Principaux enseignements du Verizon Payment Security Report (PSR) 2018 :
- Le taux de conformité totale au standard PCI DSS (Payment Card Industry Data Security Standard) recule pour la première fois en six ans avec 52,5% des entreprises conformes contre 55,4% en 2016.
- Les entreprises sont donc plus vulnérables au cybercrime et au standard. PCI DSS a prouvé qu’elle aide à protéger les systèmes de paiement des cas de compromission et de vol des données de titulaires de cartes.
- Le rapport souligne la nécessité vitale de mesures et d’un maintien actif de la conformité.
- Verizon recommande neuf facteurs de vérification de l’efficacité des contrôles de conformité dans la durée.
Après avoir constaté pendant six années consécutives (2010 – 2016) une améliorations de la conformité au standard Payment Card Industry Data Security Standard (PCI DSS), l’édition 2018 du Verizon’s 2018 Payment Security Report (PSR) enregistre une baisse préoccupante due aussi bien à des entreprises qui échouent aux évaluations de confirmation de conformité qu’a des entreprises qui négligent de se maintenir en totale conformité.
Le standard PCI DSS (Payment Card Industry Data Security Standard) vise à aider les entreprises qui acceptent les paiements par carte à protéger leurs systèmes des risques de compromission ou de vol des données des titulaires des cartes. Il a été démontré que la conformité au standard PCI DSS (au travers de l’ensemble de rapports Verizon Data Breach Investigations Report) protégeait effectivement les systèmes de paiement des compromissions et des vols de données des titulaires de cartes. Cette tendance à la baisse soulève donc un problème.
Les données recueillies en 2017 par les contrôleurs qualifiés PCI DSS de Verizon (QSA) démontrent que la conformité PCI recule au sein des entreprises mondiales, avec 52,4% seulement des entreprises qui se maintiennent en conformité en 2017 contre 55,4% en 2016. Des différences régionales notables montrent que les entreprises de la région Asie-Pacifique sont plus volontiers en totale conformité à 77,8% que celles basées en Europe (46,4%) ou sur le continent américain (39,7%). Ces différences peuvent tenir au calendrier de déploiement des stratégies de conformité, à l’appréciation culturelle des prix/reconnaissances ou à la maturité des systèmes IT.
Par secteur d’activité, les services IT demeurent les plus conformes avec plus de trois-quarts des entreprises (77,8%) totalement conformes. Le commerce de détail (56,3%) et les services financiers (47,9%) sont largement devant les services d’hébergement (38,5%), le secteur le moins fréquemment conforme. Sachant que les entreprises inscrivent souvent les efforts de mise en conformité PCI DSS dans une démarche de sécurité plus large en vertu des règlements de protection des données, comme le Règlement Général Européen de Protection des Données (RGPD), cet écart entre les secteurs d’activité amenés à traiter des paiements électroniques au quotidien est significatif.
« Les standards de conformité PCI des entreprises mondiales sont en train de glisser et ce n’est pas une tendance qui peut s’inscrire durablement », commente Rodolphe Simonetti, directeur général de la division mondiale de conseil en sécurité, chez Verizon. « Les consommateurs et les fournisseurs font confiance aux banques pour la sécurité de leurs données de paiement. Il est important de remédier à cette situation. Nous encourageons vivement les entreprises à réévaluer leurs méthodologies de mesure de l’efficacité des contrôles PCI et à se concentrer sur la longévité de leurs mesures de protection des données. »
Efficacité des contrôles et conformité dans la durée sont essentiels
Rodolphe Simonetti poursuit : « Verizon est à l’avant-garde de la sécurité des données des titulaires de cartes depuis 2003 et collabore étroitement avec la communauté PCI à faire progresser la conformité PCI DSS. En mettant à profit notre expertise et nos travaux sur le terrain, nous avons développé une liste de neuf facteurs qui aident les entreprises à se maintenir en conformité dans la durée. Notre objectif est de fournir une structure claire et une méthodologie pour aider le personnel chargé de la mise en conformité, mais aussi de les former à ouvrir le dialogue au sujet de la conformité avec leurs dirigeants, en rendant la narration plus facile à comprendre. Pour que les processus de conformité soient efficaces, ils doivent émaner de la hiérarchie, mais souvent la progression ou les enjeux ne sont pas clairement communiqués aux dirigeants ou ceux-ci les comprennent mal. »
Les neuf facteurs suivants d’efficacité des contrôles et de conformité dans la durée recommandée par Verizon incluent les 12 préconisations de la norme PCI DSS :
- Facteur 1 : Environnement de contrôle : l’efficacité des 12 préconisations et leur maintien dans la durée dépendent d’un environnement de contrôle sain.
