Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Verizon Payment Security Report 2018 : la conformité aux standards de sécurité des paiements recule pour la première fois en six ans

septembre 2018 par Verizon

Après avoir constaté pendant six années consécutives (2010 – 2016) une amélioration de la conformité au standard Payment Card Industry Data Security Standard (PCI DSS), l’édition 2018 du Verizon’s 2018 Payment Security Report (PSR) enregistre une baisse préoccupante due aussi bien à des entreprises qui échouent aux évaluations de confirmation de conformité qu’a des entreprises qui négligent de se maintenir en totale conformité.

Le standard PCI DSS (Payment Card Industry Data Security Standard) vise à aider les entreprises qui acceptent les paiements par carte à protéger leurs systèmes des risques de compromission ou de vol des données des titulaires des cartes. Il a été démontré que la conformité au standard PCI DSS (au travers de l’ensemble de rapports Verizon Data Breach Investigations Report) protégeait effectivement les systèmes de paiement des compromissions et des vols de données des titulaires de cartes. Cette tendance à la baisse soulève donc un problème.

Les données recueillies en 2017 par les contrôleurs qualifiés PCI DSS de Verizon (QSA) démontrent que la conformité PCI recule au sein des entreprises mondiales, avec 52,4% seulement des entreprises qui se maintiennent en conformité en 2017 contre 55,4% en 2016. Des différences régionales notables montrent que les entreprises de la région Asie-Pacifique sont plus volontiers en totale conformité à 77,8% que celles basées en Europe (46,4%) ou sur le continent américain (39,7%). Ces différences peuvent tenir au calendrier de déploiement des stratégies de conformité, à l’appréciation culturelle des prix/reconnaissances ou à la maturité des systèmes IT.

Par secteur d’activité, les services IT demeurent les plus conformes avec plus de trois-quarts des entreprises (77,8%) totalement conformes. Le commerce de détail (56,3%) et les services financiers (47,9%) sont largement devant les services d’hébergement (38,5%), le secteur le moins fréquemment conforme. Sachant que les entreprises inscrivent souvent les efforts de mise en conformité PCI DSS dans une démarche de sécurité plus large en vertu des règlements de protection des données, comme le Règlement Général Européen de Protection des Données (RGPD), cet écart entre les secteurs d’activité amenés à traiter des paiements électroniques au quotidien est significatif.

« Les standards de conformité PCI des entreprises mondiales sont en train de glisser et ce n’est pas une tendance qui peut s’inscrire durablement », commente Rodolphe Simonetti, directeur général de la division mondiale de conseil en sécurité, chez Verizon. « Les consommateurs et les fournisseurs font confiance aux banques pour la sécurité de leurs données de paiement. Il est important de remédier à cette situation. Nous encourageons vivement les entreprises à réévaluer leurs méthodologies de mesure de l’efficacité des contrôles PCI et à se concentrer sur la longévité de leurs mesures de protection des données. »

Efficacité des contrôles et conformité dans la durée sont essentiels

Rodolphe Simonetti poursuit : « Verizon est à l’avant-garde de la sécurité des données des titulaires de cartes depuis 2003 et collabore étroitement avec la communauté PCI à faire progresser la conformité PCI DSS. En mettant à profit notre expertise et nos travaux sur le terrain, nous avons développé une liste de neuf facteurs qui aident les entreprises à se maintenir en conformité dans la durée. Notre objectif est de fournir une structure claire et une méthodologie pour aider le personnel chargé de la mise en conformité, mais aussi de les former à ouvrir le dialogue au sujet de la conformité avec leurs dirigeants, en rendant la narration plus facile à comprendre. Pour que les processus de conformité soient efficaces, ils doivent émaner de la hiérarchie, mais souvent la progression ou les enjeux ne sont pas clairement communiqués aux dirigeants ou ceux-ci les comprennent mal. »

