Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Verizon Payment Security Report 2017 : Aucune entreprise ne respecte l’intégralité des standards de protection des données bancaires des clients

août 2017 par Verizon

Face à la hausse de la cybercriminalité, la question de la sécurité des cartes de paiement se pose pour les entreprises comme pour les consommateurs. Le standard PCI DSS (Payment Card Industry Data Security Standard) a pour but d’aider les entreprises qui acceptent les paiements par carte à protéger leurs systèmes des risques de compromission ou de vol des données de leurs clients. Les conclusions du Verizon 2017 Payment Security Report (2017 PSR) établissent le rapport entre la conformité à ce standard et la capacité effective à se défendre contre les cyberattaques.

Parmi l’échantillon de cas de compromissions de données de cartes bancaires sur lesquels Verizon a enquêté, il ressort qu’aucune entreprise n’était à 100% conforme au moment de la compromission avec moins de 10 sur 12 des préconisations clés PCI DSS respectées.

Globalement, la conformité PCI des grands groupes mondiaux s’est tout de même améliorée. 55,4% des entreprises évaluées par Verizon ont réussi leur évaluation intermédiaire en 2016. En 2015, elles étaient 48,4%. Cela signifie tout de même que près de la moitié des commerçants, restaurants, hôtels et autres entreprises qui acceptent les paiements par carte peinent à rester conformes d’une année sur l’autre.

« Il existe un lien clair entre la conformité PCI DSS et la capacité d’une entreprise à se défendre contre les cyberattaques », commente Rodolphe Simonetti, directeur général de la division mondiale de conseil en sécurité, chez Verizon. « Même si les chiffres sont à la hausse, le fait est que plus de 40% des entreprises que nous avons évaluées, quelle que soit leur taille, sont en défaut de conformité aux standards PCI DSS. Près de la moitié de celles qui obtiennent la validation se retrouvent non conformes en moins d’un an, parfois même plus vite. »

Différences sectorielles

Selon le rapport, l’industrie des services IT est de tous les secteurs étudiés celui qui obtient le meilleur score de conformité totale. Sur le plan mondial, 61,3% des organisations de services IT ont été déclarées totalement conformes lors de la validation intermédiaire de 2016, suivies par l’industrie financière (qui incluent les compagnies d’assurance) avec 59,1%, le commerce de détail à 50% et l’industrie hôtelière/ tourisme (42,9%).

Le rapport PSR 2017 souligne également les défauts de conformité spécifiques à certains secteurs :
● Commerce de détail : tests de sécurité, transmissions de données chiffrées et authentification.
● Hôtellerie et tourisme : renforcement de la sécurité, protection des données en transit et sécurité physique.
● Services financiers : procédures de sécurité, configurations sécurisées, protection des données en transit, gestion des vulnérabilités et gestion globale du risque.

Un cas concret

Par exemple, le cas du routeur caché : une organisation de services financiers qui souhaitait une dérogation aux obligations liées au Wi-Fi dans le standard PCI DSS a été surprise d’apprendre qu’elle avait un réseau sans fil en fonctionnement dans son bâtiment. Elle a de ce fait été ajournée lors de la validation. Comme le local des serveurs se trouvait à la cave et que le service IT était au troisième étage, les administrateurs IT en avaient assez de devoir monter et descendre les escaliers et avaient donc installé un routeur pour accéder aux serveurs depuis leur bureau.

Ne négligez pas les contrôles pour maintenir votre conformité dans la durée Concernant les contrôles PCI que les entreprises devraient avoir mis en place (comme les tests de sécurité, les tests d’intrusion, etc.), le rapport révèle un écart croissant vis-à-vis des exigences. De nombreux contrôles élémentaires sont absents. En 2015, 12,4% des entreprises manquaient leur évaluation intermédiaire faute de contrôles contre 13% en 2016.

Rodolphe Simonetti poursuit : « Il ne s’agit pas tant de savoir ‘si’ les données doivent être protégées, mais « comment » faire pour instaurer une protection durable des données. De nombreuses entreprises approchent les contrôles PCI DSS de manière isolée alors qu’ils forment un tout. Le concept de gestion du cycle de vie des contrôles est largement mésestimé. Ceci s’explique souvent par le manque d’expertise interne . Cependant, notre expérience prouve qu’il est possible d’améliorer nettement la maîtrise interne du sujet avec l’accompagnement de conseillers et d’experts externes. »

L’édition 2017 du PSR propose cinq préconisations pour améliorer la gestion du cycle de vie des contrôles :

1. Multiplier les contrôles de sécurité n’est pas la réponse : le standard PCI DSS recense déjà les exigences de nombreux autres standards et réglementations de protection des données. Les entreprises devraient pouvoir s’en servir pour consolider les contrôles et en faciliter la gestion globale.

2. Investir dans l’acquisition d’expertise : les entreprises devraient investir dans leurs talents pour qu’ils acquièrent des connaissances et perfectionnent leurs capacités de surveillance, de mesure et d’optimisation de l’efficacité des contrôles en place.

3. Adopter une approche équilibrée : les entreprises ont intérêt à maintenir un environnement de contrôle interne robuste et résilient pour éviter de sortir de la conformité.

4. Automatiser tout ce qui est possible : l’automatisation et l’application des processus de protection des données peuvent être très utiles pour gérer les contrôles, même si l’automatisation requiert des interventions humaines de temps en temps.

5. Concevoir, piloter et gérer l’environnement de contrôle interne : la performance de chaque contrôle est inter-reliée. Un problème au niveau supérieur impactera la performance des contrôles aux niveaux inférieurs. C’est incontournable dans le cadre d’un programme efficace et durable de protection des données.


A propos de l’édition 2017 du Verizon Payment Security Report L’édition 2017 du rapport PSR n’a pas vocation à convaincre les lecteurs de la nécessité de la conformité PCI, mais de rendre compte des niveaux de conformité PCI de différentes industries. L’édition 2017 du rapport porte sur l’analyse des audits PCI conduits par l’équipe des évaluateurs de sécurité qualifiés PCI (Qualified Security Assessors) de Verizon auprès de sociétés du classement Fortune 500 et de grandes multinationales d’une trentaine de pays. A l’instar de la série Verizon Data Breach Investigations Report, le PSR 2017 s’appuie sur des cas réels en s’intéressant principalement aux services financiers (47,5%) ; services IT (22,3%), au secteur de l’hôtellerie et de l’hébergement (15,1%) et au commerce de détail (14,4%). Les données qui ont été recueillies pour l’élaboration de ce rapport proviennent du continent américain (42,4%), d’Europe (28,1%) et de la région Asie-Pacifique (29,5%). L’édition 2017 du rapport Verizon Payment Security Report peut être téléchargée ici.




Voir les articles précédents

    

Voir les articles suivants