- Facteur 2 : Conception des contrôles : le bon fonctionnement des contrôles pour tenir les objectifs de contrôle de la sécurité DSS dépend d’une bonne conception des contrôles.
- Facteur 3 : Risques liés aux contrôles : sans maintenance suivie (tests de sécurité, gestion des risques, etc.), les contrôles peuvent se dégrader avec le temps et même se rompre. Pour atténuer les défaillances des contrôles, il faut prévoir une gestion intégrée des Risques liés aux contrôles.
- Facteur 4 : Robustesse des contrôles : les contrôles s’effectuent dans des environnements professionnels dynamiques soumis à des menaces changeantes. Ils doivent être suffisamment robustes pour résister à des changements imprévus et pour rester fonctionnels et conformes aux spécifications (configuration des standards, contrôle d’accès, renforcement système, etc.).
- Facteur 5 : Résilience des contrôles : les contrôles de sécurité peuvent toujours échouer, même si l’on ajoute des couches de contrôle pour accroître la robustesse, si bien qu’il faut prévoir une certaine résilience des contrôles avec découverte proactive et reprise rapide en cas d’échec pour garantir l’efficacité et la conformité dans la durée.
- Facteur 6 : Gestion du cycle de vie des contrôles : Pour réussir tout ce qui précède, il est nécessaire de surveiller et gérer activement les contrôles de sécurité à chaque étape de leur cycle de vie, de la mise en place d’origine au retrait.
- Facteur 7 : Gestion de la performance : l’établissement et la communication de standards de performance pour mesurer la performance réelle de l’environnement de contrôle améliorent l’efficacité des contrôles et favorisent les résultats prévisibles de vos activités de protection des données et de conformité, facilitant l’identification précoce et la correction des écarts de performance.
- Facteur 8 : Evaluation de la maturité : un environnement de contrôle ne devrait jamais être laissé stagnant : il faut l’améliorer en continu. Pour ce faire, les entreprises ont besoin d’une feuille de route, un objectif de maturité des processus et des fonctionnalités pour surveiller le degré de validité et l’optimisation des processus comme indication de la marge avant que les processus en cours de développement soient complets et capables de s’améliorer en continu.
- Facteur 9 : Auto évaluation : pour réussir tout ce qui précède, il faut une maîtrise suffisante en interne, des ressources en capacité suffisante (humaines, processus et technologies), des capacités (processus sous-jacents), des compétences (aptitudes, connaissances et expérience) et de la volonté (l’engagement à toujours respecter les exigences de conformité), autant dire la maîtrise de l’auto évaluation
« Le partage des données et la collaboration intersectorielle sont essentiels pour comprendre le paysage des menaces qui ne cesse d’évoluer et faire progresser la sécurité mondiale des paiements. Comme le montre ce rapport, les entreprises continuent d’avoir des difficultés à maintenir de hauts niveaux de sécurité et à justifier de leur conformité dans la durée dans le contexte d’environnements à l’évolution rapide », déclare Troy Leach, Chief Technology Officer du PCI Security Standards Council. « Les entreprises devraient s’intéresser de près aux conclusions de ce rapport pour savoir comment préserver leur sécurité. La conformité ne devrait jamais être vue comme l’objectif final de la sécurité mais comme une mesure de la capacité d’une entreprise à toujours protéger efficacement ses données. »
Pour garder les entreprises sur les rails de la conformité, Verizon propose un calendrier des activités de conformité requises.
A propos de l’édition 2018 du rapport Verizon Payment Security Report
L’édition 2018 du PSR n’a pas vocation à convaincre les lecteurs de la nécessité de la conformité PCI, mais de souligner l’importance de mesurer la performance et l’efficacité des contrôles. L’édition 2018 du rapport porte sur l’analyse des audits PCI conduits par l’équipe des évaluateurs de sécurité qualifiés PCI (Qualified Security Assessors) de Verizon auprès de sociétés du classement Fortune 500 et de grandes multinationales d’une trentaine de pays.
A l’instar de la série Verizon Data Breach Investigations Report, le PSR 2018 s’appuie sur des cas réels en s’intéressant principalement aux services financiers (58%) ; services IT (15%), au commerce (13%) et au secteur de l’hébergement (11%). L’étude a été réalisée sur le continent américain (48%), dans la région asie-pacifique (30%) et en Europe (23%).
