Face à la hausse de la cybercriminalité, la sécurité des cartes de paiement est une question centrale pour les entreprises comme pour les consommateurs. Le standard PCI DSS (Payment Card Industry Data Security Standard) vise à aider les entreprises qui acceptent les paiements par carte à protéger leurs systèmes des risques de compromission ou de vol des données de titulaires de cartes. Malheureusement les entreprises sont encore trop nombreuses à ne pas prendre la conformité à long terme suffisamment au sérieux. Beaucoup se retrouvent en défaut de conformité dès l’année suivant un audit aux conclusions positives.

C’est d’autant plus préoccupant que les conclusions du rapport Verizon 2017 Payment Security Report (2017 PSR) font état du lien entre la conformité à ce standard et la capacité à se défendre contre les cyberattaques. De tous les cas de compromissions de données de cartes bancaires sur lesquels Verizon a enquêté, il ressort qu’aucune entreprise n’était 100% conforme au moment de la compromission. Aucune entreprise ne respecte plus de dix des grandes préconisations PCI DSS sur les 12 proposées par le standard.

L’impact d’une compromission de données peut être très important en termes de perte financière et de recul des ventes. Il peut également se ressentir en termes de réputation et de fidélité des clients à la marque. Les sanctions vont bientôt s’aggraver en vertu du nouveau règlement général sur la protection des données GDPR (General Data Protection Regulation) pour toutes les entreprises qui opèrent dans l’UE et qui n’auront pas pris des précautions adaptées. Malgré les dangers, l’étude montre que si la conformité PCI DSS s’améliore, y compris pour les entreprises qui obtiennent la validation, près de la moitié se retrouvent non conformes en moins d’un an, parfois beaucoup plus vite.

Les faits

Globalement, la conformité PCI des grands groupes mondiaux s’est améliorée, avec 55,4% des entreprises évaluées qui ont réussi leur évaluation intermédiaire en 2016. En 2015, c’était le cas de 48,4% des entreprises.

Car les entreprises ne doivent pas seulement se mettre en totale conformité avec les normes PCI DSS, elles doivent maintenir leur conformité dans le temps. Ceci suppose de mettre en place l’ensemble des mesures applicables de contrôle de la sécurité. Même si les chiffres sont à la hausse, force est de constater que plus de 40% des entreprises mondiales de toute taille que nous avons évaluées sont en défaut de conformité aux standards PCI DSS. Près de la moitié de celles qui obtiennent la validation (44,6%) se retrouvent non conformes en moins d’un an, parfois beaucoup plus vite.

Ne négligez pas les contrôles

Concernant les contrôles de conformité PCI que les entreprises devraient avoir mis en place (comme les tests de sécurité, les tests d’intrusion, etc.), le rapport révèle un écart croissant entre les préconisations et la réalité, avec de nombreux contrôles élémentaires absents.

L’efficacité des contrôles dépend de l’observation de procédures permettant de comprendre le niveau d’exposition aux risques, de la mise en place de contrôles d’évaluation des risques et de la satisfaction des objectifs de protection des données des titulaires des cartes. Ceci passe par des processus efficaces, une protection fiable des données et la stricte conformité aux règles, réglementations et lois applicables.

En 2015, les entreprises qui manquaient leur évaluation intermédiaire totalisaient en moyenne 12,4% de points de contrôles absents, 13% en 2016.

La difficulté de maintien de la conformité dans la durée

De nombreuses entreprises considèrent les contrôles PCI DSS isolément au lieu de prendre en compte le lien entre eux. Le concept de gestion du cycle de vie des contrôles est largement ignoré. Ceci s’explique souvent par la pénurie de professionnels spécialisés en interne. Souvent, on a mis en place un projet et effectivement atteint la mise en conformité mais il suffit que le personnel spécialiste de PCI quitte l’entreprise pour que le niveau de conformité décline et qu’il faille reprendre le programme depuis le début. Il arrive également que l’on confie le maintien de la conformité PCI à des professionnels non spécialistes qui n’ont pas les connaissances élémentaires pour y parvenir.

L’expérience nous a appris qu’il est possible d’améliorer nettement la maîtrise en interne avec l’aide d’experts externes sollicités sur tout le cycle de vie, ainsi qu’en formant et sensibilisant les salariés.

Les objectifs de sécurité ne peuvent être atteints que par le biais de contrôles bien conçus et surveillés en permanence pour vérifier qu’ils fonctionnent correctement et pouvoir les adapter en conséquence. Les entreprises qui réussissent le mieux utilisent des systèmes de contrôle intelligents capables de mesurer et gérer l’efficacité des contrôles en place. Et elles continuent d’appliquer de nouveaux contrôles (au-delà de PCI DSS) pour se doter d’un environnement durable et résilient, capable de s’adapter aux risques à venir.

