Tout-le-Monde ou pour le petit retraité, à mon avis le message ne passe pas.
Speaker #0
Moi je pense que le message n'est pas adapté. Moi je pense que le message c'est, on va revenir dessus, on a une démarche de compliance. Donc il faut que j'envoie des mails. Ils l'ont lu, ils l'ont pas lu. Je sais pas si il y a des cafés dessus. Combien on l'a ouvert, combien on l'a pas ouvert.
Speaker #1
Ils sont conformes.
Speaker #0
Nous on sensibilise, on envoie des mails chaque fois, on met des bannières sur cette internet. Ok, après si tu lis pas c'est ton problème. mais si on faisait ça en entreprise, je pense que tout le monde se ferait hacker. Est-ce qu'on s'arrêterait là ? Est-ce que nous, on s'arrêterait là, en termes de sensibilisation interne ? De dire, j'ai envoyé un mail, j'ai... Ah non,
Speaker #1
moi, je ne vais pas m'arrêter là, parce que je vais m'assurer que, est-ce qu'ils ont bien reçu le mail, est-ce qu'ils l'ont bien compris ?
Speaker #0
Exactement. Tu mettrais des KPI dessus, ce qui n'est pas le cas des banques.
Speaker #1
Je ne mettrais pas un KPI sur le mail, mais je mettrais un KPI complémentaire ailleurs. Oui, ce que je veux dire, c'est... Ou ils ne me verraient pas arriver.
Speaker #0
En tout cas, tu me demandes qu'à pied, sur la réception du message, est-ce que les gens l'ont reçu ? Pas en termes de mails ou de SMS, mais en termes de culture, est-ce que ça a évolué ? Je ne sais pas si la banque peut aller là, c'est intéressant. Peut-être qu'ils ont des contraintes qu'ils ne peuvent pas faire.
Speaker #1
Au niveau page web, je pense que ça va être compliqué de prouver que telle personne, ou alors c'est au moment où la personne s'est connectée dans son portail, que là on peut dire, ok, il a bien été faire un acknowledge, par exemple, mais les gens vont faire un acknowledge. de 10 000 lignes qu'ils ne vont pas lire, et là, on retombe sur le même problème. La banque va dire, ok, c'est compliant, je connais très peu de monde qui lise un contrat lorsqu'ils téléchargent une application mobile. Ils font yes, yes, yes, tu mets en plein milieu, ça je l'avais fait chez un ancien employeur, j'avais mis en plein milieu du contrat une phrase qui ne ressemblait à rien, et tout le monde avait fait yes. Là, je pense qu'ils vont être bloqués, et dès qu'ils sont sur la partie browser non connectée, la banque ne saura rien prouver. ou alors c'est peut-être poussé plus loin. Donc peut-être une nouvelle version de PCI DSS avec la sensibilisation.
Speaker #0
Malheureusement, le PCI ne se concentre pas sur l'utilisateur, mais ça se concentre sur les données de l'utilisateur. Oui,
Speaker #1
sur ces données.
Speaker #0
Du coup, comment ces données sont collectées, stockées et traitées ? Tu vas être à côté de la banque ou des institutions qui collectent les données. Fais attention.
Speaker #1
Ça me rappelle un truc. J'ai travaillé pour un client qui n'était pas du tout PCI DSS. Mon client n'était pas PCI DSS et il faisait une commande de billets de quelque chose à l'international. Donc c'était des billets de voyage, des billets de transport. Ceux-là étaient PCI DSS parce qu'eux prenaient les cartes de crédit. Et moi, quand je suis arrivé dans la mission là, je devais mettre en conformité, enfin je devais séparer deux systèmes IT. Je me suis rendu compte que sur mon laptop, il y avait un drive qui était partagé, qui était caché, mais bon, des dollars, je me suis dit tiens, qu'est-ce qu'il y a là-dessus ? Et que j'avais accès, en fait, c'était mon répertoire privé, donc je pouvais mettre ce que je voulais, je me suis dit ok, c'est génial. Et après, avec NetBios, je ne suis pas expert Windows pourtant, avec NetBios, je suis tombé sur d'autres choses et j'ai vu les laptops de tout le monde, tout leur des dollars. Et là-dessus, on est tombé sur un extrait, un fichier Excel, avec toutes les données cartes bancaires à l'époque. Donc là, moi, je me suis remonté au ciseau et je l'avais dit, c'était avant le RGPD. J'ai dit, écoute, ça, c'est pas dans mon scope. Pour moi, c'est un incident. Tu te rends compte qu'on a les fichiers nom, prénom, date, on avait tout sur la carte bancaire et le CVV derrière. J'ai ce fichier-là, mais vous ne vous rendez pas compte. Moi, je l'ai pris. J'ai fait le bon samaritain. Je suis consultant. Je ne suis pas éthical hacker, mais je suis membres ISAKA et ISSQR aussi. Donc, j'ai aussi l'obligation de déclarer tout ça. Je dis, vous ne vous rendez pas compte de l'argent que ça vaut, ce fichier-là. Je revends ça sur le Dark Web. J'avais toutes mes 500 cartes Visa, Visa Amex. Et c'était là, certainement, depuis des années. Et du coup,
Speaker #0
c'est ça qui est bizarre. parce que normalement, au collège d'un éducateur, ben... Si ils connaissent le cadre, ils sont soumis à PCI DSS. Et du coup, j'imagine qu'ils n'étaient même pas dans le cadre de ça.
Speaker #1
Le client, à l'origine, enfin, mon client n'était pas soumis à PCI DSS. Une grosse filiale de mon client l'était.
Speaker #0
D'accord.
Speaker #1
Donc, eux, ils devaient, je ne sais pas comment ils ont eu les données. Et ce fichier Excel-là s'est retrouvé en intragroupe.
Speaker #0
Oh là là.
Speaker #1
Et moi, je suis tombé dessus. Je tombe toujours dessus. Et donc, c'est ce que je dis aussi à mes clients quand je fais de l'audit. Quand on les accompagne, méfiez-vous parce que moi j'ai souvent tendance à tomber sur les trucs qui ne vont pas. Et les auditeurs avec qui je bosse, pareil. Et donc ne vous fiez pas justement à être conformes. Oui mais on est conformes. Non, pensez plus loin, pensez par vous-même. Comment est-ce qu'on peut améliorer le truc parce que ça peut se produire. Et là en fait c'était une erreur humaine. Il y a déjà quelqu'un qui a fait un export d'un CSV. Est-ce qu'il a pris conscience d'eux ? Et le CSV s'est retrouvé en plus back-upé en clair. Ce n'est pas possible.
Speaker #0
Mais c'est ça, malheureusement, très souvent, les gens sont concentrés sur l'apathie. Je vais être complice, mais on ne sait pas où passent les données.
Speaker #1
Donc le risque aujourd'hui pour le B2C, c'est-à-dire pour le consommateur, c'est plutôt social engineering.
Speaker #0
Oui, c'est beaucoup plus ça. C'est assez rigide comme environnement, le PCI, donc normalement. Et autre chose, autre contrainte que je n'ai pas citée depuis, c'est chaque année qu'il faut renouveler. Tu vois, ISO 27001, on est certifié une fois pour trois ans. et chaque année tu fais un test de suivi et tu contrôles plus tout. PCI DSS, chaque année, tu revois tout.
Speaker #1
En foule.
Speaker #0
En foule. Et c'est autant valable pour l'organisme, donc pour l'entité, que pour l'auditeur. Moi, chaque année, je dois refaire le test.
Speaker #1
D'exemple ?
Speaker #0
Je ne dis pas... Ce n'est plus forcément la même tenacité, mais tu vois, je dois suivre des vidéos et passer encore au point de crise. Si je ne le fais pas, je perds mon certificat.
Speaker #1
Oui, mais là, on est aussi dans le monde technique et donc la technique évolue rapidement. Donc,
Speaker #0
tu dois te maintenir là où dans le GRC,
Speaker #1
un ISO, on est tranquille trois ans, façon de parler.
Speaker #0
Exactement. Et si la banque est non-compliance, comme je te disais, donc au lieu d'être, il n'y a pas de niveau moyen, c'est compliance, non-compliance. Si il est non-compliance, ce qui est passé, c'est que généralement, il risque de perdre le droit de collecter des cadres bancaires. ce qui n'est pas sûr imagine que ta banque demain on lui dit il passe son certification ça arrive très rarement parce qu'il prend le soin d'avoir des états internes de vérifier en amont pour que ça n'arrive pas parce que si ça arrivait l'impact business serait très élevé oui et aussi comme je disais ça engage la responsabilité de l'auditeur du cabinet donc si nous on fait du copinage et qu'on dit tiens tes complains c'est que demain le mec il se prend un ransomware et que on se rend compte qu'on n'a pas été rigolo dans le truc. Le cabinet, donc le company, le Cresta Company, peut se voir retiré aussi.
Speaker #1
Son agrément, son accréditation, etc. Donc ça ne rigole pas. Avant de conclure, Lionel, vraiment, merci pour ton temps, merci pour la clarté, merci pour le partage d'expérience, et surtout pour ce regard très concret sur PCI DSS, loin des slides et des slogans, je te laisse le mot de la fin. Un message, un conseil, ou simplement ce que tu aimerais que les auditeurs retiennent de cet échange ?
Speaker #0
Déjà, merci beaucoup Fabrice pour l'invitation. Pour moi, c'est une première dans un studio pour un podcast. Donc, merci beaucoup. On est aussi à Bruxelles. Avant l'émission, on a été visiter la grande place. J'ai profité du recommandé du tourisme, c'est génial. Donc, merci beaucoup. Merci pour l'invitation encore une fois. Oui, c'est une chose que je veux que les gens retiennent vraiment. Cette émission, c'est de savoir que, bon, pour le public, le premier public, c'est pour les entreprises qui sont concernées par tout ce qui va être demain, NIS 2, ou si vous voulez faire du PCI demain, c'est de miser sur les compétences, de vérifier, d'être vigilant, vérifier les certifications, vérifier sur les sources publiques, les organismes où que les personnes ont les compétences. Pour les jeunes, comme tu m'as demandé... S'assurer d'avoir de l'expérience. Et l'expérience ne remplace pas le certificat.
Speaker #1
Ok, merci Lionel, sincèrement. Et toi, Coma Breaker, si tu as découvert PCI DSS, j'espère qu'on a au moins réussi à titiller ta curiosité. On te mettra les liens et ressources utiles en commentaire pour que tu puisses aussi creuser par toi-même. Si cet épisode t'a apporté quelque chose, n'hésite pas à le partager, à commenter ou à laisser une note. Si possible, 5 étoiles. Ça va m'aider beaucoup dans l'algorithme. Et c'est ce qui permet aussi au podcast de continuer à vivre. Alors, je ne suis qu'au début de la liste des guests. On se retrouve vendredi déjà pour un nouvel épisode de Complaints Without Comma. D'ici là, restez curieux, restez lucides et surtout restez éveillés.