L’édition 2018 du rapport Verizon Payment Security Report peut être téléchargée ici :
verizonenterprise.com/verizon-insights-lab/payment-security/2017/
À propos des Services de sécurité Verizon pour les professionnels
Verizon est une structure de conseil en sécurité hautement respecté et une voix de confiance dans la communauté de la sécurité PCI, ayant réalisé plus de 16 000 évaluations de sécurité, depuis 2009, pour des entreprises du Fortune 500 et de grandes sociétés multinationales. Verizon gère plus de 4 000 réseaux clients dans le monde et exploite l'un des plus grands réseaux IP mondiaux, ce qui lui confère une perspective unique sur les opérations de sécurité. Verizon offre une variété de programmes de consultation et d'évaluation liés à la sécurité et à la conformité des paiements (PCI-DSS, PA-DSS, P2PE, EI3PA, PIN et ECB), à la sécurité et à la conformité des soins de santé (HIPAA, ONC Health IT, ConCert by HIMSS), ainsi que des tests et certifications de sécurité du matériel, logiciels, solutions et IdO (via Verizon ICSA Labs) et des tests de menaces et vulnérabilité.
A propos de Verizon
Verizon Communications Inc. (NYSE, Nasdaq : VZ), dont le siège social est situé à New York, a généré un chiffre d'affaires de 126 milliards de dollars en 2017. La société exploite le réseau sans fil le plus fiable des Etats-Unis et le premier réseau entièrement en fibre optique du pays, et fournit des solutions intégrées aux entreprises du monde entier. Sa filiale Oath touche environ un milliard de personnes dans le monde entier via ses marques de médias et de technologie.
verizon.com
- Le taux de conformité totale au standard PCI DSS (Payment Card Industry Data Security Standard) recule pour la première fois en six ans avec 52,5% des entreprises conformes contre 55,4% en 2016.
- Les entreprises sont donc plus vulnérables au cybercrime et au standard. PCI DSS a prouvé qu’elle aide à protéger les systèmes de paiement des cas de compromission et de vol des données de titulaires de cartes.
- Le rapport souligne la nécessité vitale de mesures et d’un maintien actif de la conformité.
- Verizon recommande neuf facteurs de vérification de l’efficacité des contrôles de conformité dans la durée.
Après avoir constaté pendant six années consécutives (2010 – 2016) une améliorations de la conformité au standard Payment Card Industry Data Security Standard (PCI DSS), l’édition 2018 du Verizon’s 2018 Payment Security Report (PSR) enregistre une baisse préoccupante due aussi bien à des entreprises qui échouent aux évaluations de confirmation de conformité qu’a des entreprises qui négligent de se maintenir en totale conformité.
Le standard PCI DSS (Payment Card Industry Data Security Standard) vise à aider les entreprises qui acceptent les paiements par carte à protéger leurs systèmes des risques de compromission ou de vol des données des titulaires des cartes. Il a été démontré que la conformité au standard PCI DSS (au travers de l’ensemble de rapports Verizon Data Breach Investigations Report) protégeait effectivement les systèmes de paiement des compromissions et des vols de données des titulaires de cartes. Cette tendance à la baisse soulève donc un problème.
Les données recueillies en 2017 par les contrôleurs qualifiés PCI DSS de Verizon (QSA) démontrent que la conformité PCI recule au sein des entreprises mondiales, avec 52,4% seulement des entreprises qui se maintiennent en conformité en 2017 contre 55,4% en 2016. Des différences régionales notables montrent que les entreprises de la région Asie-Pacifique sont plus volontiers en totale conformité à 77,8% que celles basées en Europe (46,4%) ou sur le continent américain (39,7%). Ces différences peuvent tenir au calendrier de déploiement des stratégies de conformité, à l’appréciation culturelle des prix/reconnaissances ou à la maturité des systèmes IT.
Par secteur d’activité, les services IT demeurent les plus conformes avec plus de trois-quarts des entreprises (77,8%) totalement conformes. Le commerce de détail (56,3%) et les services financiers (47,9%) sont largement devant les services d’hébergement (38,5%), le secteur le moins fréquemment conforme. Sachant que les entreprises inscrivent souvent les efforts de mise en conformité PCI DSS dans une démarche de sécurité plus large en vertu des règlements de protection des données, comme le Règlement Général Européen de Protection des Données (RGPD), cet écart entre les secteurs d’activité amenés à traiter des paiements électroniques au quotidien est significatif.
