Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gérer les mécanismes de protection des données dans la durée est la clé pour maintenir la conformité au standard PCI

mars 2019 par Gabriel Leperlier, Consultant Sécurité Assurance Senior, spécialiste des normes GRC/PCI/Pentest, chez Verizon

Consommateurs et fournisseurs font confiance aux marques pour sécuriser leurs données de paiement, toutefois une étude montre un recul de la conformité au standard Payment Card Industry Data Security Standard (PCI DSS) de protection de ces données. Pour contrer cette tendance à la baisse, nous encourageons vivement les entreprises à réévaluer leurs méthodologies de mesure de l’efficacité des contrôles PCI et à se concentrer sur la longévité de leurs mesures de protection des données.

Pourquoi est-il si important de se mettre en conformité ?

Le Standard PCI DSS (Payment Card Industry Data Security Standard) vise à aider les entreprises qui acceptent les paiements par carte à protéger leurs systèmes des risques de compromission ou de vol des données des titulaires des cartes. Il a été démontré que la conformité au standard PCI DSS (au travers de la série de rapports Verizon Data Breach Investigations Report) protégeait effectivement les systèmes de paiement des compromissions et des vols de données des titulaires de cartes. Cette nouvelle tendance est donc alarmante.

Après avoir rendu compte ces six dernières années (2010 – 2016) d’améliorations de la conformité au standard Payment Card Industry Data Security Standard (PCI DSS), l’édition 2018 du Verizon Payment Security Report (PSR) fait état d’une tendance à la baisse préoccupante avec des entreprises qui échouent aux évaluations de confirmation de conformité et d’autres qui négligent de se maintenir en totale conformité.

Les faits parlent d’eux-mêmes

Les données recueillies en 2017 par les évaluateurs de sécurité qualifiés PCI DSS de Verizon démontrent que la conformité PCI recule au sein des entreprises mondiales, avec 52,4% seulement des entreprises qui se maintiennent en conformité en 2017 contre 55,4% en 2016. Des différences régionales notables montrent que les entreprises de la région Asie-Pacifique sont plus volontiers en totale conformité à 77,8% que celles basées en Europe (46,4%) et sur le continent américain (39,7%).

Ces différences peuvent s’expliquer par le calendrier de déploiement des stratégies de conformité, l’appréciation culturelle des prix/reconnaissances ou la maturité des systèmes IT. Par exemple, un projet PCI peut démarrer dans une région avant d’être généralisé partout dans le monde. Ainsi, des enseignements clés peuvent être identifiés et des problématiques résolues avant que les évaluations de conformité prennent place dans d’autres régions.

A chaque secteur d’activité ses enjeux de conformité

Il n’y a pas deux secteurs d’activité identiques et ceci se vérifie également avec la conformité de la sécurité des paiements.

Par secteur d’activité, les services IT demeurent les plus conformes avec plus de trois-quarts des entreprises (77,8%) totalement conformes. Le retail (56,3%) et les services financiers (47,9%) devancent largement les services d’hébergement (38,5%), le secteur le moins conforme dans le temps. Sachant que les entreprises inscrivent souvent les efforts de mise en conformité PCI DSS dans une démarche de sécurité plus large en vertu des règlements de protection des données, comme le Règlement général européen de protection des données (RGPD), cet écart entre les secteurs d’activité amenés à traiter des paiements électroniques au quotidien est signifiant.

Il est important de comprendre qu’une approche générique des stratégies de conformité n’est pas envisageable car chaque industrie a ses propres risques inhérents à ses activités spécifiques.

Efficacité des contrôles et conformité dans la durée sont essentiels

Au fil des années, on a constaté que le maintien de la conformité pose souvent problème. Des responsables spécialisés de projets de conformité PCI quittent parfois à mi-projet et la conscience du statut de conformité d’une entreprise disparaît avec eux ; Nous voyons également de nombreuses entreprises se débattre faute de structure claire pour maintenir leur conformité. Nous voyons aussi des professionnels insuffisamment qualifiés que l’on charge de maintenir la conformité au standard PCI sans qu’ils aient les connaissances élémentaires pour tenir leur objectif.

Verizon collabore étroitement avec la communauté PCI afin de faire progresser la conformité PCI DSS. En mettant à profit notre expertise et nos travaux sur le terrain, nous avons développé neuf facteurs qui aident les entreprises à se maintenir en conformité dans la durée. Notre objectif est de fournir une structure claire et une méthodologie pour aider le personnel chargé de la mise en conformité, mais aussi de les former à ouvrir le dialogue au sujet de la conformité avec leurs dirigeants, en rendant la narration plus facile à comprendre.

