Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PCI Report de Verizon : De nombreux commerçants peinent à se maintenir en conformité avec les normes PCI

janvier 2015 par Verizon

Verizon Enterprise Solutions a dévoilé certaines des conclusions de l’édition 2015 de son PCI Report à l’occasion du salon NRF. Le rapport, qui sera publié en février, propose un état des lieux de la conformité aux normes PCI DSS (Payment Card Industry Data Security Standard) et examine sa corrélation avec les cas de compromissions de données dont sont parfois victimes les organisations qui effectuent ou reçoivent des paiements par carte, comme les commerçants et les restaurateurs.

L’examen des données révèle que les sociétés déclarées conformes ne le restent pas sur la durée. Moins d’un tiers étaient toujours 100% conformes au standard de sécurité PCI DSS moins d’un an après leur certification.

L’analyse des dossiers de compromissions par Verizon montre clairement qu’aucune des sociétés victimes n’était en totale conformité avec les recommandations PCI au moment de l’attaque.

Les organisations qui ne se maintiennent pas en totale conformité font preuve de négligence sur deux fronts : la régularité des tests des processus et systèmes de sécurité et la tenue à jour de leurs pare-feu.

« Le paysage de la cybersécurité est en train de changer », explique Rodolphe Simonetti, directeur des services professionnels de conformité et de gouvernance pour Verizon Enterprise Solutions. « Les entreprises doivent revoir leur approche de la sécurité et adopter un modèle de ‘résilience’ en prenant conscience que la sécurité n’est jamais acquise. Il n’existe pas de solution miracle de protection des données. »

M. Simonetti recommande aux entreprises une approche globale de la sécurité qui inclut :

 la mise en place de mécanismes de protection contre les attaques

 l’acceptation du risque de compromission

 l’organisation de moyens en réaction pour :

o contenir la brèche

o rétablir les moyens de défense

o restaurer le cours normal des opérations aussi vite que possible.

Le rapport PCI 2015 de Verizon Enterprise Solutions

L’édition 2015 du rapport va porter sur trois ans de données et l’analyse des résultats de milliers d’audits PCI conduits par l’équipe des évaluateurs de sécurité qualifiés PCI (Qualified Security Assessors) de Verizon auprès de sociétés du classement Fortune 500 et de grandes multinationales d’une trentaine de pays. Le rapport 2015 proposera de réfléchir à la relation entre conformité et sécurité et d’examiner les principales difficultés.

Comme pour le rapport 2014, Verizon examine chacune des 12 préconisations PCI et se penche pour la première fois sur la conformité à la norme 3.0.

Le rapport 2015 analyse également les circonstances qui font que les sociétés déclarées conformes ne le restent pas. Y figurera aussi une section qui explique « comment faciliter le maintien de la conformité PCI » avec des recommandations à l’attention des entreprises.

Les conclusions du rapport PCI se fondent sur l’analyse d’évaluations PCI

A l’instar de la série de rapports DBIR (Data Breach Investigations Report) sur les compromissions de données, le rapport PCI s’appuie essentiellement sur des cas réels. Il analyse les données d’évaluation PCI-DSS d’entreprises issues des secteurs de la finance, de la vente au détail et de l’hôtellerie, en Amérique du Nord, en Europe et en Asie-pacifique.


Voir les articles précédents

    

Voir les articles suivants