Selon une étude d’Eurostat, le tourisme dans l’Union Européenne en 2022 a été proche des niveaux d’avant la crise, avec un recul de seulement 1 % pour la France comparé à 2019. Cet afflux de clients entraîne de nouveaux enjeux en matière de sécurité informatique, et notamment en ce qui concerne les données des touristes, alors que les attaques s’intensifient et gagnent en sophistication. Il devient ainsi essentiel que les secteurs de la distribution et de l’hôtellerie s’assurent de la pérennité et de la protection de leurs systèmes. Pour ce faire, le respect de la régulation établie par le Conseil des normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS 4.0) est crucial pour contrecarrer toute tentative cyber malveillante.
Les exigences PCI DSS ont été conçues suite à la sophistication des cyberattaques, pour aider les organisations à protéger les informations de leurs clients et à empêcher les vols et les fraudes liées aux paiements. Elles contiennent des lignes directrices quant aux contrôles de sécurité à mettre en place, afin de guider les entreprises dans la régulation et la surveillance des transactions en ligne. Parmi les outils de défense proposés, le conseil recommande le déploiement d’une authentification multifacteur (MFA).
La norme PCI DSS supervise également la conformité aux standards relatifs à la sécurisation des réseaux, à l’utilisation des mots de passe, à la sauvegarde des données et à l’enregistrement des activités. Sa quatrième version, publiée en mars 2022, comporte de nouvelles règles et mises à jour, certaines devenant obligatoires en 2025.
De nouvelles recommandations en matière d’authentification
La norme PCI DSS adresse notamment l’identification des utilisateurs. Plus particulièrement, elle exige désormais que la MFA comprenne au moins un facteur de vérification de l’identité pour les employés et les administrateurs, et au moins deux facteurs pour toute autorisation liée aux accès à des environnements communs de données (CDE, pour Common Data Environment).
Cette nouvelle prescription fait aussi explicitement référence à la recommandation de l’Alliance FIDO relative au déploiement d’une « MFA résistante au phishing ». Elle précise en effet que tous les processus d’authentification multifacteur reposant sur des secrets partagés sont vulnérables aux attaques par phishing ; y compris ceux couramment utilisés tels que les mots de passe ou les confirmations via SMS.
L’Alliance FIDO recommande alors une MFA forte lorsqu’un chiffrement asymétrique est employé, car elle devient alors plus difficile à contourner pour les cybercriminels. Ainsi, les organisations dans le secteur de la distribution et de l’hôtellerie doivent désormais fournir une authentification résistante au phishing pour tous les accès à l’environnement CDE, et considérer avec attention les méthodes déployées à destination des utilisateurs ou des administrateurs.
La création de politiques de sécurité complètes
Actuellement, ces nouveaux critères ne s’appliquent qu’aux comptes utilisateurs des terminaux de points de vente (TPV) ayant un accès à un seul numéro de carte à la fois, ce qui facilite les transactions. Toutefois, le moindre choix en matière de facteurs d’authentification, à tout niveau de privilèges des employés, détermine aussi la mise en conformité des organisations aux exigences qui seront requises en 2025. Plus précisément, les politiques et programmes de défense devront bientôt inclure des formations pour les employés, une supervision des contrôles de sécurité, ainsi qu’une analyse continue des risques de cybersécurité. De façon conjointe avec d’autres domaines de l’industrie des cartes de paiement (PCI), ces régulations viseront à renforcer et à compléter les stratégies de protection existantes, afin d’apporter une réponse à l’évolution constante des cyber-risques contemporains.
Parmi ces défis, la norme PCI DSS met en exergue plusieurs points : la sécurisation des identifiants, vulnérables aux menaces externes ; l’utilisation inadéquate des technologies ; ainsi que le renouvellement fréquent du personnel d’une organisation. En effet, plus l’authentification MFA choisie est faible, plus la mise en conformité et la protection des informations des clients sera fastidieuse. Les règles de cybersécurité devront ainsi être plus exhaustives, et inclure des méthodes pour reconnaître, signaler et documenter toute activité suspecte ou tout incident de sécurité, y compris les tentatives d’accès non autorisées. Il sera aussi essentiel de surveiller et d’analyser régulièrement les mécanismes de détection et de signalement des incidents, mais aussi de prendre les mesures nécessaires pour s’assurer que les incidents soient signalés aux équipes IT et à la direction.
La distribution et l’hôtellerie, des cibles de choix pour les cybercriminels
Les secteurs de la distribution et de l’hôtellerie figurent parmi les trois industries les plus souvent ciblées par les cybercriminels, et 75 % des compromissions de TPV (terminaux de points de vente) résultent d’attaques d’ingénierie sociale et par phishing. Alors que certains des utilisateurs sont vraisemblablement exemptés des exigences de la dernière version de la norme PCI DSS sur la MFA résistante au phishing, il est essentiel d’optimiser l’authentification des TPV et des appareils partagés afin que la connexion s’en retrouve sécurisée et facilitée.
Aussi, l’adoption de méthodes d’authentification classiques, qui peuvent être détournées plus facilement, s’accompagne d’un risque accru d’attaques réussies et d’un prix à payer élevé. Selon le dernier rapport d’IBM, le coût moyen d’une violation de données s’élève à 3,28 millions de dollars dans le domaine de la distribution, à 2,94 millions dans le domaine de l’hôtellerie. Ceci étant, les organisations doivent également tenir compte du fait que les formations, désormais obligatoires, à la sécurité, le contrôle et l’évaluation des risques sont onéreux. Aspirer à une authentification qui soit à la fois simple pour les utilisateurs de PTV, et qui offre une protection optimale, évitera en outre de faire perdre du temps à leurs clients, tout en préservant leurs données plus efficacement.
Alors que les secteurs de la distribution et de l’hôtellerie ont de nouveau un niveau d’activité soutenu, il devient essentiel qu’ils intègrent les nouvelles mesures prescrites par la norme PCI DSS en matière de protection des données. Celles-ci comprennent, d’une part, la mise en place d’un facteur d’authentification résistant au phishing, primordiale pour contrecarrer efficacement toute tentative cybercriminelle ; et d’autre part, le renforcement et la création de politiques de sécurité accrue, qui doivent figurer en tête de liste pour sensibiliser les équipes aux cyber-risques et documenter tout incident. L’application de ces recommandations leur permettra de défendre efficacement les données de leur clientèle et de protéger leurs systèmes.
____________________________
Par Fabrice de Vésian, Channel Manager chez Yubico