Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Quels risques courent les données bancaires confiées aux entreprises ? Les chiffres du Verizon 2014 PCI Compliance Report

février 2014 par Verizon

Un nouveau rapport de Verizon révèle qu’un trop grand nombre d’entreprises, après leur évaluation annuelle de conformité au standard PCI-DSS (Payment Card Industry Data Security Standard), relâchent leur attention et s’exposent alors à des risques majeurs de compromission de données et de préjudice financier et de réputation.

L’édition 2014 du rapport Verizon 2014 PCI Compliance Report affirme que les transactions de paiement par carte demeurent une cible de choix pour les criminels et que les cas de compromission de données sont en progression. Rien qu’en 2012 la fraude mondiale aux cartes bancaires aurait dépassé 11 milliards de dollars selon le Nilson Report.

D’après le rapport, dans la majorité des cas, les compromissions de données concernant des cartes bancaires ne sont pas le fait d’une faille de la technologie de sécurité, ni d’un défaut de conformité au standard PCI-DSS, mais plutôt d’un manquement à appliquer comme il faut les mesures de conformité et de sécurité préconisées.

« Bon nombre d’entreprises continuent d’envisager la conformité PCI comme une obligation annuelle, alors que le maintien de la conformité exige une attention de tous les jours », déclare Rodolphe Simonetti, directeur exécutif en charge des services pour l’industrie des cartes de paiement chez Verizon Enterprise Solutions.

Une bonne nouvelle ressort toutefois du rapport : le niveau de conformité initial des entreprises est supérieur. En 2013, plus de 82 % des entreprises étaient conformes à au moins 80 % des recommandations du standard PCI lors de leur évaluation annuelle, alors qu’elles n’étaient que 32 % dans ce cas en 2012.

Des différences régionales sont à noter du fait de variations des obligations légales, de signalement des compromissions notamment, et des niveaux d’adoption. La région Asie-Pacifique arrive en tête, avec 75 % des entreprises conformes avec au moins 80 % à la norme PCI, suivie par les Etats-Unis (56 %) et l’Europe (31 %).

Voici quelques-uns des aspects pour lesquels les entreprises ont le plus de mal à établir leur conformité initiale : test de la sécurité (23,8 %) ; surveillance de la sécurité et capacité à détecter et réagir en cas de compromission de données (17 %) ; et protection des données sensibles stockées (55,6 %).

« Toute entreprise qui n’est pas 100 % conforme s’expose à des risques aujourd’hui », poursuit M. Simonetti. « Nous ne comptons plus les cas de sociétés en défaut de conformité victimes de vol de carte de paiement. Le préjudice peut facilement se chiffrer en centaines de millions de dollars quand on additionne tous les dommages subis, sans parler de la perte de confiance des consommateurs et de la mauvaise publicité pour l’image de la marque. Les entreprises doivent réfléchir aux moyens qu’elles veulent mobiliser pour préserver la conformité PCI de leur environnement, que ce soit en y affectant davantage de ressources ou en sollicitant les services de sécurité d’un fournisseur externe. »

Le rapport examine en détail chacun des 12 critères PCI

Le rapport examine aussi le degré de conformité à chacun des 12 critères PCI spécifiques, il explique qu’elles peuvent être les conséquences d’un défaut de conformité pour chacun et émet des recommandations pour aider les entreprises à se soumettre durablement aux exigences fixées.

M. Simonetti ajoute : « les entreprises ont intérêt à inscrire la question de la conformité PCI dans le cadre de leurs initiatives plus globales de gouvernance, de conformité réglementaire et de sécurité, et à planifier et automatiser au maximum les procédures afférentes pour que la conformité reste efficace et rentable dans le temps ».

Les conclusions du rapport PCI sont fondées sur l’analyse d’audits PCI

Le rapport est une synthèse des conclusions d’analyse de centaines d’évaluations PCI DSS effectuées par l’équipe des évaluateurs de sécurité qualifiés PCI QSA (Qualified Security Assessors) de Verizon entre 2011 et 2013. A l’instar de la série de rapports DBIR (Data Breach Investigations Report) sur les compromissions de données, ce rapport s’appuie essentiellement sur des cas réels. Il analyse les données d’évaluations PCI-DSS d’organisations des secteurs des services financiers, de la vente au détail et de l’hôtellerie, en Amérique du Nord, en Europe et en Asie-Pacifique.

Pour lire les autres conclusions et recommandations du rapport, téléchargez sa version intégrale depuis la page www.verizonenterprise.com/pcireport/2014/.


Voir les articles précédents

    

Voir les articles suivants