À l’échelle mondiale, seule une entreprise sur trois répond aux exigences.
Lorsque les entreprises subissent une attaque, celle-ci cible souvent les informations personnelles et financières des clients issues des données des cartes de paiement. La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a été conçue pour protéger les données de paiement à partir du point d’achat. De manière surprenante, Verizon a observé une chute de la conformité à cette norme au cours des dernières années.
Le rapport sur la sécurité des paiements 2019 de Verizon approfondit cette analyse afin de déterminer la cause de ce phénomène.
À l’approche du lancement de la nouvelle version 4.0 de la norme PCI DSS, il explique surtout comment les entreprises peuvent inverser cette tendance en réévaluant leur manière de déployer et structurer leurs programmes de conformité.
Suite au lancement initial de la norme PCI DSS par Visa Inc. en 2004, beaucoup ont supposé que les entreprises parviendraient à atteindre une conformité efficace et durable dans les cinq ans. Aujourd’hui, 15 ans plus tard, le nombre de sociétés parvenant à une conformité durable a chuté de 52,5 % (PSR 2018) à son niveau le plus bas, à peine 36,7 % à l’échelle internationale. Sur le plan géographique, les entreprises de la région APAC (Asie-Pacifique) démontrent une capacité à maintenir leur statut de conformité complète (69,6 %), contre 48 % dans la région EMEA (Europe, Moyen-Orient et Afrique) et à peine 20,4 % (une sur cinq) en Amérique.
Les domaines d’activités à la loupe
L’examen des principaux secteurs d’activité nous permet d’observer la diversité de leur cote de conformité, mais également ce qui leur manque pour parvenir à une conformité complète ainsi que les mesures correctives à adopter par chaque secteur pour améliorer ses performances.
Commerce – Il y a quatre ans, les données des distributeurs étaient le plus souvent compromises au niveau du point de vente. Depuis lors, le lancement aux États-Unis de la technologie EMV (Europay, Mastercard et Visa) semble avoir réduit la proposition de valeur des fraudes aux cartes de paiement, et notre étude a établi que les piratages de données surviennent principalement via les applications Web. Les failles de sécurité n’ont cependant pas été entièrement éradiquées. Les commerçants doivent demeurer vigilants quant à la protection des données des cartes. Leur cote de conformité de 26,3 % est similaire à celle des services informatiques. Parmi leurs lacunes relatives aux exigences de la norme PCI DSS, on compte l’utilisation d’un trop grand nombre de paramètres par défaut des composants du périmètre (exigence 2) et surtout la non-conformité de leur gestion de la sécurité adéquate (exigence 12). Ce phénomène se traduit également par la note la plus faible des secteurs d’activité étudiés obtenue en matière de niveau de préparation aux incidents de piratage de données. En effet, le secteur du commerce peine à identifier les utilisateurs et garantir qu’ils disposent du niveau de privilèges adéquat, faire preuve d’une diligence raisonnable lors des relations avec les prestataires de services, détecter les points d’accès sans fil non autorisés, et gérer un plan de réponse aux incidents.
Secteur hôtelier – Le secteur hôtelier obtient à nouveau la note la plus faible quant au chiffrement des données en transit (exigence 4 de la norme PCI DSS), mais est le seul de l’étude à améliorer ses résultats dans cette catégorie par rapport à l’année précédente. Le secteur hôtelier est également parvenu à mieux se protéger contre les logiciels malveillants (exigence 5). Il présente les progrès les plus notables parmi tous les secteurs d’activité quant à cette exigence en obtenant une conformité de 84,2 %. Le secteur hôtelier est le seul secteur analysé par le PSR 2019 à avoir amélioré ses capacités de contrôle des accès physiques (exigence 9) par rapport à l’année précédente en parvenant à une cote de conformité de 63,2 %. Bien que ce secteur accuse un retard quant à la protection des données des titulaires de cartes stockées (exigence 3), il doit surmonter des difficultés uniques, notamment l’absence de solutions matures conçues pour ce type d’environnement. Les points faibles de l’hôtellerie sont l’identification et l’authentification des utilisateurs, la révision et le test du plan de réponse aux incidents, ainsi que la formation aux responsabilités en cas de piratage.