Voici selon nous les neuf facteurs d’efficacité des contrôles et de conformité à prendre en compte :

Facteur 1 : Environnement de contrôle : l’efficacité des 12 préconisations et leur maintien dans la durée dépendent d’un environnement de contrôle sain.

Facteur 2 : Conception des contrôles : le bon fonctionnement des contrôles pour tenir les objectifs de contrôle de la sécurité DSS dépend d’une bonne conception des contrôles.

Facteur 3 : Risques liés aux contrôles : sans maintenance suivie (tests de sécurité, gestion des risques, etc.), les contrôles peuvent se dégrader avec le temps et même se rompre. Pour atténuer les défaillances des contrôles, il faut prévoir une gestion intégrée des Risques liés aux contrôles.

Facteur 4 : Robustesse des contrôles : les contrôles s’effectuent dans des environnements professionnels dynamiques soumis à des menaces changeantes. Ils doivent être suffisamment robustes pour résister à des changements imprévus et pour rester fonctionnels et conformes aux spécifications (configuration des normes, contrôle d’accès, renforcement système, etc.).

Facteur 5 : Résilience des contrôles : les contrôles de sécurité peuvent toujours échouer, même si l’on ajoute des couches de contrôle pour accroître la robustesse, si bien qu’il faut prévoir une certaine résilience des contrôles avec découverte proactive et reprise rapide en cas d’échec pour garantir l’efficacité et la conformité dans la durée.

Facteur 6 : Gestion du cycle de vie des contrôles : Pour réussir tout ce qui précède, il est nécessaire de surveiller et gérer activement les contrôles de sécurité à chaque étape de leur cycle de vie, de la mise en place d’origine au retrait.

Facteur 7 : Gestion de la performance : l’établissement et la communication de standards de performance pour mesurer la performance réelle de l’environnement de contrôle améliorent l’efficacité des contrôles et favorisent les résultats prévisibles de vos activités de protection des données et de conformité, facilitant l’identification précoce et la correction des écarts de performance.

Facteur 8 : Evaluation de la maturité : un environnement de contrôle ne devrait jamais être laissé stagnant : il faut l’améliorer en continu. Pour ce faire, les entreprises ont besoin d’une feuille de route, un objectif de maturité des processus et des fonctionnalités pour surveiller le degré de validité et l’optimisation des processus comme indication de la marge avant que les processus en cours de développement soient complets et capables de s’améliorer en continu.

Facteur 9 : Auto évaluation : pour réussir tout ce qui précède, il faut une maîtrise suffisante en interne, des ressources en capacité suffisante (humaines, processus et technologies), des capacités (processus sous-jacents), des compétences (aptitudes, connaissances et expérience) et de la volonté (l’engagement à toujours respecter les exigences de conformité), autant dire la maîtrise de l’auto évaluation

La validation de conformité PCI ne signifie pas que les systèmes sont « sécurisés », mais simplement qu’aucune preuve de non conformité n’a été découverte lors de la période d’évaluation, généralement d’une ou de deux semaines. Par contre, les systèmes de sécurité sont souvent testés tous les jours. Le maintien de la conformité au standard PCI DSS n’a rien d’une activité ponctuelle, c’est au contraire un programme continu. Un programme qui doit s’adapter aux besoins changeants des entreprises et aux nouvelles technologies qui sont déployées dans l’environnement.

La clé de l’efficacité des processus de conformité réside dans une approche descendante. Malheureusement, souvent, les dirigeants ne sont pas tenus suffisamment informés ou ne comprennent pas bien la progression générale ou les enjeux. En structurant le processus de conformité et les conversations autour de nos neuf facteurs d’efficacité de contrôle et de maintien dans la durée, les dirigeants peuvent obtenir une vision plus claire du processus et établir un dialogue plus clair pour éviter les obstacles inutiles.


Pour en savoir plus sur les solutions Gouvernance, Risque et Conformité de Verizon, inscrivez-vous au petit déjeuner GRC du 17 avril à Paris :
https://info.verizonenterprise.com/EMEAFRSEC_Registration_GRC.html?linkId=65036025


Voir les articles précédents

    

Voir les articles suivants