Chapters

Introduction et présentation de Léonel Gandji
0sec
Parcours de Léonel dans la cybersécurité
1min
La norme PCI DSS et son importance
2min
Exigences et fonctionnement du PCI DSS
6min
Devenir auditeur PCI QSA et les défis associés
9min
Audit PCI dans la pratique et anecdotes
23min
Conclusion et conseils pour les auditeurs
37min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Écoutez "Compliance Without Coma" et découvrez comment naviguer dans le monde complexe de la conformité et de la sécurité des données avec confiance et compétence.

Télécharges la version gratuite du standard PCI-DSS :

https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0_1.pdf

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, Threads, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui, c'est un épisode un peu spécial. D'abord parce que mon invité et moi, on se connaît depuis un moment. On a bossé ensemble, échangé des dizaines d'heures, partagé des réflexions, notamment celle qui est plus facile d'être ISO 27001 Lead Auditor que CISA. On a refait le monde sur des standards, des audits, bref. Mais aujourd'hui, on se rencontre enfin en vrai. Mon invité s'appelle Léonel Gandji. Léonel, c'est un profil qu'on ne croise pas tous les jours. Consultant international, formateur, auditeur, expert GRC, auditeur PCI, intervenant sur PASSI. PDIS en France et comme si ça ne suffisait pas, il fait un MBA et un PhD en parallèle. Il est originaire du Bénin, vit aujourd'hui à Créteil dans le 9-4, voyage entre pays, normes, culture et cadres réglementaires. Et je profite en fait de son passage à Bruxelles pour aussi venir en studio. Ainsi, c'est une première pour nous deux. Dans cet épisode, on va parler de PCI DSS, mais on va aussi parler de parcours, de choix, de pression, de discipline et de ce que ça coûte humainement de vouloir faire les choses sérieusement. Alors, installe-toi confortablement. On entre dans le dur sans coma. Bonjour Léonel.
Speaker #1
Bonjour Fabrice.
Speaker #0
Ça fait un petit temps qu'on se connaît, mais ça me fait super plaisir d'avoir pu réussir à te choper pendant que tu étais à Bruxelles. Qu'est-ce qui a fait que tu es venu à Bruxelles ?
Speaker #1
J'ai une mission qui est demain, semaine prochaine.
Speaker #0
Ah ! Ce n'est pas faux ce que je disais, le fait que tu sois consultant international ?
Speaker #1
Non, c'est vrai.
Speaker #0
Et c'est une mission qui se fait dans quoi ?
Speaker #1
Pour une assurance.
Speaker #0
Ok. Audit ?
Speaker #1
Oui, audit.
Speaker #0
Moi, ça me fait très plaisir que tu sois là. Aujourd'hui, si tu le permets, on va parler de deux grosses thématiques. On va parler de tout ce qui est PCI DSS et principalement aussi du PASSI en France. Parce que tu viens du Bénin, mais... tu habites Créteil, donc tu es dans le 9-4, la banlieue. Mais d'abord, j'aimerais bien voir avec toi, qu'est-ce qui a fait que tu es passé dans la cyber comme ça ?
Speaker #1
Déjà, merci pour l'invitation, merci beaucoup. Ça fait un bout de temps qu'on se connaît, donc c'est aussi un plaisir pour moi de te voir à Bruxelles en physique. Oui, je me suis retrouvé un peu dans la cyber par hasard, si tu veux. Au début, je travaillais en tant que développeur. Ça faisait deux ans que je développais dans une entreprise au Bénin. Et un jour, pour signer un contrat... On a le client qui nous exige de montrer un niveau de maturité suffisant avant de signer un co-contrat. Et cela a été un déclic. Je me suis dit, tiens, donc pour moi, la cyber n'était plus juste une histoire de hacking, de Kevin Mitnick, tout ça. C'était vraiment une condition pour le business. Et du coup, je me suis dit, tiens, c'est ce que j'ai envie de faire. C'est comme ça que je me suis retrouvé dans la cyber.
Speaker #0
Et ton premier PC, c'était quoi ?
Speaker #1
C'était un Windows 95. Tu sais, oui, c'était les tours Windows 95 et j'avais l'habitude de voir mon cousin qui développait un peu avec des notepad++. Ça affichait différentes couleurs à l'époque. Ça m'a passionné, c'est pour ça que je suis devenu développeur. Avant cet épisode où le client a demandé un niveau de maturité. Donc, ce qu'on va appeler aujourd'hui un TPM, peut-être pas Third Party Risk Management, qui m'a conduit à dire, tiens, je vais faire du cyber. Du coup, je retourne pour faire un master parce que j'avais une licence en développement.
Speaker #0
Alors, la licence au Bénin, je suppose que c'est comme la France, c'est l'équivalent Bac plus 3 ou Bac plus 2 ?
Speaker #1
C'est ça, Bac plus 3.
Speaker #0
Ok. Parce que nous, en Belgique, la licence, anciennement, c'était Bac plus 4. Et comme on a aussi des auditeurs en Belgique, en francophonie et surtout en France, c'est pour juste mettre d'équerre. Donc après, tu as continué, tu as fait un master.
Speaker #1
Oui. Alors, j'ai fait une licence et après la licence, je me suis lancé dans la vie active et je suis devenu développeur. et du coup je faisais ça pendant deux ans pour moi c'était développer, c'était bon Mais quand j'ai eu le déclic pour pouvoir faire du cyber, je suis reparti faire un master. Et c'est après ce master que je me suis lancé pleinement dans la cyber.
Speaker #0
Et qu'est-ce qui a fait que tu es venu en Europe ?
Speaker #1
Alors ça, c'est une question très intéressante. Déjà, grâce à Covid.
Speaker #0
Grâce ou à cause de Covid ?
Speaker #1
C'était pendant le Covid, je ne sais pas. J'avais un ami qui travaillait en France et qui était bloqué parce que sa femme était cas contact. Et du coup, il avait une mission sur Abidjan, mais il ne pouvait pas se déplacer. Et il m'a dit, tiens, je devais venir à Abidjan, mais je suis bloqué. Qu'est-ce que je fais ? J'ai dit, bon, Abidjan, Cotonou, c'est à côté. Et j'ai été, c'était une sensibilisation, ça s'est très bien passé. Et après, j'ai dit, si tu as d'autres missions, je suis intéressé, mais je pensais à l'Afrique. Il m'a dit, bon, des missions, je n'en ai pas sur l'Afrique, mais est-ce que la France ca te tente ? Je me suis dit, bon, pourquoi pas ? C'est comme ça que j'ai eu un passeport. Je suis venu en France.
Speaker #0
Ok, là maintenant, ça fait combien d'années que tu es en France ?
Speaker #1
Ça fait trois ans.
Speaker #0
3 ans. C'est quoi le... Premier choc culturel que tu as eu sur la France ?
Speaker #1
C'est une très bonne question parce que j'en ai eu plusieurs.