« Les standards de conformité PCI des entreprises mondiales sont en train de glisser et ce n’est pas une tendance qui peut s’inscrire durablement », commente Rodolphe Simonetti, directeur général de la division mondiale de conseil en sécurité, chez Verizon. « Les consommateurs et les fournisseurs font confiance aux banques pour la sécurité de leurs données de paiement. Il est important de remédier à cette situation. Nous encourageons vivement les entreprises à réévaluer leurs méthodologies de mesure de l’efficacité des contrôles PCI et à se concentrer sur la longévité de leurs mesures de protection des données. »
Efficacité des contrôles et conformité dans la durée sont essentiels
Rodolphe Simonetti poursuit : « Verizon est à l’avant-garde de la sécurité des données des titulaires de cartes depuis 2003 et collabore étroitement avec la communauté PCI à faire progresser la conformité PCI DSS. En mettant à profit notre expertise et nos travaux sur le terrain, nous avons développé une liste de neuf facteurs qui aident les entreprises à se maintenir en conformité dans la durée. Notre objectif est de fournir une structure claire et une méthodologie pour aider le personnel chargé de la mise en conformité, mais aussi de les former à ouvrir le dialogue au sujet de la conformité avec leurs dirigeants, en rendant la narration plus facile à comprendre. Pour que les processus de conformité soient efficaces, ils doivent émaner de la hiérarchie, mais souvent la progression ou les enjeux ne sont pas clairement communiqués aux dirigeants ou ceux-ci les comprennent mal. »
Les neuf facteurs suivants d’efficacité des contrôles et de conformité dans la durée recommandée par Verizon incluent les 12 préconisations de la norme PCI DSS :
- Facteur 1 : Environnement de contrôle : l’efficacité des 12 préconisations et leur maintien dans la durée dépendent d’un environnement de contrôle sain.
- Facteur 2 : Conception des contrôles : le bon fonctionnement des contrôles pour tenir les objectifs de contrôle de la sécurité DSS dépend d’une bonne conception des contrôles.
- Facteur 3 : Risques liés aux contrôles : sans maintenance suivie (tests de sécurité, gestion des risques, etc.), les contrôles peuvent se dégrader avec le temps et même se rompre. Pour atténuer les défaillances des contrôles, il faut prévoir une gestion intégrée des Risques liés aux contrôles.
- Facteur 4 : Robustesse des contrôles : les contrôles s’effectuent dans des environnements professionnels dynamiques soumis à des menaces changeantes. Ils doivent être suffisamment robustes pour résister à des changements imprévus et pour rester fonctionnels et conformes aux spécifications (configuration des standards, contrôle d’accès, renforcement système, etc.).
- Facteur 5 : Résilience des contrôles : les contrôles de sécurité peuvent toujours échouer, même si l’on ajoute des couches de contrôle pour accroître la robustesse, si bien qu’il faut prévoir une certaine résilience des contrôles avec découverte proactive et reprise rapide en cas d’échec pour garantir l’efficacité et la conformité dans la durée.
- Facteur 6 : Gestion du cycle de vie des contrôles : Pour réussir tout ce qui précède, il est nécessaire de surveiller et gérer activement les contrôles de sécurité à chaque étape de leur cycle de vie, de la mise en place d’origine au retrait.
- Facteur 7 : Gestion de la performance : l’établissement et la communication de standards de performance pour mesurer la performance réelle de l’environnement de contrôle améliorent l’efficacité des contrôles et favorisent les résultats prévisibles de vos activités de protection des données et de conformité, facilitant l’identification précoce et la correction des écarts de performance.
- Facteur 8 : Evaluation de la maturité : un environnement de contrôle ne devrait jamais être laissé stagnant : il faut l’améliorer en continu. Pour ce faire, les entreprises ont besoin d’une feuille de route, un objectif de maturité des processus et des fonctionnalités pour surveiller le degré de validité et l’optimisation des processus comme indication de la marge avant que les processus en cours de développement soient complets et capables de s’améliorer en continu.
