McDonald’s France se conforme à la réglementation en s’appuyant sur une gestion automatisée, précise et pratique des vulnérabilités

Il est impossible de parler grande cuisine sans évoquer la France. McDonald’s France peut aujourd’hui donner au monde entier quelques conseils en matière de restauration rapide et pratique. Multinationale pesant 20,5 milliards de dollars, McDonald’s Corporation est le Numéro 1 des services de restauration rapide de qualité et compte plus de 30 000 restaurants à travers le monde. Sa filiale française s’emploie à concevoir et à construire ses restaurants pour qu’ils se fondent dans l’architecture locale. “Nous autres Français sommes très attachés à nos traditions gastronomiques mais nous aimons aussi ce qui est pratique”, déclare Wilfried Delcambre, responsable de l’infrastructure informatique de McDonald’s France.

S’ils apprécient la décoration raffinée des restaurants et l’accès Wi-Fi gratuit à Internet, les clients de McDonald’s ne perçoivent pas toute la logistique que l’entreprise déploie en coulisses pour sécuriser les informations sur les cartes de crédit ainsi que ses propres informations financières et propriétaires. Un gros effort est fait pour veiller à protéger les systèmes d’exploitation, applications et serveurs contre les toutes dernières vulnérabilités logicielles et autres problèmes de configuration susceptibles de mettre en jeu la sécurité et la conformité à la réglementation de l’entreprise. Société cotée au NYSE (symbole : MCD), McDonald’s doit veiller en permanence à ce que ses opérations soient conformes à la loi Sarbanes-Oxley Act de 2002 (SOX). Cette loi votée pour garantir la transparence et l’intégrité du reporting financier pour les entreprises cotées vise à responsabiliser davantage les dirigeants par rapport aux résultats financiers de leur société.

Les risques qui pèsent sur les initiatives de sécurité et de conformité à la réglementation ne cessent d’augmenter. En effet, les responsables chargés de la sécurité doivent faire face à une augmentation rapide du nombre de nouvelles vulnérabilités. Selon le centre de coordination des CERT, 3 780 vulnérabilités ont été rapportées en 2004. Ce nombre a plus que doublé pour atteindre 8 064 cas en 2006. “Il faut surveiller de manière cohérente les systèmes afin de pouvoir atténuer les problèmes. Il s’agit d’un processus sans fin,” explique M. Delcambre. Un système non patché ou mal configuré peut fragiliser le contrôle des systèmes financiers exigé par la Section 404 de la réglementation SOX et par la norme PCI DSS (Payment Card Industry Data Security Standard) de l’industrie de la carte bancaire. Cette norme PCI DSS définit les contrôles de sécurité pour le traitement et la gestion des informations et des transactions liées aux cartes de crédit. Ces contraintes, ainsi que d’autres dispositions légales et réglementations de l’industrie, exigent non seulement que les systèmes soient sécurisés, mais aussi que la sécurité puisse être prouvée au législateur et aux autorités chargées de réguler l’industrie.

Soucieux de se conformer dans ce domaine, McDonald’s France a donc cherché un moyen pour automatiser nombre des processus liés à la gestion des risques et des vulnérabilités : découverte des systèmes, identification des vulnérabilités et remédiation. Wilfried Delcambre explique comment un conseiller informatique a recommandé Qualys. Avec Qualys, le contrôle de l’ensemble du cycle de vie de la gestion des vulnérabilités (découverte des actifs, évaluation des vulnérabilités, suivi des correctifs de sécurité) est rationalisé et respecte la législation en vigueur et la réglementation interne de l’entreprise. Totalement administrée par Qualys, cette solution à la demande est fournie en tant que service Web et ne nécessite le déploiement d’aucun logiciel ni d’aucune infrastructure coûteuse.

“Nous avions besoin d’une analyse à la fois externe et interne de notre sécurité. Et Qualys nous l’apporte de manière vraiment optimale. Cette solution nous permet d’identifier, de remédier et de suivre nos vulnérabilités”, déclare M. Delcambre. En outre, la capacité de Qualys à automatiser les analyses permet à McDonald’s de procéder à ces évaluations chaque semaine. “Grâce à Qualys, nous disposons d’une vue interne détaillée de l’ensemble de notre infrastructure ainsi que d’une vue découverte de nos systèmes depuis l’extérieur”.

Grâce à cet atout, l’entreprise peut non seulement garantir sa sécurité, mais aussi prouver que ses patches système sont conformes à la réglementation. “Qualys tient une part importante dans nos efforts de conformité”, déclare M. Delcambre.

Enchantée par cette solution, McDonald’s France s’intéresse désormais à Qualys PCI pour l’aider à justifier la sécurité de ses transactions par carte de crédit ainsi que la conformité à la norme PCI DSS (Payment Card Industry Data Security Standard). Définie par les principales sociétés de cartes de crédit, la norme PCI DSS exige des commerçants qu’ils garantissent le niveau de sécurité nécessaire pour protéger de manière adaptée les transactions et les données liées aux cartes de crédit. Cette norme impose douze exigences de sécurité, notamment l’installation d’un firewall réseau, le chiffrement des données du détenteur de la carte lors de ses déplacements, le suivi strict de l’authentification et de l’autorisation ainsi que l’existence d’un programme complet de gestion des vulnérabilités. Des pénalités sévères sont prévues en cas de non conformité. En effet, les commerçants qui ne se plient pas aux exigences de conformité, ou qui subissent une faille, pourront être interdits de traitement de transactions par carte de crédit, devront s’acquitter de frais de traitement supérieurs et payer des amendes pouvant atteindre jusqu’à 500 000 dollars pour chaque cas de non conformité.

“Nous testons actuellement Qualys PCI, une solution qui nous aidera à rationaliser les formulaires et les exigences de reporting et qui nous garantira que tout est en ordre pour la conformité PCI”, explique M. Delcambre.

À l’instar de toutes les solutions de sécurité à la demande de Qualys, il n’y a rien à installer ou à déployer ni aucun coût caché. Avec Qualys PCI, les entreprises peuvent rationaliser les questionnaires et les évaluations de vulnérabilités exigés par l’industrie de la carte bancaire. Cette solution crée le rapport de validation requis, lequel peut être automatiquement soumis à la banque émettrice d’un commerçant en ligne. Wilfried Delcambre poursuit : “Nous comptons sur la solution Qualys PCI pour qu’elle nous fasse gagner du temps et qu’elle rende plus efficaces nos efforts de conformité PCI”.

Même si Qualys automatise de nombreux aspects de la gestion des vulnérabilités pour gagner du temps et améliorer les performances de l’équipe informatique de McDonald’s France, M. Delcambre apprécie par dessus tout les niveaux de sécurité toujours plus élevés garantis par Qualys. “Vos systèmes ont beau être vraiment sécurisés, tant de l’intérieur que de l’extérieur, le moindre problème de configuration dans votre firewall peut vous exposer à des risques majeurs. C’est précisément ce problème, ainsi que de nombreux autres types de risques, que Qualys détecte à notre place”.