Speaker #0
Ça, j'imagine. J'ai une partie africaine, comme tu le sais.
Speaker #1
Comme je te disais tout à l'heure, tu sais, quand on vient d'Afrique souvent, on se dit « Allez ici, on va venir se frotter des gens qui ont fait forcément de grandes écoles et tout. » Mais quand on arrive et qu'on rentre dans les entreprises françaises, on se rend compte que tiens, on n'est pas si mal formé que ça en Afrique. C'est vrai. et donc je pense que ma... Mon premier choc, c'était de remarquer qu'en réalité, on nous a vendu un peu, on nous a sous-vendu, je vais dire. On nous vend un peu l'expertise occidentale, si tu veux, comme étant trop en avance par rapport à la formation que nous avons eue. Mais en réalité, nous sommes peut-être aussi compétitifs sur le marché européen ou français dès qu'on arrive. Donc ça, pour moi, c'était important. Après, il y a la cuisine, mais ça, c'est une autre débat.
Speaker #0
On a de pires en cuisine.
Speaker #1
C'est ça. C'est aller au restaurant et ne pas comprendre le menu. Ça, c'était aussi un vrai choc. Quand tu arrives au restaurant et que tu lis le menu, tu ne comprends rien. C'est complètement différent de ce qu'on a toujours mangé. Et ça, par contre, pas si bien, mais ça, c'est aussi une culture.
Speaker #0
Après, tu as différentes cultures aussi au sein de l'Europe. Il y a toujours des... Des zones de repli, tiens, si ça ne va pas, je vais manger une pizza.
Speaker #1
C'est tard, c'est tard. Mais si tu veux comprendre le menu, la gastronomie française, oui. Ah oui,
Speaker #0
la gastronomie française, oui. Oui, ça peut être compliqué. Ok, écoute, du coup, on va rentrer dans le vif du sujet, parce que tu es aussi consultant PCI DSS. Donc, c'est quoi PCI DSS pour nos auditeurs ? Pour ceux qui doivent découvrir ce que c'est aujourd'hui.
Speaker #1
Le PCI, je ne suis plus, mais je suis PCIP, donc ça veut dire que j'ai toujours un professionnel qui peut faire de l'audit, qui fait de l'accompagnement d'un organisme dessus. Le PCI-DSS, c'est la norme qui permet de protéger, on va dire, de lutter contre les fraudes bancaires. Donc, protection des données bancaires, ce qui concerne les cartes bancaires pour éviter la fraude massive. En gros, pour faire plus simple, si tu as une carte bancaire, j'ai vu qu'on l'avait là. Tout le monde détient aujourd'hui une carte bancaire. Tout le monde a une carte bancaire aujourd'hui. C'est la confiance, c'est ce qui permet de créer la confiance. Pourquoi tu peux dire, je mets mon salaire dessus, je perds l'effet. C'est le référentiel qui te permet de protéger, de mettre en place les exigences nécessaires pour garantir que tes données de carte bancaire ne soient pas usurpées ou détournées.
Speaker #0
OK, donc PCI DSS, c'est un des standards qui s'appelle Payment de carte industrie. C'est ça. Data security standard. Si on doit faire le lien avec ISO 27001, moi j'ai connu le PCI DSS, je ne connais plus la version d'époque, mais qui venait comme un sous-ensemble de l'ISO 27001 et on pouvait étendre un ISO 27001 vers du PCI DSS. Est-ce qu'aujourd'hui on fait encore ça ?
Speaker #1
Non, c'est vrai qu'à l'époque oui, c'est parti sur la base, donc toutes les normes, généralement plus la base d'un ISO 27001 qui est un très bon préférentiel, qui est une très bonne norme. Par contre ? aujourd'hui, c'est beaucoup plus exigeant. C'est vraiment axé sur la partie opérationnelle. PCI DSS, tu dois démontrer une conformité opérationnelle. Tu dois montrer un niveau de maturité. Tu ne peux pas dire que c'est un coup. C'est factuel, PCI DSS.
Speaker #0
Il y a beaucoup d'auditeurs qui nous écoutent qui sont aussi en Afrique, mais aussi en alternance en France, donc des jeunes. En tout cas, bien plus jeunes que nous deux. Est-ce que... Pourquoi je parle de ça ? Parce que si je parle le coût des standards ISO... C'est plus ou moins 200 euros par standard, par langue. T'imagines, si tu prends le 27001 en français, 200 euros. J'arrondis. Le 27200 euros. Donc du coup, ce sont des standards qui ne sont pas abordables pour les étudiants ou pour les jeunes qui voudraient déjà se former. Est-ce que le PCI DSS est gratuit, déjà, le standard ?
Speaker #1
Alors, c'est complètement gratuit.
Speaker #0
Super.
Speaker #1
Chez le site PCIstandard.org. Donc vraiment, c'est gratuit et c'est fait à dessein. Parce que, par exemple, tu as bien envie de savoir... Comment est-ce que tu es donné des cadres pour être protégé ou quelles sont les mesures en place ? Donc l'idée, c'est de rendre le standard disponible pour tout le monde, pas seulement pour les banques, même si généralement ce sont les institutions bancaires qui ont l'obligation de l'appliquer. Mais tu peux, n'importe qui peut aller sur Conetti, créer un compte et télécharger le standard. C'est complètement gratuit.
Speaker #0
Ok, donc on leur mettra le lien. On leur mettra le lien dans les commentaires. Mais du coup, tu disais, tu as été, tu n'es plus, mais tu as été PCI QSA. C'est quoi le parcours pour devenir auditeur PCI QSA ? Alors,
Speaker #1
c'est très important. C'est une très bonne question parce que justement, pourquoi je le supplie ? Parce que quand tu quittes une entreprise QSA, tu n'es plus QSA. Du coup, pour devenir QSA, il faut d'abord... être dans une entreprise qui, elle, est QSA. Donc, QSA Company. Il faut d'abord que ce soit une entreprise qui soit QSA. Ensuite, tu as l'individu. Il doit démontrer une compétence technique, puisque QSA, encore une fois, ce n'est pas juste de la conformité, c'est vraiment la partie technique, la vérification des preuves. Tu vas vérifier comment le firewall est configuré. On ne fait pas ça souvent si on fait un audit ISO, on n'a pas assez de temps. Donc, c'est de démontrer vraiment. Un exemple pratique, c'est si on te dit la norme interdit l'utilisation de ports non sécurisés. Donc, tu vas demander la configuration du firewall et regarder, lui parler, est-ce que les gars, ils ont laissé un port non sécurisé, tu vois. Oui, ça,
Speaker #0
on ne fait pas ça en ISO 27000. Non,
Speaker #1
et là, tu parles jusque là. Du coup, pour devenir QSA, pour répondre à ta question, il faut d'abord avoir une compagnie. qu'il soit un entreprise soit que ça. Ensuite, toi, en tant que personne, tu dois avoir une certaine expérience. Il faut être l'ISO-LI et LA ou CISM et CISA.
Speaker #0
Oui.
Speaker #1