Ce n’est pas simple de maintenir la performance des contrôles de sécurité. Au gré de l’évolution d’une entreprise, les contrôles de sécurité sont facilement dépassés et peuvent rapidement devenir inutiles. Alors comment établir des contrôles de sécurité à l’épreuve du temps ? Voici quelques recommandations :

  1. Axer les efforts de conformité sur la pérennité et la résilience : les entreprises qui se concentrent sur l’efficacité à long terme de leurs contrôles de sécurité ont une longueur d’avance sur celles qui visent exclusivement la conformité aux réglementations comme PCI DSS, HIPAA (Health Insurance Portability and Accountability Act) datant de 1996 et d’autres.
  2. Intégrer les contrôles de sécurité aux procédures quotidiennes : les contrôles qui mobilisent trop de ressources ou coûtent trop cher ne seront pas appliqués longtemps.
  3. Rester flexible : les entreprises changent, tout comme les menaces qui les visent. Il faut donc réexaminer régulièrement l’efficacité des contrôles et les adapter aux nouvelles priorités et obligations.
  4. Assurer la prise en main de tous au départ : consacrez un chapitre dédié à la conformité dans le processus d’accueil et d’intégration des salariés et vérifiez que chacun comprenne ce qu’on attend de lui.
  5. Vérifier les règles relatives aux mots de passe : instaurez un processus officiel de gestion des mots de passe pour garantir la robustesse des identifiants utilisés dans l’entreprise. Toujours dans ce sens, installez un système capable de vérifier régulièrement les mots de passe utilisés.

Importance de la relation entre la conformité PCI DSS et au règlement GDPR

Une entreprise qui peine à se maintenir en conformité avec PCI DSS risque d’avoir du mal à observer strictement les préconisations du GDPR. On sait d’ores et déjà que les sanctions maximales en cas de défaut de conformité au règlement GDPR sont de 20 millions d’euros ou 4% du CA mondial selon lequel est le plus élevé.

Le standard PCI DSS et le GDPR préconisent tous deux des moyens d’améliorer la protection et la sécurité des données des clients, mais avec des approches différentes. Le périmètre couvert par le GDPR est bien plus large que celui de PCI DSS, prenant en compte bien plus de types de données et définissant en plus les droits de l’individu, comme le droit à l’oubli numérique, autorisant les individus à demander que leurs données personnelles soient supprimées. Cependant il n’est pas dit clairement comment ces entreprises doivent s’y prendre pour se mettre en conformité.

C’est là que le standard prescriptif PCI DSS peut être utile. Certes il ne s’applique qu’aux données des cartes de paiement, mais les principes sur lesquels le standard est fondé peuvent largement être déclinés pour s’appliquer à d’autres types de données. En 13 ans, le standard PCI DSS a beaucoup évolué et propose des préconisations détaillées quant aux contrôles de sécurité que les entreprises devraient mettre en place, mais aussi sur les conditions de leur pérennité.

Selon l’Information Commissioner’s Office : « En vertu du règlement GDPR, vous avez l’obligation générale d’établir des mesures techniques et organisationnelles qui démontrent que vous avez étudié l’adoption de mécanismes de protection des données et que vous les avez intégrés à vos activités de traitement des données » 

Les entreprises qui appliquent des programmes efficaces de conformité PCI DSS vont déjà s’assurer que les principes de sécurité fondamentaux encadrent bien la protection de leurs données de paiement. A savoir :

  • Ne conserver que les données strictement nécessaires et pas plus longtemps que nécessaire.
  • N’autoriser l’accès qu’aux données que l’on a besoin de connaître.
  • Tester les systèmes de sécurité à la recherche de vulnérabilités.
  • Maintenir les règles de sécurité et les communiquer dans l’entreprise.

Les préconisations détaillées du Conseil de sécurité PCI pour faciliter le respect de ces obligations pourraient être utiles aux entreprises qui souhaitent se mettre en conformité avec le règlement GDPR concernant leurs données de paiement. Ce peut être utile également pour guider le développement de contrôles et de processus pour d’autres formes de données personnelles.

L’éternel débat entre conformité et sécurité

Le Payment Security Report n’a pas vocation à convaincre les lecteurs de la nécessité de la conformité PCI, mais de rendre compte des mesures de conformité PCI et des moyens de les maintenir dans le temps.

La validation de conformité PCI ne signifie pas que les systèmes sont « sécurisés », mais simplement qu’aucune preuve de non-conformité n’a été découverte lors de la période d’évaluation, généralement d’une ou de deux semaines. Par contre, les systèmes de sécurité sont souvent testés tous les jours. Le maintien de la conformité au Standard PCI DSS n’a rien d’une activité ponctuelle, c’est au contraire un programme continu. Un programme qui doit s’adapter aux besoins changeants des entreprises et aux nouvelles technologies qui sont déployées dans l’environnement. C’est aussi un programme auquel la direction doit souscrire et que chacun doit comprendre et s’engager à respecter.

__________
Gabriel Leperlier est Head of Continental Europe Advisory Services GRC/PCI – Verizon