Publié par UnderNews Actu - Télécharger l'application Android

Le standard PCI DSS (Payment Card Industry Data Security Standard) renforce la protection des systèmes de paiement des risques de compromission ou de vol de données des titulaires des cartes.

Communiqué de presse – Face à la hausse de la cybercriminalité, la question de la sécurité des cartes de paiement se pose pour les entreprises comme pour les consommateurs. Le standard PCI DSS (Payment Card Industry Data Security Standard) a pour but d’aider les entreprises qui acceptent les paiements par carte à protéger leurs systèmes des risques de compromission ou de vol des données de leurs clients. Les conclusions du Verizon 2017 Payment Security Report (2017 PSR) établissent le rapport entre la conformité à ce standard et la capacité effective à se défendre contre les cyberattaques.

  • Aucune entreprise 100% conforme aux standards de protection des données bancaires des clients PCI DSS
  • L’industrie hôtelière mauvais élève avec 40% de conformité en moyenne
  • La conformité PCI des grands groupes mondiaux est meilleure qu’avant avec 55,4% des entreprises évaluées ayant réussi leur évaluation intermédiaire contre 48,4% en 2015.

Parmi l’échantillon de cas de compromissions de données de cartes bancaires sur lesquels Verizon a enquêté, il ressort qu’aucune entreprise n’était à 100% conforme au moment de la compromission avec moins de 10 sur 12 des préconisations clés PCI DSS respectées.

Globalement, la conformité PCI des grands groupes mondiaux s’est tout de même améliorée. 55,4% des entreprises évaluées par Verizon ont réussi leur évaluation intermédiaire en 2016. En 2015, elles étaient 48,4%. Cela signifie tout de même que près de la moitié des commerçants, restaurants, hôtels et autres entreprises qui acceptent les paiements par carte peinent à rester conformes d’une année sur l’autre.

« Il existe un lien clair entre la conformité PCI DSS et la capacité d’une entreprise à se défendre contre les cyberattaques », commente Rodolphe Simonetti, directeur général de la division mondiale de conseil en sécurité, chez Verizon. « Même si les chiffres sont à la hausse, le fait est que plus de 40% des entreprises que nous avons évaluées, quelle que soit leur taille, sont en défaut de conformité aux standards PCI DSS. Près de la moitié de celles qui obtiennent la validation se retrouvent non conformes en moins d’un an, parfois même plus vite. »

Différences sectorielles

Selon le rapport, l’industrie des services IT est de tous les secteurs étudiés celui qui obtient le meilleur score de conformité totale. Sur le plan mondial, 61,3% des organisations de services IT ont été déclarées totalement conformes lors de la validation intermédiaire de 2016, suivies par l’industrie financière (qui incluent les compagnies d’assurance) avec 59,1%, le commerce de détail à 50% et l’industrie hôtelière/ tourisme  (42,9%).

Le rapport PSR 2017 souligne également les défauts de conformité spécifiques à certains secteurs :

  • Commerce de détail : tests de sécurité, transmissions de données chiffrées et authentification.
  • Hôtellerie et tourisme : renforcement de la sécurité, protection des données en transit et sécurité physique.
  • Services financiers : procédures de sécurité, configurations sécurisées, protection des données en transit, gestion des vulnérabilités et gestion globale du risque.

Un cas concret

CyberGhost VPN Promo

L’infographie jointe illustre des cas concrets de non-respect des contrôles de conformité. Par exemple, le cas du routeur caché : une organisation de services financiers qui souhaitait une dérogation aux obligations liées au Wi-Fi dans le standard PCI DSS a été surprise d’apprendre qu’elle avait un réseau sans fil en fonctionnement dans son bâtiment. Elle a de ce fait été ajournée lors de la validation. Comme le local des serveurs se trouvait à la cave et que le service IT était au troisième étage, les administrateurs IT en avaient assez de devoir monter et descendre les escaliers et avaient donc installé un routeur pour accéder aux serveurs depuis leur bureau.

Ne négligez pas les contrôles pour maintenir votre conformité dans la durée

Concernant les contrôles PCI que les entreprises devraient avoir mis en place (comme les tests de sécurité, les tests d’intrusion, etc.), le rapport révèle un écart croissant vis-à-vis des exigences. De nombreux contrôles élémentaires sont absents. En 2015, 12,4% des entreprises manquaient leur évaluation intermédiaire faute de contrôles contre 13% en 2016.

Rodolphe Simonetti poursuit : « Il ne s’agit pas tant de savoir ‘si’ les données doivent être protégées, mais « comment » faire pour instaurer une protection durable des données. De nombreuses entreprises approchent les contrôles PCI DSS de manière isolée alors qu’ils forment un tout. Le concept de gestion du cycle de vie des contrôles est largement mésestimé. Ceci s’explique souvent par le manque d’expertise interne . Cependant, notre expérience prouve qu’il est possible d’améliorer nettement la maîtrise interne du sujet avec l’accompagnement de conseillers et d’experts externes. »

L’édition 2017 du PSR propose cinq préconisations pour améliorer la gestion du cycle de vie des contrôles :

  1. Multiplier les contrôles de sécurité n’est pas la réponse : le standard PCI DSS recense déjà les exigences de nombreux autres standards et réglementations de protection des données. Les entreprises devraient pouvoir s’en servir pour consolider les contrôles et en faciliter la gestion globale.
  2. Investir dans l’acquisition d’expertise : les entreprises devraient investir dans leurs talents pour qu’ils acquièrent des connaissances et perfectionnent leurs capacités de surveillance, de mesure et d’optimisation de l’efficacité des contrôles en place.
  3. Adopter une approche équilibrée : les entreprises ont intérêt à maintenir un environnement de contrôle interne robuste et résilient pour éviter de sortir de la conformité.  
  4. Automatiser tout ce qui est possible : l’automatisation et l’application des processus de protection des données peuvent être très utiles pour gérer les contrôles, même si l’automatisation requiert des interventions humaines de temps en temps.
  5. Concevoir, piloter et gérer l’environnement de contrôle interne : la performance de chaque contrôle est inter-reliée. Un problème au niveau supérieur impactera la performance des contrôles aux niveaux inférieurs. C’est incontournable dans le cadre d’un programme efficace et durable de protection des données.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.