Donc, chaque fois, c'est un duo de dites et de compétences et minimum cinq ans d'expérience.
Speaker #0
Oui.
Speaker #1
Donc, normalement, si tu as un CISA, tu as certifié que tu as cinq ans. Si tu as un ISO-LI, tu as cinq ans. Donc, voilà, il faut démontrer ces expériences-là et certifier avant d'aller maintenant passer les amens. QSA fait la formation officielle chez PCI, organisée que par PCI.
Speaker #0
Bien sûr.
Speaker #1
Attention. Le lobby. Voilà, c'est PCI qui te valide pour faire de toi un QSA. Et l'autre aspect qui est très important dans le parcours de QSA, c'est le fait qu'il y a une grosse assurance et la responsabilité de l'auditeur qui est engagé. Une grosse assurance qui va jusqu'à 2 millions d'euros.
Speaker #0
Oui, parce que derrière, on parle de fraude. D'un côté de fraude, mais surtout de confiance numérique.
Speaker #1
C'est ça.
Speaker #0
Tu sais, ça me fait songer où j'ai connu quelqu'un sur Paris qui a eu un souci parce qu'il s'est fait certifier lead auditor par un bureau de certification qui n'était pas accrédité. Et lui, il ne savait pas ça à l'époque. Et donc, il a payé cher et vilain sa formation. Lui, il était compétent. Il connaissait. tout à fait compétent, mais au moment de passer son examen ou de solliciter pour devenir QSA, etc., on lui a dit « Ah oui, mais tel bureau de certification n'est pas accrédité » , et il ne connaissait pas la différence entre un bureau accrédité et pas accrédité. Et c'était un bureau de certification français, je tirerai le nom, qui à l'époque n'avait pas l'accréditation, et qui vendait ça, lead implementer, lead auditor, comme tu veux, quoi. Tout comme moi, je pourrais te créer un examen Qu'est-ce qui ferait que tu serais moins compétent ou plus compétent ? Rien, parce que c'est uniquement l'accréditation qui vient, mais après il y a un parcours dessus. C'est pour ça que je voulais insister avec toi là-dessus, pour bien expliquer aux jeunes que s'ils veulent devenir auditeurs PCI DSS, le chemin est quand même long, il faut l'enseigner, il faut investir, mais c'est tout à fait réalisable.
Speaker #1
Il faut la compétence. Vraiment, il faut une bonne dose de compétence technique. Parce que ce n'est pas juste un audit de plus, ce n'est pas juste de la conformité. Je prends la liste et pour donner un exemple simple, le rapport QSA, ça fait environ 300 pages à vide. Et donc, tu as un rapport qui est le ROC, par exemple, pour un organisme. Déjà, on t'impose le format du rapport. Donc, je ne pense pas que ce... Si l'ISO n'impose pas un rapport, tu n'as pas un tram de rapport avec l'entête.
Speaker #0
Non, l'ISO n'a pas de tram de rapport. Par contre, tu dois respecter... Si je parle du 27001, tu vas respecter la 1911. Et après, c'est le bureau de certification qui va respecter la 17021-1. Mais le comment ?
Speaker #1
Voilà. Alors que là-bas, tu as une pam, donc tu as un template qui fait 300 pages à vide. D'accord ? Si tu prends le rank et tu dois, et chaque preuve qui doit être collectée, on te met la liste des preuves à collecter. Donc, tu n'improvises rien. Et tu dois justifier chaque ligne et ensuite... Pour revenir à l'analyse que tu as citée tout à l'heure, pour une entreprise, par exemple, qui veut être QSA, déjà, un, elle doit aller sur le site de QSA pour vérifier le nom. Tu tapes le nom de l'entreprise qui veut se certifier parce que chaque année, elle doit maintenir. Si elle n'a plus de QSA, elle n'est plus habilité à donner une certification. Donc, vérifier si son nom est sur le site de PCI, vérifier le nom de ton auditeur. Parce que l'auditeur qu'on envoie chez toi, il faut que tu vérifies à l'amant quand même s'il est certifié, il est accrété. Donc, tu dois vérifier ces noms-là. Et si la personne, par exemple, te dit, là je te dis, je suis plus curieux, ça, mais je suis PCIP. Mais si tu vas là-bas, tu ne vas pas trouver mon nom parce que c'est chaque année qu'il faut le renouveler.
Speaker #0
Ça coûte combien le renouvellement ? Un ordre de grandeur, est-ce que tu l'as payé ? Comme tous les audits, ou toutes les certifications de personnes, ou accréditations. Tu as parlé d'ISACA tout à l'heure avec 6M, 6A. Ça, ce sont des AMF, des annuels maintenance fee qu'il faut payer.
Speaker #1
C'est ça.
Speaker #0
Pour maintenir ta certif PCI, c'est combien par an, plus ou moins ?
Speaker #1
Alors, je sais que le premier examen, encore une fois, c'est PCI qui te forme, c'est 4000 dollars. Oui, oui, oui, 4000 dollars. Et je vais aller me convaincre, c'est que si tu rates, alors je sais plus combien, parce que généralement, c'est même pas le candidat qui le prend en charge, c'est l'entreprise. Donc c'est l'entreprise qui le prend en charge. Mais ce que je peux te dire, c'est que si tu rates le continuell improvement où tu dois faire la formation, si tu le rates, tu repars pour les 4000 dollars. Et il n'y a pas de peace of mind. Si tu fais la formation, c'est deux jours. C'est deux jours en présentiel pour dévalidifier ça. Si tu rates cette formation, Si pour exemple, tu m'envoies une formation TQSA, tu m'envoies une formation, je viens, je la rate, qu'est-ce qui se passe ensuite ? Tu repais les 4000 dollars et je repars pour un tour.
Speaker #0
Et donc, tu dois repartir pour la formation plus l'examen ? Oui,
Speaker #1
je dois repartir pour la formation. Il n'y a pas de frais de formation, pas d'examen, pas. Tu repars pour les 4000 dollars.
Speaker #0
C'est un bel business model. Ils contrôlent tout. Tu vois, en Afrique, on parle de corruption, nous on parle de lobby.
Speaker #1
Oui, c'est ça. Là, c'est un business model. La promenade est différente.
Speaker #0
Après, PCI et DSS donnent quand même la confiance.
Speaker #1
Vraiment, on va dire que c'est un gage de confiance. Parce qu'ils s'investissent énormément et ils sont dans le détail. Et si tu certifies, il y a beaucoup... poser la question par rapport aux jeunes. Contrairement à un audit SI que je peux faire, ou un audit suivi en CISO que je peux faire, ou un audit CISO que je peux faire, si je fais un audit QSA, ça engage la responsabilité de l'entreprise et la responsabilité de l'auditeur. La marge d'erreur, c'est très très faible. Et c'est très très agissant. Comme je te dis, tu ne peux pas juste te contenter de déclarations pour dire que vous êtes complais. Non. Tu dois vérifier jusqu'au bout est-ce que les données de la carte sont protégées de bout en bout. Et comme je te parlais des protocoles non sécurisés. Il faut que tu vérifies, tu dois vérifier tes configs, être engagé et du coup il faut que tu...
