Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport PCI de Verizon : les données des cartes de paiement sont toujours très fortement menacées

septembre 2011 par Verizon Business

Un rapport de Verizon montre qu’un très grand nombre d’entreprises éprouvent des difficultés à se conformer aux normes de sécurité de l’industrie des cartes de paiement, exposant ainsi les informations confidentielles des consommateurs à de très forts risques.

La seconde édition du rapport Verizon Payment Card Industry Compliance Report révèle en effet que la plupart des entreprises qui acceptent des cartes de paiement (crédit et/ou débit) ont le plus grand mal à atteindre et à conserver la certification de la norme Payment Card Industry Data Security Standard (PCI DSS), augmentant leurs risques de perte d’informations client confidentielles et de fraudes à la carte de crédit.

Les lourdes pénalités qu’elles encourent, notamment des amendes et une hausse des frais de traitement transactionnel par les enseignes émettrices des cartes, semblent sans effet, tout comme les pressions exercées par leurs partenaires et clients, qui exigent qu’elles démontrent leur conformité permanente.

En plus de faire l’état des lieux de la conformité aux normes PCI DSS, le rapport examine le degré de conformité des entreprises à chacune des 12 exigences PCI et émet des recommandations pour les aider à s’y soumettre durablement.

« Nous espérions que davantage d’entreprises se conforment à la norme PCI, car c’est ainsi qu’elles renforceront leur sécurité et que le nombre de failles de sécurité diminuera », explique Wade Baker, directeur de la gestion du risque chez Verizon. « Nous souhaitons que ce rapport les aide à mieux cibler leurs efforts et à appliquer nos recommandations pour accélérer leur mise en conformité PCI. Notre ambition est de parvenir à un environnement de transactions par carte plus sécurisé pour les consommateurs comme pour les entreprises. »

Conclusions du rapport PCI sur les évaluations PCI et les compromissions de données constatées

Le rapport s’appuie sur l’analyse de la centaine d’évaluations PCI DSS effectuées par l’équipe des PCI Qualified Security Assessors de Verizon en 2010, ainsi que sur les données recueillies par les experts du groupe Investigative Response de Verizon au cours de leurs enquêtes sur les infractions constatées sur les données de cartes de paiement. L’équipe Verizon Risk Intelligence a par ailleurs recoupé ces évaluations avec celles des études de cas de compromissions de données bancaires de son rapport 2011 Verizon Data Breach Investigations Report.

Les évaluations portent sur des données d’entreprises basées aux Etats-Unis, en Europe et en Asie, offrant ainsi le premier panorama mondial de la norme PCI.

Principales analyses

Voici les principales conclusions du rapport 2011 Verizon Payment Card Industry Compliance Report :

· Le degré de conformité ne s’est ni aggravé ni amélioré ; il reste « décevant ». Seules 21 % des organisations étaient totalement conformes au cours du premier audit. Parmi les motifs de cette non-conformité PCI généralisée, le rapport note l’excès de confiance, la baisse de vigilance et la nécessité de se concentrer sur d’autres problématiques de conformité et de sécurité.

· Le défaut de conformité PCI accroît les risques de compromissions de données. Le rapport de cette année a de nouveau démontré que les entreprises non conformes aux normes PCI sont plus exposées aux risques de vol de données bancaires, de vol d’identifiants et de fraude.

· Les entreprises peinent tout particulièrement à satisfaire les exigences PCI les plus importantes. Elles reconnaissent avoir surtout des difficultés avec les exigences n°3 (protéger les données stockées concernant les titulaires de cartes de paiement), n°10 (surveiller et contrôler les accès), n°11 (tester régulièrement les systèmes et procédures de sécurité) et n°12 (faire appliquer les règles de sécurité), qui visent toutes à protéger les données des porteurs de cartes de paiement.

· L’absence de priorité accordée aux efforts de mise en conformité révèle une sous-estimation des risques sécuritaires. L’approche par priorité (Prioritized Approach) lancée en 2009 visait à aider les entreprises à identifier et réduire les risques liés aux données de cartes de paiement et à faciliter la mise en place des procédures annuelles imposées par la norme PCI. Le rapport indique toutefois que de nombreuses entreprises se sont contentées de suivre les recommandations de la norme PCI DSS, sans adosser de stratégie de gestion des risques à leur démarche de mise en conformité. Par conséquent, beaucoup ignorent les menaces sécuritaires présentant les plus grands risques et impacts négatifs.

· La norme PCI protège contre les attaques les plus courantes. Les logiciels malveillants et le piratage constituent les deux types d’attaques les plus fréquents sur les données des titulaires de cartes de paiement. De nombreuses dispositions de la norme PCI se recoupent pour prévenir ces attaques.

Recommandations pour se mettre en conformité

A l’issue de ses recherches approfondies, Verizon préconise les recommandations suivantes aux entreprises qui éprouvent des difficultés à se conformer à la norme PCI :

· Gérer la mise en conformité au quotidien, en continu. L’adhésion à la norme PCI requiert en effet une attention de tous les instants. Cela passe par l’examen quotidien des journaux d’activité, la surveillance hebdomadaire de l’intégrité des fichiers, l’analyse trimestrielle des vulnérabilités et des tests de pénétration annuels. Verizon recommande que ces activités soient confiées à un responsable PCI en interne, qui veille à la mise en conformité quotidienne de l’entreprise.

· Ne pas s’auto-évaluer, ou alors avec la plus grande précaution. Les commerçants de niveaux 1 et 2 (ceux qui traitent les plus gros volumes de transactions par carte) sont autorisés à auto-évaluer leur degré de conformité à la norme PCI. Toutefois, au vu des nombreux conflits d’intérêt potentiels, Verizon leur recommande vivement de confier à un tiers impartial l’évaluation ou la validation des résultats d’évaluation.

· Se préparer à satisfaire des exigences plus strictes. En octobre 2010, le PCI Security Standards Council annonçait la norme PCI DSS 2.0, une version plus stricte imposant la validation de la méthodologie de définition du champ d’application. Les entreprises, dont la plupart peinent déjà à se conformer à la norme actuelle, vont donc devoir se préparer rapidement à adhérer à cette nouvelle version.




Voir les articles précédents

    

Voir les articles suivants