Finance – Le secteur des services financiers évolue dans un contexte de mutation rapide. Les clients exigent de nouvelles méthodes pour communiquer et effectuer des transactions personnalisées, en particulier via les périphériques mobiles. En parallèle, l’industrie continue d’observer des acteurs issus d’autres secteurs proposer des produits financiers. Au sein de cet environnement très compétitif et régulé, la capacité de protection des données des cartes de paiement fait toute la différence. Les clients s’attendent fortement à ce que les prestataires de services financiers comprennent mieux les besoins de sécurité des paiements que les autres catégories d’entreprises.Les données du PSR suggèrent que le secteur des services financiers se classe en tête quant à la conformité aux exigences de la norme PCI DSS, mais qu’il peut progresser dans le domaine du chiffrement des données en transit (exigence 4) et de la protection contre les logiciels malveillants (exigence 5).
Le nouveau cadre Verizon aide les entreprises à orienter leur conformité de sécurité de paiement
De nombreuses entreprises dédient beaucoup de temps et d’argent à créer des programmes de conformité de protection des données qui se révèlent souvent inefficaces : bien que valables sur le papier, ils ne résistent pas à la rigueur d’une évaluation de sécurité professionnelle. J’observe de nombreux directeurs informatiques s’efforcer de préserver les activités de contrôle de référence au lieu d’évaluer la compétence et la maturité de la protection des données. Il leur est essentiel de disposer d’un guide de navigation clair et aisément compréhensible leur permettant d’obtenir des résultats mesurables et prévisibles.
La protection des données et la conformité entraînent des difficultés quotidiennes. De nombreuses sociétés estiment qu’elles peuvent employer un script générique pour protéger leurs données de manière efficace et durable. Cependant, dans la pratique, la sécurité est plus complexe.
Lors des précédents rapports sur la sécurité des paiements, nous avons élaboré une méthodologie visant à aider les entreprises à gérer leurs programmes de conformité de protection des données (DPCP). Ceux-ci ont désormais été fusionnés pour former le cadre de performances des programmes de conformité Verizon 9-5-4, une directive dont le but est de développer et d’améliorer la maturité des capacités et des processus.
Le cadre 9-5-4 a été conçu pour aider les sociétés à obtenir des résultats reproductibles, homogènes et prévisibles en proposant des conseils leur permettant de cartographier, surveiller et signaler le degré de durabilité et d’efficacité des neuf facteurs d’efficacité et de durabilité de contrôle, à savoir l’environnement de contrôle, la conception de contrôle, le risque de contrôle, la résilience de contrôle, la gestion du cycle de vie de contrôle, la gestion des performances, la mesure de maturité et l’auto-évaluation. Cette méthode s’applique aux quatre domaines d’assurance essentiels : responsabilité individuelle, gestion des risques et équipes de conformité, audit interne, audit externe et régulateurs. Pour ce faire, on évalue les cinq contraintes des compétences opérationnelles : capacité, aptitude, compétence, engagement et communication.
Les conclusions du rapport de cette année font clairement ressortir le fait que de nombreuses entreprises ont encore du chemin à faire pour devenir entièrement conformes, mais qu’elles peuvent y parvenir à l’aide d’outils adéquats et en concentrant leurs efforts sur les points à améliorer. La conformité de la sécurité des paiements est cruciale. Les données du centre VTRAC (Verizon Threat Research Advisory Center) démontrent en outre qu’en l’absence de contrôles adéquats de protection des données, un programme de conformité a plus de 95 % de chances de se révéler transitoire et de devenir potentiellement la cible d’une cyberattaque.
L’étroite corrélation entre l’absence de conformité à la norme PCI DSS et les piratages informatiques fait l’objet de discussions depuis des années. Il n’existe aucun cas documenté publiquement d’une entreprise conforme à la norme PCI DSS ayant subi un piratage de données de cartes de paiement confirmé. La conformité fonctionne !
___________________
Par Gabriel Leperlier, Senior Manager Security Consulting EMEA chez Verizon Enterprise Solutions