Speaker #0
Et une anecdote pour un truc qui s'est bien passé ou mal passé, sans dévoiler le client, parce que t'es sur NDA aussi, et puis c'est pas le but, on est pas là pour... Bien sûr. Mais un truc style what the fuck, tu t'attendais pas à ça au niveau audit de cette société-là, et t'as découvert vraiment des failles, mais tu te dis mais c'est pas possible.
Speaker #1
Alors moi, je pense que c'est beaucoup plus la compréhension déjà de la norme qui pose problème. Parfois, parce que ça évolue aussi. Autre chose, c'est quand tu prends la norme, le standard PCI DSS, c'est beaucoup de pages. Et donc, il faut être patient, il faut le lire et avec beaucoup de petites lignes. Et du coup, parfois, on découvre une entreprise. persuadé qu'elle avait compléhens, ils ont externalisé le service et quand le disque est tombé en panne comme c'est en panne un des gars pouvait aller chercher le disque et le ramener au bureau ce qui était normal si tu veux, si on peut dire ça comme ça sauf que le problème c'est que ce disque appartenant au périmètre moi je vois la fuite de veneur directe c'est ça, on dit que le disque est tombé en panne, ça fonctionne pas, on peut dire que c'est craché mais derrière On ne peut pas le chercher comme ça.
Speaker #0
Ça me fait penser à un truc, ce que tu dis. Parce que quand je bossais pour un de mes anciens employeurs, j'ai bossé chez Sun Microsystems aussi. Et Sun Microsystems, avant qu'il se fasse racheter par Oracle, mais ça remonte à 25 ans maintenant, Sun avait un cycle de vie de disques durs qu'ils appelaient ça refurbished, donc des deuxièmes mains.
Speaker #1
C'est bien ça.
Speaker #0
Et donc, moi j'avais mon ex-employeur, j'étais administrateur système à ce moment-là. Et on recommandait des disques refurbish, c'est-à-dire qu'ils sont retournés au centre chez Son à l'usine. Ils ont réparé tout ce qui était à erreur et ils l'ont remis sur un réseau de deuxième main. J'ai fait un strings et je suis tombé sur la comptabilité d'une boîte.
Speaker #1
Oui, c'est ça. Exactement. Et des hommes comme ça, j'en ai un autre. Là, c'était le disque qui pouvait revenir au bureau. Et du coup, dans ce cas-là, il pouvait être complet. Parce que, comme je te disais au départ...
Speaker #0
Ils ont eu un écart, alors.
Speaker #1
Alors, justement, c'était... ISO 27001, tu peux avoir non-conformité mineure, non-conformité majeure, recommandation. Il n'y a pas ça au PCI DSS. Le PCI DSS, c'est compliance ou non-compliance. Il n'y a pas un milieu.
Speaker #0
Mais, c'est-à-dire, tu as, j'invente, tu as une centaine de contrôles et c'est non-compliance.
Speaker #1
C'est non-compliance. C'est nous ? Oui, il n'y a pas un milieu. Du coup, donc on arrive sur ce sujet et j'explique au gars. Je dis comment ça se fait, ça tombe en panne. Il me dit oui, le gars me dit oui, c'est moi qui vais chercher. Je lui dis génial. Et comment tu le fais pour le ramener au bureau ? Il me dit, je me donne la voiture, je reviens. J'ai dit à la direction, on a un problème. Parce que j'ai le droit de faire ça quand même. Ils ont fait un PCDS. Je dis, on a un problème. Ce n'est pas compliance. Du coup, avant que je finisse l'audit, ils ont rappelé le fournisseur, ils ont fait un avenant au contrat pour dire, il n'y a rien qui sort. Sans que c'est détruit. Donc, on ne peut plus sortir. Il a fallu que je voie cet avenant, il faut que je voie ce contrat. avant de dire, ok, on est bon. Mais si je n'étais pas à tête là, je m'étais fait à ma mission. Si à la fin de ma mission, je disais, on a remarqué ça, ils étaient non compléments, c'était tout.
Speaker #0
Oui, à cause d'un détail.
Speaker #1
C'est ça. C'est une liste qui est en panne, et qu'on peut ramener au bureau en voiture.
Speaker #0
Ça, c'est un cycle de vie du système d'information globalement. Bon, moi, je vais reparler d'ISO, mais qui a été mal pensé, ou parce que ce n'est pas tombé en panne directement. où les auditeurs précédents n'ont pas vu, et auditeurs internes n'ont pas vu, et auditeurs de certification précédents n'ont pas vu non plus.
Speaker #1
Exactement. Alors tu as raison parce que c'est ça qu'on m'a dit. On m'a dit mais attendez, c'est votre cabinet qui nous a redité l'année dernière.
Speaker #0
On a les rêves humains.
Speaker #1
Donc voilà, c'est des choses qu'on peut avoir. Et d'un côté à l'autre, le regard peut être différent. Et c'est justement ça le piège. C'est-à-dire qu'un jour tu auras quelqu'un qui va être un peu plus regardant, il va te dire non, ça ne va pas. C'est pareil qu'une autre que je peux te donner où on a dit même si tu es pour des accès admin, même si tu es en VPN, déjà il faut le VPN, c'est obligatoire pour les admin, mais il faut double tente.
Speaker #0
Il faut ?
Speaker #1
Double tente, exactement.
Speaker #0
Oui. Donc MFA. Oui, MFA, oui.
Speaker #1
Et du coup, on m'a dit oui, donc je fais avec un poste de rebond. Donc je suis chez moi, je suis chez un PC admin, je fais un rebond à l'intérieur. Donc je viens dans la boîte. Et ensuite, de là-bas, je vais sur le poste, sur le serveur admis. Donc, je ne tombe pas directement. Génial. Sauf qu'on te dit qu'il te faut MFA. Et le gars me dit, oui, mais de chez moi, au bureau, j'ai un VPN avec login mot de passe. Et de mon bureau, sur le serveur, donc environ 4 bancaires, j'ai également un login mot de passe. J'ai dit, et ? Il dit, oui, donc ça va. Je dis, non. Tu peux mettre 50 login mot de passe. Ça n'aurait pas de problème. Ça reste autant de portes d'épargne faibles. Il faut que ton mec, à la maison, il faut qu'il puisse avoir un YubiKey, quelque chose, une pote, un Google Authenticator, Microsoft. Mais tu vois, ça, ça fonctionnait comme ça. Et ça ne dérangeait personne. À l'époque. À l'époque.
Speaker #0
Maintenant, le MFA, il est quand même démocratisé partout. C'est dans les mœurs.
Speaker #1
Mais non, c'est obligatoire. Donc, ça n'est pas des choses qu'on peut aussi mal comprendre. Se dire, mais tiens, déjà, on fait l'effort, on fait un rebond, etc. On a un logique mot de passe. Mais non, il te faut MFA. Donc le gars, il doit avoir MFA, même si tu mets 50 fois. Le guillemot dépasse, on arrive à toujours moins.