- Facteur 9 : Auto évaluation : pour réussir tout ce qui précède, il faut une maîtrise suffisante en interne, des ressources en capacité suffisante (humaines, processus et technologies), des capacités (processus sous-jacents), des compétences (aptitudes, connaissances et expérience) et de la volonté (l’engagement à toujours respecter les exigences de conformité), autant dire la maîtrise de l’auto évaluation
« Le partage des données et la collaboration intersectorielle sont essentiels pour comprendre le paysage des menaces qui ne cesse d’évoluer et faire progresser la sécurité mondiale des paiements. Comme le montre ce rapport, les entreprises continuent d’avoir des difficultés à maintenir de hauts niveaux de sécurité et à justifier de leur conformité dans la durée dans le contexte d’environnements à l’évolution rapide », déclare Troy Leach, Chief Technology Officer du PCI Security Standards Council. « Les entreprises devraient s’intéresser de près aux conclusions de ce rapport pour savoir comment préserver leur sécurité. La conformité ne devrait jamais être vue comme l’objectif final de la sécurité mais comme une mesure de la capacité d’une entreprise à toujours protéger efficacement ses données. »
Pour garder les entreprises sur les rails de la conformité, Verizon propose un calendrier des activités de conformité requises.
A propos de l’édition 2018 du rapport Verizon Payment Security Report
L’édition 2018 du PSR n’a pas vocation à convaincre les lecteurs de la nécessité de la conformité PCI, mais de souligner l’importance de mesurer la performance et l’efficacité des contrôles. L’édition 2018 du rapport porte sur l’analyse des audits PCI conduits par l’équipe des évaluateurs de sécurité qualifiés PCI (Qualified Security Assessors) de Verizon auprès de sociétés du classement Fortune 500 et de grandes multinationales d’une trentaine de pays.
A l’instar de la série Verizon Data Breach Investigations Report, le PSR 2018 s’appuie sur des cas réels en s’intéressant principalement aux services financiers (58%) ; services IT (15%), au commerce (13%) et au secteur de l’hébergement (11%). L’étude a été réalisée sur le continent américain (48%), dans la région asie-pacifique (30%) et en Europe (23%).
L’édition 2018 du rapport Verizon Payment Security Report peut être téléchargée ici :
verizonenterprise.com/verizon-insights-lab/payment-security/2017/
À propos des Services de sécurité Verizon pour les professionnels
Verizon est une structure de conseil en sécurité hautement respecté et une voix de confiance dans la communauté de la sécurité PCI, ayant réalisé plus de 16 000 évaluations de sécurité, depuis 2009, pour des entreprises du Fortune 500 et de grandes sociétés multinationales. Verizon gère plus de 4 000 réseaux clients dans le monde et exploite l'un des plus grands réseaux IP mondiaux, ce qui lui confère une perspective unique sur les opérations de sécurité. Verizon offre une variété de programmes de consultation et d'évaluation liés à la sécurité et à la conformité des paiements (PCI-DSS, PA-DSS, P2PE, EI3PA, PIN et ECB), à la sécurité et à la conformité des soins de santé (HIPAA, ONC Health IT, ConCert by HIMSS), ainsi que des tests et certifications de sécurité du matériel, logiciels, solutions et IdO (via Verizon ICSA Labs) et des tests de menaces et vulnérabilité.
A propos de Verizon
Verizon Communications Inc. (NYSE, Nasdaq : VZ), dont le siège social est situé à New York, a généré un chiffre d'affaires de 126 milliards de dollars en 2017. La société exploite le réseau sans fil le plus fiable des Etats-Unis et le premier réseau entièrement en fibre optique du pays, et fournit des solutions intégrées aux entreprises du monde entier. Sa filiale Oath touche environ un milliard de personnes dans le monde entier via ses marques de médias et de technologie.
verizon.com
Finyear - Daily News
Lisez gratuitement :
Le quotidien Finyear
- Sa newsletter quotidienne :
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation, Finance Digitale, Cryptofinance, Blockchain.
- Sa lettre mensuelle Le Trésorier
Le quotidien Finyear
- Sa newsletter quotidienne :
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation, Finance Digitale, Cryptofinance, Blockchain.
- Sa lettre mensuelle Le Trésorier
Autres articles
-
Sagard NewGen acquiert FuturMaster, éditeur leader de solutions SaaS en Supply Chain Planning et Revenue Growth Management, aux côtés de son équipe dirigeante
-
Coinbase et Visa, un partenariat pour des transferts en temps réel
-
Pigment, un partenariat international avec Bearingpoint
-
PyratzLabs : une nouvelle filiale au nom de Stratz
-
Brilliantcrypto, la nouvelle aventure play-to-earn basée sur la blockchain Polygon, arrive sur Epic Game Store