Le standard PCI DSS a été bâti pour fournir des directives à toutes les entreprises manipulant des informations relatives aux cartes de crédit, afin d’améliorer la protection des consommateurs. Depuis la promulgation du standard en juin 2005, le nombre de pertes de données et le montant des fraudes aux cartes de crédit ont continué à progresser.

Selon l’étude menée auprès de 500 professionnels américains et internationaux de la sécurité informatique, travaillant dans des entreprises dont le chiffre d’affaires moyen s’élève à 5,6 milliards de dollars :
– 71 % des personnes interrogées ne considèrent pas le standard PCI comme une initiative stratégique ; 79 % d’entre elles ont déjà vécu des fuites de données se traduisant par des pertes ou des vols d’informations relatives aux cartes de crédit.
– 55 % des personnes interrogées se concentrent uniquement sur la protection des données de cartes de crédit et n’essaient pas de sécuriser d’autres informations sensibles, comme les numéros de sécurité sociale, de permis de conduire, les détails des comptes bancaires ou d’autres données relatives aux personnes ou à leurs familles.
– 60 % des personnes interrogées estiment ne pas disposer des ressources nécessaires pour se mettre en conformité avec le standard PCI, ce qui élèverait le niveau de sécurité des détenteurs de cartes.

"Aucune entreprise n’existe uniquement pour se conformer aux standards. Mais l’étude renferme un côté positif : si vous protégez vos consommateurs comme demandé par le standard PCI DSS, vous avez l’occasion d’améliorer globalement votre sécurité", explique Shlomo Kramer, Pdg d’Imperva.

"Les départements sécurité des entreprises se servent de la conformité PCI comme d’un levier pour augmenter leurs budgets, mais ces ressources ne se traduisent pas toujours par une meilleure sécurité pour les données sensibles confiées par les consommateurs", dit Larry Ponemon, président du conseil d’administration et fondateur de Ponemon Institute. "Les résultats de notre étude indiquent que, si certaines entreprises sont parvenues à transformer les standards PCI en un mandat global en faveur de la sécurité, un nombre encore bien plus important d’organisations n’y sont pas arrivées."

Les entreprises les plus petites connaissent les difficultés les plus grandes
L’étude montre que seulement 28 % des entreprises de taille moyenne (de 501 à 1 000 employés) sont conformes au standard PCI, contre 70 % des entreprises les plus importantes (75 000 employés et plus).
"Les entreprises consacrent en moyenne 35 % de leur budget sécurité à la mise en conformité PCI, ce qui fait de cet investissement un obstacle surtout pour les entreprises les plus petites", explique Amichai Shulman, directeur technique d’Imperva. "C’est pourquoi Imperva recommande au PCI DSS Council de modifier ses exigences à destination des grandes entreprises et des structures plus modestes, afin de tenir compte de différents environnements et besoins en matière de sécurité."

"Le conseil des standards de sécurité PCI et les fournisseurs de cartes de crédit doivent mettre à jour PCI DSS pour lui conférer une approche par les risques, et le faire dépendre de la configuration des systèmes de l’entreprise cherchant à se mettre en conformité. L’approche monolithique du standard actuel impose des contraintes déraisonnables à de nombreuses entreprises, qui possèdent un réseau peu évolué ou se sont équipées de technologies de sécurité qui ne sont pas intégrées au standard PCI, mais fournissent un niveau de protection similaire, voire supérieur", expliquait Avivah Litan, vice-président et analyste du cabinet Gartner dans un rapport datant de mai dernier et intitulé “Moving Beyond PCI at Visa’s Global Security Summit”.

Les entreprises qui adoptent une approche stratégique pour leur conformité PCI connaissent moins de fuites de données
Le standard PCI DSS a le potentiel pour modifier les initiatives des entreprises en matière de sécurité. L’étude montre que 27 % des entreprises pensent que la conformité PCI DSS améliore la position de leur organisation en matière de sécurité et inscrivent cette conformité au standard dans une démarche stratégique. Les entreprises qui sont pleinement conformes au standard PCI connaissent moins de fuites de données que celles qui ne le sont pas. Néanmoins, la majorité des personnes interrogées (73 %) ont validé leur conformité PCI via une approche minimaliste, à base de checklist.

Les recommandations d’Imperva aux consommateurs, aux entreprises et au PCI DSS Council

En vue de la date butoir du 31 octobre, date avant laquelle doivent être remises les contributions visant à amender les standards PCI DSS, Imperva livre ses recommandations aux consommateurs, aux entreprises et au PCI DSS Council.

Pour le PCI DSS Council :

– Créer un logo de conformité pour les consommateurs. Aujourd’hui, les entreprises ne peuvent pas articuler leurs efforts en matière de sécurité avec leur stratégie commerciale et les consommateurs ne sont pas informés de la conformité ou non des distributeurs qu’ils choisissent. Par voie de conséquence, les entreprises ne peuvent pas tirer profit de leur investissement dans la conformité PCI pour le transformer en avantage compétitif.

– Modifier les besoins de conformité pour les plus grandes et les plus petites organisations. Les plus petites entreprises ont besoin d’un standard modifié qui prenne en compte des environnements et des besoins sécuritaires variés.

Pour les consommateurs :

– Chercher les entreprises conformes à PCI. En général, les entreprises conformes sont moins victimes de pertes de données que les autres. Même si la conformité ne garantit pas une sécurité parfaite, c’est un avantage.

Pour les entreprises :

– Utiliser PCI pour bâtir un programme de sécurité plus large et plus efficace. Servez-vous de PCI comme d’un moyen pour impliquer votre direction dans la sécurité IT et la familiariser à ses enjeux. Le "business case" de PCI est intimement lié aux notions de sécurité de l’information.
– Désigner un responsable clairement identifié, qui pilote PCI ainsi que la sécurité et dont la position dans l’organisation lui permet de diriger de nombreuses équipes. Sans un vrai "champion", la sécurité - et la conformité - vont connaître des difficultés.