Speaker #0
Ça reste authentification faible. One factor authentication.
Speaker #1
C'est ça.
Speaker #0
Comment ça se déroule un audit PCI dans la vraie vie ?
Speaker #1
Alors, le nez de la guerre, c'est toujours là où se trouvent les données. Les données du cadre bancaire. Donc, il faut délimiter le périmètre. Et comme je disais, j'ai déjà vu des gens qui disent « Je peux te donner la cartographie de mon périmètre où j'ai les données du cadre, mais le reste, je ne sais pas. » Donc, tu commences toujours d'abord par le périmètre qui est délimité. Et donc, le scoping, la bonne nouvelle, c'est qu'ils ont même mis en place des outils pour t'aider à faire du scoping. Donc, ils ont documenté comment on peut délimiter, identifier où se trouve la donnée, qu'est-ce qui est inclus et qu'est-ce qui n'est pas inclus. Donc, bien délimiter le périmètre. Et ensuite, on va faire un peu comme du lézou cette fois-ci. On va regarder les procédures, les politiques, les procédures. Mais on va regarder les configs. et les exigences une à une. Donc, toutes les exigences de l'ISO, on va les regarder, pardon, du PCI, on doit les regarder une à une et vérifier. Et contrairement un peu à l'ISO, là, on est vraiment des exigences techniques où on va les regarder de façon pratique. Comment ça se passe ?
Speaker #0
Est-ce que maintenant, avec tout ce qui est crypto-monnaie, tokenisation, monnaie décentralisée, etc., tu penses que ça devient une menace pour PCI DSS ou pas ?
Speaker #1
Non. Honnêtement, je ne pense pas. Je pense que PCI aussi évolue et ils vont s'adapter, donc ça ne remplace pas. Parce que comme je l'ai dit, PCI, c'est l'assurance. C'est aussi un peu dire, si j'ai un mot pour dire, c'est la ceinture de sécurité.
Speaker #0
Ceinture bretelle, comme dit notre ami François. Je ne sais pas si vous connaissez cette expression-là,
Speaker #1
mais en fait,
Speaker #0
ils mettent ceinture et alors ils rajoutent les bretelles au cas où la ceinture lâche. C'était ça. C'était très français.
Speaker #1
Mais tu vois, donc on m'a dit que vraiment, c'est la ceinture. Pourquoi ? Parce que c'est... C'est notre gage commun, tu vois, contre la fraude. Donc, même si demain, il y a de la tokenisation, il y a de l'IA et tout, le standard évolue et s'adapte. Là, on est à la version 4.01, mais elle évolue et elle s'adapte. Technologie émergente, si on peut appeler ça comme ça. Mais oui, il disparaîtra pas.
Speaker #0
On peut dire, on l'a fait ce matin, au début d'après, on a été prendre un café tous les deux et on a réfléchi au moment où... Ou tu vas payer avec ta carte, du coup tu as quand même cette confiance-là en PCI DSS, malgré qu'il peut y avoir de la fraude, mais on sait quand même que le risque de fraude est minimisé. Oui. Tu continues à payer avec ta carte.
Speaker #1
C'est ça, je continue à utiliser la carte et le risque zéro n'existe pas. Par contre, aujourd'hui, tout le monde, chacun et chaque fois, déjà doit être vigilant. Mais le risque, réellement, ce n'est pas que tu paies de la fraude, ce n'est pas l'argent qui reste à la carte. C'est l'utilisation qu'on peut faire des données qui sont collectées. C'est pour ça que PCI met tout en œuvre pour protéger au maximum. Les données, par exemple, te disent de ne pas scanner, de ne pas conserver, par exemple, le code derrière le CVV. Depuis la version 4, ils ont introduit, par exemple, que si avant, par exemple, s'il y avait une page web, et je fais du Paypal, je ne fais rien. Je mets une intégration Paypal, je fais une rédigation. Au début, sur la version 3, il n'y a pas de problème. Aujourd'hui, depuis la version 4, cette page-là, PCI-E dit, s'il y a des scripts Java, par exemple, Java Script, il faut les analyser. Je ne sais pas de la page qui fait... que de la redirection. À la base, cette page, ça ne sert à rien. Tu fais une page web, tu mets ton code, tu fais, tu mets ton mainframe, enfin, ton code au milieu et tu affiches les onglets. Mais ce n'est pas toi qui ébèges le stripe ou bien, ce n'est pas toi qui ébèges... Non, non, non. Mais PCI demande que cette page-là soit contrôlée pour voir si dans chaque ligne de la publicité, j'avais ce que tu appelles pour afficher cette page, est-ce que c'est clean ou pas. Donc oui, j'ai confiance au système. à l'écosystème qui est mis en place parce que ça permet de lutter vraiment contre la faute. Mais chacun doit rester vigilant et signaler automatiquement dès que sa carte a été utilisée ou qu'il a perdu sa carte.
Speaker #0
Après, je pense que le plus gros risque au niveau PCI DSS, mais le plus gros risque au niveau de l'utilisation de la carte bancaire, c'est la personne qui l'utilise, qui va donner son code, je ne sais pas comment on va les appeler en France, on a peut-être un vocabulaire différent en Belgique, mais qui va Merci. qui va communiquer son compte M1 ou M2 à des hackers, à des social engineers. Et alors là, c'est eux qui communiquent.
Speaker #1
C'est ça. Malheureusement, ça arrive très souvent. Parce que la dernière fois, il y avait même un banquier qui s'est fait avoir parce que les gars, l'un dit, découpe ta carte et mets ça dans un truc qu'on vient chercher.
Speaker #0
Il a découpé la carte. Le gars l'a dit, non, non, non, on va vous changer la carte, etc. Il a découpé la carte, il l'a envoyée. Et les gars, ils ont collé les morceaux et ils ont pris 8000 euros.
Speaker #1
La carte, j'ai un shredder et je tape dans le shredder. C'est ça qu'il faut faire. À la maison.
Speaker #0
Et aujourd'hui, il y a beaucoup de banques, peut-être les banques en ligne, qui proposent des solutions où tu as des cartes en one-time payment. Donc, tu génères une carte à la seconde. Ça ne coûte rien, c'est gratuit. Tu fais un paiement. C'est un peu de tout. il vaut mieux utiliser 64 ou d'autres, où tu peux générer des cartes virtuelles à la demande, en illimité. Ça te permet aussi de...
Speaker #1
Ou tu prends des prepaid. Et à ce moment-là, dans le pire des cas, tu as perdu 500 euros, mais ils ne savent pas dépasser. Exactement. Pour les enfants, c'est très bien parce que du coup, ils ont tous les games en ligne. Et tu peux leur charger 30 euros sur la prepaid. Dans le pire des cas, tu perds 30 euros.
Speaker #0
