Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

80 % des entreprises échouent à l’évaluation intermédiaire de confirmation de leur conformité PCI

mars 2015 par Verizon

Près de 80 % des entreprises échouent à l’évaluation intermédiaire de confirmation de leur conformité PCI et sont donc vulnérables aux cyberattaques, selon le rapport PCI Compliance 2015 de Verizon paru aujourd’hui. Avec plus de deux-tiers de tous les achats payés par carte, et un montant total de 20.000 milliards de dollars de transactions prévu en 2015, la sécurité est plus essentielle que jamais pour les entreprises qui traitent ces paiements.

Pour sa quatrième édition, ce rapport 2015 de Verizon fait un état des lieux de la conformité au standard PCI DSS (Payment Card Industry Data Security Standard) et examine sa corrélation avec les cas de compromission de données dont sont parfois victimes les organisations des secteurs des services financiers, de la vente au détail et du tourisme et de l’hôtellerie, entre autres secteurs.

Les recherches menées par Verizon montrent, depuis 2009, que les organisations ayant subi une compromission de données étaient toujours en dessous du niveau de conformité requis sur plusieurs points de contrôle PCI DSS.

En réduisant la probabilité d’être attaquées, les entreprises prennent soin de leur marque, s’assurent la confiance de leurs clients et évitent des coûts qui peuvent être importants. De fait, 69% des consommateurs hésitent à acheter auprès d’une entreprise victime d’une infraction.

« Le paysage de la cybersécurité se renouvelle constamment », explique M. Simonetti. « Un état de conformité ponctuelle ne suffit pas pour protéger les données, l’effort doit être maintenu dans la durée et s’inscrire dans le cours des activités quotidiennes d’une organisation, encadré par une stratégie de sécurité plus globale. »

Principaux résultats de l’étude PCI Compliance 2015

Cette année, seules 29 % des entreprises sont toujours 100% conformes à la norme PCI-DSS moins d’un an après leur certification. Mais si les niveaux de conformité restent bas, de même que le suivi des contrôles de maintien de la conformité, certains points positifs ressortent de cette édition 2015 du rapport.

En 2014, près de deux fois plus d’entreprises ont été déclarées conformes lors de leur audit de conformité intermédiaire qu’en 2013.

Selon Rodolphe Simonetti, « les organisations qui ne se maintiennent pas en totale conformité font preuve de négligence sur trois fronts : la régularité des tests des systèmes de sécurité, la tenue à jour des systèmes et la protection des données stockées. L’analyse des dossiers de compromissions par Verizon montre clairement qu’aucune des sociétés victimes n’était en totale conformité avec les recommandations PCI DSS au moment de l’attaque. »

Les autres conclusions du rapport incluent :

- Entre 2013 et 2014, le niveau de conformité a progressé pour 11 des 12 contrôles PCI DSS, c’est-à-dire que 60 % des sociétés auditées en 2014 étaient en conformité avec au moins un critère.

- La progression moyenne de la conformité est de 18 points de pourcentage.

- La plus forte progression concerne l’authentification des accès (Exigences chapitre 8).

- Le seul aspect où l’on constate un recul de la conformité concerne les tests des systèmes de sécurité (Exigences chapitre 11), de 40 à 33 %.

Le rapport de cette année conclut sur une tendance inquiétante concernant la sécurité des données toujours inadaptée, ajoute M. Simonetti. Le volume et l’ampleur des compromissions de données ces 12 derniers mois montrent clairement que les techniques actuelles n’arrêtent pas les cybercriminels, elles ne les freinent même pas le plus souvent. Il est important d’inscrire l’effort de conformité PCI DSS dans le cadre d’une stratégie globale de gestion des risques et de la sécurité de l’information. Une évaluation PCI DSS peut mettre au jour des failles de sécurité importantes qu’il faut combler mais rien ne garantit que les données seront protégées d’une cyberattaque.

Le PCI Compliance Report 2015 de Verizon Enterprise Solutions

L’édition 2015 du rapport porte sur trois ans de données et l’analyse des résultats d’audits PCI conduits par l’équipe des évaluateurs de sécurité qualifiés PCI (Qualified Security Assessors) de Verizon auprès de sociétés du classement Fortune 500 et de grandes multinationales d’une trentaine de pays.

Dans ce rapport, Verizon offre une analyse approfondie de chacune des 12 préconisations PCI et se penche sur la conformité à la norme 3.0, dont la version 3.1 est imminente.

Le rapport 2015 analyse également les circonstances qui font que les sociétés déclarées conformes ne le restent pas. Il inclut des recommandations sur « comment faciliter le maintien de la conformité PCI » avec des recommandations à l’attention des entreprises.

A l’instar de la série de rapports DBIR (Data Breach Investigations Report) sur les compromissions de données, le rapport PCI s’appuie essentiellement sur des cas réels. Cette série de rapports analyse les données d’évaluation PCI-DSS d’organisations des secteurs des services financiers (30%), de la vente au détail (26%) et de l’hôtellerie (15%), en Amérique du Nord (55%), en Europe (23%) et en Asie-pacifique (22%).

Le rapport PCI 2015 est disponible à l’adresse : http://vz.to/PCIR15X




Voir les articles précédents

    

Voir les articles suivants