Neuf facteurs clés pour maintenir la conformité à la sécurité des paiements

Par Gabriel Schild, Directeur exécutif Transformation des affaires numériques chez Verizon

Les consommateurs et les fournisseurs font confiance aux marques pour sécuriser efficacement leurs données de paiement, mais les recherches montrent que la conformité avec la norme PCI DSS (Payment Card Industry Data Security Standard), la norme qui protège ces données est en baisse. Pour enrayer cette tendance à la baisse, les entreprises doivent réévaluer leurs méthodes de mesure pour l’efficacité du contrôle PCI et se concentrer sur la gestion de la durabilité de leur protection des données.

Pourquoi la conformité est-elle si importante ?

La norme PCI DSS (Payment Card Industry Data Security Standard) aide les entreprises qui offrent des moyens de paiement par carte à protéger leurs systèmes de paiement contre les violations et le vol des données des titulaires de carte. La conformité PCI DSS a été démontrée (par le biais de la série Verizon Data Bole Investigations Report) pour aider à protéger les systèmes de paiement contre les violations de données et le vol des données des titulaires de carte, mettant en évidence l’importance de la conformité.

Cependant, après avoir documenté les améliorations apportées à la conformité aux normes PCI DSS (Payment Card Industry Data Security Standard) au cours des six dernières années (2010 — 2016), le rapport de sécurité des paiements (PSR) 2018 de Verizon révèle maintenant une tendance à la baisse inquiétante, les entreprises ne procédant pas à des évaluations de conformité et, plus important encore, le maintien d’une conformité totale.

Les faits parlent d’eux-mêmes

Les données recueillies par nos évaluateurs de sécurité qualifiés PCI DSS en 2017 démontrent que la conformité PCI diminue parmi les entreprises mondiales, avec seulement 52,4 % des entreprises conservant leur pleine conformité en 2017, contre 55,4 % en 2016. Les différences régionales sont mises en évidence, démontrant que les entreprises de la région Asie-Pacifique sont plus susceptibles d’atteindre une conformité totale à 77,8 %, comparativement à celles basées en Europe (46,4 %) et dans les Amériques (39,7 %).

Souvent, ces différences peuvent être attribuées au calendrier des stratégies de mise en œuvre de la conformité géographique, à l’appréciation culturelle des récompenses ou à la maturité des systèmes informatiques. Par exemple, un projet PCI est démarré dans une région, puis déployé dans le monde entier. Cela signifie que les enseignements clés sont souvent faits et que les problèmes sont résolus avant que les évaluations de la conformité aient lieu dans d’autres régions.

Chaque secteur d’activité a ses propres défis en matière de conformité

Il n’y a pas deux secteurs d’activité identiques et cela vaut également pour ce qui est de la conformité à la sécurité des paiements.

En général, nos recherches ont permis de constater que les services de TI demeurent au sommet en matière de conformité, plus des trois quarts des organisations (77,8 %) ayant atteint leur plein statut. Les services de vente au détail (56,3 %) et les services financiers (47,9 %) étaient nettement en avance sur les organisations d’accueil (38,5 %), qui ont démontré la plus faible durabilité en matière de conformité. Comme nous le voyons maintenant les entreprises et tirer parti des efforts de conformité PCI DSS pour répondre aux exigences de sécurité des réglementations en matière de protection des données, telles que le règlement européen sur la protection des données (RGPR), cet écart entre les différents secteurs d’activité qui traitent des paiements électroniques sur une base quotidienne est importante.

Il est important de se rappeler qu’une seule taille ne convient pas à toutes les stratégies de conformité, étant donné que différentes industries présentent des risques différents inhérents à leurs activités spécifiques. Par exemple, alors que les entreprises doivent se conformer à l’ensemble de la norme pour être certifiées PCI DSS, les magasins de détail doivent se concentrer spécifiquement sur la sécurité de leurs « terminaux de paiement » (PCI DSS chapitre 9 et chapitre 2) ; le commerce électronique est totalement différent et devrait se concentrer sur toutes les analyses internes et externes liés au « serveur Web » (PCI DSS chapitre 11), sans oublier le durcissement (PCI DSS chapitre 2) et la « gestion des clés pour les bases de données » (PCI DSS chapitre 3) et enfin les services financiers doivent être bons dans tous les aspects de la norme. Nos experts voient souvent ce secteur d’activité le plus difficile avec le chapitre 6 « Développer et maintenir des systèmes sécurisés » et le chapitre 2 « Ne pas utiliser les défauts fournis par le fournisseur ».