Et aujourd'hui aussi, tu sais que tu peux limiter le plafond. Donc pas à tout. donc il y a beaucoup de mécanismes en place quand même et comme tu le dis vraiment le moyen le plus faible c'est l'homme c'est si au delà de tout ça quelqu'un n'arrive pas à te convaincre de sauter ton plafond de donner ton code de donner le numéro de la carte ni PCI DSS, ni PCI Conseil ni ta banque,
Speaker #1
personne ne pourra rien faire non là on peut rien faire là on quitte le monde technique et on va dans le social engineering et donc là on va sur le tous les biais qu'on a sur l'être humain.
Speaker #0
Malheureusement, tu vois, en entreprise, nous on s'en soucie des collaborateurs, on va revenir dessus peut-être plus tard, sur les risques cyber, etc. Mais la banque ne s'en soucie pas les gens sur les cotes. En tout cas, pour moi, pas assez. Combien de fois ta banque t'a-t-elle appelé pour te dire « Tiens, tu sais, on envoie des messages, parce que personne ne lit ? »
Speaker #1
Il ne m'appelle pas, mais je le vois bien. Je ne vais pas citer mes banques, mais je le vois. Je suis sensible à l'Aucilite aussi, pour Open Source Intelligence. Mais je trouve que ce qu'ils font est bien, mais je n'ai pas ta vision. Donc c'est ça que j'aimerais bien avoir ton point de vue après. C'est bien, mais je pense que les gens ne lisent plus. C'est-à-dire que quand je vais sur le site web de ma banque, ils mettent toujours une bannière, attention. En plus, on est pour l'instant période de Noël, fin d'année. C'est sûr que l'escamme, ça va augmenter. Mais je trouve qu'ils le font bien, mais je n'ai pas le recul parce que je suis un professionnel de la cyber. Et moi, je dis, OK, ça va. Mais pour M. Mme Tout-le-Monde ou pour le petit retraité, à mon avis le message ne passe pas.
Speaker #0
Moi je pense que le message n'est pas adapté. Moi je pense que le message c'est, on va revenir dessus, on a une démarche de compliance. Donc il faut que j'envoie des mails. Ils l'ont lu, ils l'ont pas lu. Je sais pas si il y a des cafés dessus. Combien on l'a ouvert, combien on l'a pas ouvert.
Speaker #1
Ils sont conformes.
Speaker #0
Nous on sensibilise, on envoie des mails chaque fois, on met des bannières sur cette internet. Ok, après si tu lis pas c'est ton problème. mais si on faisait ça en entreprise, je pense que tout le monde se ferait hacker. Est-ce qu'on s'arrêterait là ? Est-ce que nous, on s'arrêterait là, en termes de sensibilisation interne ? De dire, j'ai envoyé un mail, j'ai... Ah non,
Speaker #1
moi, je ne vais pas m'arrêter là, parce que je vais m'assurer que, est-ce qu'ils ont bien reçu le mail, est-ce qu'ils l'ont bien compris ?
Speaker #0
Exactement. Tu mettrais des KPI dessus, ce qui n'est pas le cas des banques.
Speaker #1
Je ne mettrais pas un KPI sur le mail, mais je mettrais un KPI complémentaire ailleurs. Oui, ce que je veux dire, c'est... Ou ils ne me verraient pas arriver.
Speaker #0
En tout cas, tu me demandes qu'à pied, sur la réception du message, est-ce que les gens l'ont reçu ? Pas en termes de mails ou de SMS, mais en termes de culture, est-ce que ça a évolué ? Je ne sais pas si la banque peut aller là, c'est intéressant. Peut-être qu'ils ont des contraintes qu'ils ne peuvent pas faire.
Speaker #1
Au niveau page web, je pense que ça va être compliqué de prouver que telle personne, ou alors c'est au moment où la personne s'est connectée dans son portail, que là on peut dire, ok, il a bien été faire un acknowledge, par exemple, mais les gens vont faire un acknowledge. de 10 000 lignes qu'ils ne vont pas lire, et là, on retombe sur le même problème. La banque va dire, ok, c'est compliant, je connais très peu de monde qui lise un contrat lorsqu'ils téléchargent une application mobile. Ils font yes, yes, yes, tu mets en plein milieu, ça je l'avais fait chez un ancien employeur, j'avais mis en plein milieu du contrat une phrase qui ne ressemblait à rien, et tout le monde avait fait yes. Là, je pense qu'ils vont être bloqués, et dès qu'ils sont sur la partie browser non connectée, la banque ne saura rien prouver. ou alors c'est peut-être poussé plus loin. Donc peut-être une nouvelle version de PCI DSS avec la sensibilisation.
Speaker #0
Malheureusement, le PCI ne se concentre pas sur l'utilisateur, mais ça se concentre sur les données de l'utilisateur. Oui,
Speaker #1
sur ces données.
Speaker #0
Du coup, comment ces données sont collectées, stockées et traitées ? Tu vas être à côté de la banque ou des institutions qui collectent les données. Fais attention.
Speaker #1
Ça me rappelle un truc. J'ai travaillé pour un client qui n'était pas du tout PCI DSS. Mon client n'était pas PCI DSS et il faisait une commande de billets de quelque chose à l'international. Donc c'était des billets de voyage, des billets de transport. Ceux-là étaient PCI DSS parce qu'eux prenaient les cartes de crédit. Et moi, quand je suis arrivé dans la mission là, je devais mettre en conformité, enfin je devais séparer deux systèmes IT. Je me suis rendu compte que sur mon laptop, il y avait un drive qui était partagé, qui était caché, mais bon, des dollars, je me suis dit tiens, qu'est-ce qu'il y a là-dessus ? Et que j'avais accès, en fait, c'était mon répertoire privé, donc je pouvais mettre ce que je voulais, je me suis dit ok, c'est génial. Et après, avec NetBios, je ne suis pas expert Windows pourtant, avec NetBios, je suis tombé sur d'autres choses et j'ai vu les laptops de tout le monde, tout leur des dollars. Et là-dessus, on est tombé sur un extrait, un fichier Excel, avec toutes les données cartes bancaires à l'époque. Donc là, moi, je me suis remonté au ciseau et je l'avais dit, c'était avant le RGPD. J'ai dit, écoute, ça, c'est pas dans mon scope. Pour moi, c'est un incident. Tu te rends compte qu'on a les fichiers nom, prénom, date, on avait tout sur la carte bancaire et le CVV derrière. J'ai ce fichier-là, mais vous ne vous rendez pas compte. Moi, je l'ai pris. J'ai fait le bon samaritain. Je suis consultant. Je ne suis pas éthical hacker, mais je suis membres ISAKA et ISSQR aussi. Donc, j'ai aussi l'obligation de déclarer tout ça. Je dis, vous ne vous rendez pas compte de l'argent que ça vaut, ce fichier-là. Je revends ça sur le Dark Web. J'avais toutes mes 500 cartes Visa, Visa Amex. Et c'était là, certainement, depuis des années. Et du coup,
Speaker #0
c'est ça qui est bizarre. parce que normalement, au collège d'un éducateur, ben... Si ils connaissent le cadre, ils sont soumis à PCI DSS. Et du coup, j'imagine qu'ils n'étaient même pas dans le cadre de ça.