Les neuf facteurs suivants d’efficacité des contrôles et de conformité dans la durée recommandée par Verizon incluent les 12 préconisations de la norme PCI DSS :
- Facteur 1 : Environnement de contrôle : l’efficacité des 12 préconisations et leur maintien dans la durée dépendent d’un environnement de contrôle sain.
- Facteur 2 : Conception des contrôles : le bon fonctionnement des contrôles pour tenir les objectifs de contrôle de la sécurité DSS dépend d’une bonne conception des contrôles.
- Facteur 3 : Risques liés aux contrôles : sans maintenance suivie (tests de sécurité, gestion des risques, etc.), les contrôles peuvent se dégrader avec le temps et même se rompre. Pour atténuer les défaillances des contrôles, il faut prévoir une gestion intégrée des Risques liés aux contrôles.
- Facteur 4 : Robustesse des contrôles : les contrôles s’effectuent dans des environnements professionnels dynamiques soumis à des menaces changeantes. Ils doivent être suffisamment robustes pour résister à des changements imprévus et pour rester fonctionnels et conformes aux spécifications (configuration des standards, contrôle d’accès, renforcement système, etc.).
- Facteur 5 : Résilience des contrôles : les contrôles de sécurité peuvent toujours échouer, même si l’on ajoute des couches de contrôle pour accroître la robustesse, si bien qu’il faut prévoir une certaine résilience des contrôles avec découverte proactive et reprise rapide en cas d’échec pour garantir l’efficacité et la conformité dans la durée.
- Facteur 6 : Gestion du cycle de vie des contrôles : Pour réussir tout ce qui précède, il est nécessaire de surveiller et gérer activement les contrôles de sécurité à chaque étape de leur cycle de vie, de la mise en place d’origine au retrait.
- Facteur 7 : Gestion de la performance : l’établissement et la communication de standards de performance pour mesurer la performance réelle de l’environnement de contrôle améliorent l’efficacité des contrôles et favorisent les résultats prévisibles de vos activités de protection des données et de conformité, facilitant l’identification précoce et la correction des écarts de performance.
- Facteur 8 : Evaluation de la maturité : un environnement de contrôle ne devrait jamais être laissé stagnant : il faut l’améliorer en continu. Pour ce faire, les entreprises ont besoin d’une feuille de route, un objectif de maturité des processus et des fonctionnalités pour surveiller le degré de validité et l’optimisation des processus comme indication de la marge avant que les processus en cours de développement soient complets et capables de s’améliorer en continu.
- Facteur 9 : Auto évaluation : pour réussir tout ce qui précède, il faut une maîtrise suffisante en interne, des ressources en capacité suffisante (humaines, processus et technologies), des capacités (processus sous-jacents), des compétences (aptitudes, connaissances et expérience) et de la volonté (l’engagement à toujours respecter les exigences de conformité), autant dire la maîtrise de l’auto évaluation

« Le partage des données et la collaboration intersectorielle sont essentiels pour comprendre le paysage des menaces qui ne cesse d’évoluer et faire progresser la sécurité mondiale des paiements. Comme le montre ce rapport, les entreprises continuent d’avoir des difficultés à maintenir de hauts niveaux de sécurité et à justifier de leur conformité dans la durée dans le contexte d’environnements à l’évolution rapide », déclare Troy Leach, Chief Technology Officer du PCI Security Standards Council. « Les entreprises devraient s’intéresser de près aux conclusions de ce rapport pour savoir comment préserver leur sécurité. La conformité ne devrait jamais être vue comme l’objectif final de la sécurité mais comme une mesure de la capacité d’une entreprise à toujours protéger efficacement ses données. »

Pour garder les entreprises sur les rails de la conformité, Verizon propose un calendrier des activités de conformité requises.


A propos de l’édition 2018 du rapport Verizon Payment Security Report

L’édition 2018 du PSR n’a pas vocation à convaincre les lecteurs de la nécessité de la conformité PCI, mais de souligner l’importance de mesurer la performance et l’efficacité des contrôles. L’édition 2018 du rapport porte sur l’analyse des audits PCI conduits par l’équipe des évaluateurs de sécurité qualifiés PCI (Qualified Security Assessors) de Verizon auprès de sociétés du classement Fortune 500 et de grandes multinationales d’une trentaine de pays.

A l’instar de la série Verizon Data Breach Investigations Report, le PSR 2018 s’appuie sur des cas réels en s’intéressant principalement aux services financiers (58%) ; services IT (15%), au commerce (13%) et au secteur de l’hébergement (11%). L’étude a été réalisée sur le continent américain (48%), dans la région asie-pacifique (30%) et en Europe (23%).

L’édition 2018 du rapport Verizon Payment Security Report peut être téléchargée ici.




Voir les articles précédents

    

Voir les articles suivants