L’ efficacité des contrôles et la durabilité sont essentielles

Au fil des ans, nous avons constaté que le maintien de la conformité est souvent un problème : les chefs de projet PCI Compliance spécialisés peuvent quitter le milieu du projet et la connaissance du statut de conformité d’une entreprise leur laisse leur place. De plus, nous voyons de nombreuses entreprises se défaire sans structure claire pour maintenir la conformité. Ou bien, nous voyons des professionnels non qualifiés chargés de maintenir la conformité avec la norme PCI, mais ils n’ont pas les connaissances de base nécessaires pour atteindre cet objectif.

Nous avons donc conçu neuf facteurs d’efficacité et de durabilité des contrôles pour répondre aux 12 exigences clés de la norme PCI DSS :

  • Facteur 1 : Environnement de contrôle : La durabilité et l’efficacité des 12 exigences clés dépendent d’unenvironnement de contrôle sain.
  • Facteur 2 : Conception de contrôle : Une bonne opération de contrôle pour atteindre les objectifs de contrôle de sécurité du SSD dépend d’uneconception de contrôle solide.
  • Facteur 3 : Risque de contrôle : Sans maintenance continue (tests de sécurité, gestion des risques, etc.), les contrôles peuvent se dégrader au fil du temps et éventuellement tomber en panne. L’atténuation des défaillances des contrôles exige une gestion intégrée du risque de contrôle.
  • Facteur 4 : Robuste du contrôle : les contrôles fonctionnent dans des environnements commerciaux dynamiques et des menaces en constante évolution. Ils doivent être robustes pour résister aux changements indésirables afin de rester fonctionnels et conformes aux spécifications (configuration des normes, contrôle d’accès, durcissement du système, etc.).
  • Facteur 5 : Résilience de contrôle : Les contrôles de sécurité peuvent  : ajouter des couches de contrôle pour une robustesse accrue, par conséquent, contrôler la résilience grâce à une découverte proactive et à une récupération rapide après une défaillance est essentielle pour l’efficacité et la durabilité.
  • Facteur 6 : Contrôle de la gestion du cycle de vie : Pour atteindre tous les points ci-dessus, il est nécessaire de surveiller et de gérer activement les contrôles de sécurité tout au long de chaque étape de leurcycle de vie , de la création à la retraite.
  • Facteur 7 : Gestion du rendement : L’établissement et la communication denormes de rendement pour mesurer les performances réelles de l’environnement de contrôle améliorent l’efficacité du contrôle et favorisent des résultats prévisibles de vos activités de protection des données et de conformité, pour l’identification et la correction précoces des écarts de performance.
  • Facteur 8 : Mesure de la maturité : Un environnement de contrôle ne devrait jamais stagner — il doit s’améliorer continuellement. Pour ce faire, les entreprises ont besoin d’une feuille de route, d’un niveau cible de processus et de maturité des capacités pour suivre le degré de formalité et d’optimisation des processus afin d’indiquer à quel point les processus en développement doivent être complets et capables d’être continuellement améliorés.
  • Facteur 9 : Auto-évaluation : Pour atteindre tous les éléments susmentionnés, il faut une compétence interne — capacité des ressources (personnes, processus et technologie), capacité (processus de soutien), compétence (compétences, connaissances et expérience) et engagement (la volonté de respecter constamment la conformité exigences) — en bref : compétence en auto-évaluation

Passer la validation de la conformité PCI ne signifie pas que les systèmes sont « sécurisés », mais simplement qu’il n’y avait aucune preuve de non-conformité au cours de la période d’évaluation, qui ne dure généralement qu’une semaine ou deux. Au revers, les systèmes de sécurité sont souvent testés tous les jours. Le maintien de la conformité avec la norme PCI DSS n’est pas un projet, une activité ponctuelle, mais un programme continu. Un programme qui doit s’adapter à l’évolution des besoins des entreprises et des nouvelles technologies susceptibles d’être introduites dans l’environnement des entreprises.

La clé de l’efficacité des processus de conformité est le besoin d’être poussé par le haut. Souvent, cela est entravé par le simple fait que les progrès ou les défis généraux ne sont pas clairement communiqués ou compris par les cadres supérieurs. En structurant le processus de conformité et les conversations sur nos neuf facteurs d’efficacité et de durabilité des contrôles, les dirigeants peuvent obtenir une meilleure compréhension du processus impliqué et un dialogue plus clair peut être ouvert pour éviter les obstacles inutiles.

Gaston Alexandre

En tant que travailleur indépendant, j’ai décidé de me lancer dans la rédaction d’articles basée sur le buzz international. Je traite ainsi différents sujets, et particulièrement ceux qui ont suscité un énorme engouement dans la société mondiale. J’écris ainsi des articles concernant les thématiques à fort caractère, c’est-à-dire qui créent un véritable impact émotionnel chez le lecteur. Le nombre d’articles que j’écris est variable au quotidien. L’objectif étant de fournir le maximum d’informations pertinentes du jour, vous pouvez alors découvrir de nombreuses publications d’une douzaine de lignes par article.
Bouton retour en haut de la page