Speaker #1
Le client, à l'origine, enfin, mon client n'était pas soumis à PCI DSS. Une grosse filiale de mon client l'était.
Speaker #0
D'accord.
Speaker #1
Donc, eux, ils devaient, je ne sais pas comment ils ont eu les données. Et ce fichier Excel-là s'est retrouvé en intragroupe.
Speaker #0
Oh là là.
Speaker #1
Et moi, je suis tombé dessus. Je tombe toujours dessus. Et donc, c'est ce que je dis aussi à mes clients quand je fais de l'audit. Quand on les accompagne, méfiez-vous parce que moi j'ai souvent tendance à tomber sur les trucs qui ne vont pas. Et les auditeurs avec qui je bosse, pareil. Et donc ne vous fiez pas justement à être conformes. Oui mais on est conformes. Non, pensez plus loin, pensez par vous-même. Comment est-ce qu'on peut améliorer le truc parce que ça peut se produire. Et là en fait c'était une erreur humaine. Il y a déjà quelqu'un qui a fait un export d'un CSV. Est-ce qu'il a pris conscience d'eux ? Et le CSV s'est retrouvé en plus back-upé en clair. Ce n'est pas possible.
Speaker #0
Mais c'est ça, malheureusement, très souvent, les gens sont concentrés sur l'apathie. Je vais être complice, mais on ne sait pas où passent les données.
Speaker #1
Donc le risque aujourd'hui pour le B2C, c'est-à-dire pour le consommateur, c'est plutôt social engineering.
Speaker #0
Oui, c'est beaucoup plus ça. C'est assez rigide comme environnement, le PCI, donc normalement. Et autre chose, autre contrainte que je n'ai pas citée depuis, c'est chaque année qu'il faut renouveler. Tu vois, ISO 27001, on est certifié une fois pour trois ans. et chaque année tu fais un test de suivi et tu contrôles plus tout. PCI DSS, chaque année, tu revois tout.
Speaker #1
En foule.
Speaker #0
En foule. Et c'est autant valable pour l'organisme, donc pour l'entité, que pour l'auditeur. Moi, chaque année, je dois refaire le test.
Speaker #1
D'exemple ?
Speaker #0
Je ne dis pas... Ce n'est plus forcément la même tenacité, mais tu vois, je dois suivre des vidéos et passer encore au point de crise. Si je ne le fais pas, je perds mon certificat.
Speaker #1
Oui, mais là, on est aussi dans le monde technique et donc la technique évolue rapidement. Donc,
Speaker #0
tu dois te maintenir là où dans le GRC,
Speaker #1
un ISO, on est tranquille trois ans, façon de parler.
Speaker #0
Exactement. Et si la banque est non-compliance, comme je te disais, donc au lieu d'être, il n'y a pas de niveau moyen, c'est compliance, non-compliance. Si il est non-compliance, ce qui est passé, c'est que généralement, il risque de perdre le droit de collecter des cadres bancaires. ce qui n'est pas sûr imagine que ta banque demain on lui dit il passe son certification ça arrive très rarement parce qu'il prend le soin d'avoir des états internes de vérifier en amont pour que ça n'arrive pas parce que si ça arrivait l'impact business serait très élevé oui et aussi comme je disais ça engage la responsabilité de l'auditeur du cabinet donc si nous on fait du copinage et qu'on dit tiens tes complains c'est que demain le mec il se prend un ransomware et que on se rend compte qu'on n'a pas été rigolo dans le truc. Le cabinet, donc le company, le Cresta Company, peut se voir retiré aussi.
Speaker #1
Son agrément, son accréditation, etc. Donc ça ne rigole pas. Avant de conclure, Lionel, vraiment, merci pour ton temps, merci pour la clarté, merci pour le partage d'expérience, et surtout pour ce regard très concret sur PCI DSS, loin des slides et des slogans, je te laisse le mot de la fin. Un message, un conseil, ou simplement ce que tu aimerais que les auditeurs retiennent de cet échange ?
Speaker #0
Déjà, merci beaucoup Fabrice pour l'invitation. Pour moi, c'est une première dans un studio pour un podcast. Donc, merci beaucoup. On est aussi à Bruxelles. Avant l'émission, on a été visiter la grande place. J'ai profité du recommandé du tourisme, c'est génial. Donc, merci beaucoup. Merci pour l'invitation encore une fois. Oui, c'est une chose que je veux que les gens retiennent vraiment. Cette émission, c'est de savoir que, bon, pour le public, le premier public, c'est pour les entreprises qui sont concernées par tout ce qui va être demain, NIS 2, ou si vous voulez faire du PCI demain, c'est de miser sur les compétences, de vérifier, d'être vigilant, vérifier les certifications, vérifier sur les sources publiques, les organismes où que les personnes ont les compétences. Pour les jeunes, comme tu m'as demandé... S'assurer d'avoir de l'expérience. Et l'expérience ne remplace pas le certificat.
Speaker #1
Ok, merci Lionel, sincèrement. Et toi, Coma Breaker, si tu as découvert PCI DSS, j'espère qu'on a au moins réussi à titiller ta curiosité. On te mettra les liens et ressources utiles en commentaire pour que tu puisses aussi creuser par toi-même. Si cet épisode t'a apporté quelque chose, n'hésite pas à le partager, à commenter ou à laisser une note. Si possible, 5 étoiles. Ça va m'aider beaucoup dans l'algorithme. Et c'est ce qui permet aussi au podcast de continuer à vivre. Alors, je ne suis qu'au début de la liste des guests. On se retrouve vendredi déjà pour un nouvel épisode de Complaints Without Comma. D'ici là, restez curieux, restez lucides et surtout restez éveillés.

Chapters

Introduction et présentation de Léonel Gandji
0sec
Parcours de Léonel dans la cybersécurité
1min
La norme PCI DSS et son importance
2min
Exigences et fonctionnement du PCI DSS
6min
Devenir auditeur PCI QSA et les défis associés
9min
Audit PCI dans la pratique et anecdotes
23min
Conclusion et conseils pour les auditeurs
37min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Introduction et présentation de Léonel Gandji

0sec

Parcours de Léonel dans la cybersécurité

1min

La norme PCI DSS et son importance

2min

Exigences et fonctionnement du PCI DSS

6min

Devenir auditeur PCI QSA et les défis associés

9min

Audit PCI dans la pratique et anecdotes

23min

Conclusion et conseils pour les auditeurs

37min

Chapters

Introduction et présentation de Léonel Gandji

0sec

Parcours de Léonel dans la cybersécurité

1min

La norme PCI DSS et son importance

2min

Exigences et fonctionnement du PCI DSS

6min

Devenir auditeur PCI QSA et les défis associés

9min

Audit PCI dans la pratique et anecdotes

23min

Conclusion et conseils pour les auditeurs

37min