Baptisé « Verizon Payment Card Industry Compliance Report », ce rapport inédit dresse l’état des lieux de la conformité aux normes PCI DSS (Payment Card Industry Data Security Standard), créées en 2006 pour protéger les données des titulaires de cartes de crédit et lutter contre les fraudes à la carte de crédit. Il révèle notamment que les entreprises victimes de compromissions de données sont 50% moins susceptibles d’avoir respecté les normes PCI, et que seules 22 % des entreprises remplissaient ces normes à la date de leur première évaluation.

Outre l’évaluation de l’efficacité des normes PCI DSS, ce rapport passe en revue les types d’attaques les plus courants et fournit des recommandations à l’attention des entreprises sur la mise en conformité aux normes PCI et le maintien de cette conformité.

Ce rapport se base sur les évaluations du respect des normes PCI DSS menées par l’équipe d’évaluateurs de sécurité qualifiés de Verizon (Qualified Security Assessors-QSA) n 2008 et 2009, ainsi que sur l’examen d’un échantillon de près de 200 évaluations. En qualité de QSA, Verizon est habilité à auditer et évaluer le degré de conformité des entreprises aux normes PCI DSS, constamment mises à jour par le Conseil des normes de sécurité PCI, l’organe de gouvernance des normes de sécurité PCI et de la mise en conformité.

(REMARQUE : Des ressources supplémentaires sont disponibles en ligne, parmi lesquelles un podcast audio et tableaux et graphiques haute résolution)

« Le rapport “Verizon Payment Card Industry Compliance Report” offre aux entreprises un point de vue plus détaillé que jamais sur l’état des lieux de la conformité aux normes PCI, et les informe sur les exigences les plus difficiles à satisfaire », explique Peter Tippett, vice-président des innovations et technologies chez Verizon Business. « Nous espérons qu’il aidera les entreprises à aborder l’adoption des normes PCI de manière plus éclairée et efficace. Notre objectif est le même que celui des autres acteurs de l’industrie : lutter contre les fraudes à la carte de crédit et les vols de données. »

Principales constatations

Selon les observations de ce rapport, le respect des normes PCI aide à réduire les risques de compromission. Pour étayer cette conclusion, Verizon a recoupé ces observations avec celles sur les vols de données bancaires contenues dans son rapport « Verizon 2010 Data Breach Investigations Report » (DBIR) et recherché des similitudes. Il en résulte que :

· Seules 22 % des entreprises adhéraient aux normes PCI au moment de leur première évaluation. La plupart des entreprises n’étaient pas conformes aux normes PCI lorsque les QSA de Verizon ont procédé à leur première évaluation et rédigé leur rapport préliminaire. Quant aux entreprises 100 % conformes, elles comptaient majoritairement des adhérents de la première heure ou des entités non soumises à l’ensemble des normes.

· La mise en conformité est toutefois en bonne voie. Si 78 % des entreprises n’étaient pas conformes aux normes PCI lors de l’évaluation initiale, les résultats montrent qu’elles satisfont en moyenne à 81 % des exigences PCI. Pour être plus précis, les trois quart des entreprises ont passé avec succès au moins 70 % des procédures de test. De simples améliorations devraient donc leur permettre d’atteindre le score de 100 %. Seules 11 % des entreprises n’ont pas passé la barre des 50 % lors de leur première évaluation.

· Les entreprises qui ont été victimes de compromissions sont à 50% moins susceptibles d’avoir obtenu ou maintenue la conformité aux normes PCI. A l’issue d’une enquête criminelle ou d’une étude d’un cas de compromission de données, les enquêteurs de Verizon évaluent le degré de conformité des victimes avec les normes PCI. Après comparaison de ces données avec les évaluations PCI officielles, les analystes de Verizon ont constaté que les entreprises qui ont subi une compromission de données sont à 50% moins susceptibles de respecter les normes PCI. On peut donc en conclure que la conformité aux normes PCI participe à prévenir les risques de violation de données.

· Certains cas de compromissions de données sont liés aux difficultés des entreprises à respecter certaines des exigences PCI. Selon le rapport DBIR, 3 des 12 exigences PCI DSS (protéger les données stockées, surveiller et contrôler l’accès aux ressources réseau et données des détenteurs de cartes de crédit et enfin tester régulièrement les systèmes et procédures de sécurité) concernent des processus particulièrement vulnérables aux failles de sécurité. Or, ce sont justement ces trois mêmes exigences que les entreprises peinent le plus à respecter.

Les normes PCI préviennent les attaques les plus courantes

En recoupant les données d’évaluation PCI avec les résultats de leurs analyses post-compromissions, les experts de Verizon ont pu établir le classement des méthodes de compromissions de données de cartes de crédit les plus fréquentes : logiciels malveillants et piratage (25 %), injections SQL (24 %) et exploitation de droits d’accès par défaut ou simples à déduire (21 %).

Selon le rapport, l’adhésion aux normes PCI aide à se prémunir contre les méthodes de vol de données de cartes de crédit les plus communes. Pour ce faire, ces normes exigent parfois la mise en place de plusieurs couches de contrôle.

« Nos résultats démontrent que le respect des normes PCI DSS peut aider les entreprises à détecter et prévenir les menaces de sécurité », explique M. Tippett.

Recommandations

Voici certaines des meilleures pratiques appliquées par des entreprises 100 % conformes :

· Sécurité intégrée. Les processus métier doivent intégrer des protections dès le départ plutôt que d’y ajouter des solutions de sécurité par la suite. Cette pratique a permis à la plupart de ses adoptants de dédier moins de ressources à la sécurité et de rentabiliser par conséquent davantage leurs activités de mise en conformité.

· Pas de distinction entre conformité et sécurité. Les entreprises qui alignent leurs activités de mise en conformité sur leur stratégie de sécurité parviennent généralement mieux à se conformer aux normes de sécurité de type PCI DSS. Les entreprises conformes tendent par ailleurs à confier la mise en conformité et la sécurité à une seule équipe, voire à deux équipes collaborant étroitement.

· Gestion continue de la mise en conformité, et non ponctuelle. Les entreprises doivent intégrer la gestion de leur mise en conformité aux normes PCI à leurs processus quotidiens et non à des procédures mensuelles, trimestrielles, voire annuelles, souvent insuffisantes.

· Contrôle attentif des données. Les entreprises craignant tellement la non conformité PCI, il est fréquent qu’elles en fassent trop et finissent par s’éparpiller. La détection, le suivi et la gestion des données sont essentielles. Plus le périmètre de l’évaluation sera étendu, plus elle sera coûteuse et moins l’entreprise aura de chances de la passer avec succès.

L’intégralité du rapport « Verizon Payment Card Industry Compliance Report », est disponible ici : www.verizonbusiness.com/go/pcireport.