RAPPORT D ENQUÊTE 2011 SUR LA CONFORMITÉ PCI : RÉSUMÉ

Transcription

1 RAPPORT D ENQUÊTE 2011 SUR LA CONFORMITÉ PCI : RÉSUMÉ Étude menée par les équipes PCI et RISK Intelligence de Verizon INTRODUCTION Aucun projet, quel qu il soit, ne voit le jour dans un état de totale maturité. Qu il s agisse de l aéronautique ou de la construction immobilière, il faut passer par un long processus d évolution, souvent ardu. Pour se rapprocher de la «perfection» ou atteindre l objectif «final», chaque nouvelle idée est longuement mûrie et vient compléter avec précaution des idées parfois mises en place depuis de très nombreuses années. Par exemple, bien que considérées comme étant avant-gardistes, les pratiques médicales en vigueur à l époque victorienne ne sont pas celles que nous respectons aujourd hui. Les techniques subissent des remaniements au fur et à mesure que notre compréhension évolue. Ce concept s applique particulièrement au domaine de la sécurité des systèmes d information. Ce secteur d activité, tel que nous le connaissons aujourd hui, n existe pas depuis aussi longtemps que d autres domaines plus établis. Si la société est habituée depuis longtemps à des rôles tels que celui de docteur, d avocat ou d architecte, par exemple, il n en est pas de même pour les experts de la sécurité des Systémes d Information. Il y a encore dix ans, la fonction de Responsable de la conformité était majoritairement inconnue et n existait pas dans la plupart des entreprises. Toutefois, même si la sécurité de l Information n a pas encore atteint sa maturité, elle n en est plus à ses balbutiements. La sécurité de l Information a deux fonctions distinctes : permettre à une entité (individu, entreprise ou institution publique) de protéger ses secrets et permettre à une entité de protéger les secrets d une autre entité. La première fonction va généralement de soi : qui ne souhaite pas protéger ses propres secrets? La seconde n est pas adoptée tout aussi naturellement, car elle implique d avoir La sécurité de L Information a deux fonctions distinctes : permettre à une entité (individu, entreprise ou institution publique) de protéger ses secrets et permettre à une entité de protéger les secrets d une autre entité. recours à une entité externe. Elle est moins évidente : on se sent moins concerné. C est pour cette raison qu il est parfois nécessaire de constituer des organismes de réglementation afin de garantir une protection adéquate de ces secrets. Il y a six ans, pour lutter contre l augmentation des compromissions de cartes de paiement et des fraudes associées, les principales sociétés émettrices de cartes de paiement 1 ont uni leurs forces pour former le Conseil des Standards de sécurité PCI (Payment Card Industry) et ont élaboré Le standard PCI DSS (Payment Card Industry Data Security Standard). Le Standard PCI DSS a été développée pour encourager et améliorer la sécurité des données des titulaires de cartes de paiement et pour faciliter l adoption à grande échelle de mesures de sécurité cohérentes au niveau international. Ce standard est géré par le Conseil des Standards de sécurité PCI et par ses membres fondateurs. Toutes les sociétés qui acceptent, acquièrent, transmettent, traitent et/ou stockent des informations relatives aux titulaires de cartes de paiement ont l obligation de protéger ces données en permanence conformément aux exigences minimales requises par la Standard PCI DSS. Elles doivent prouver qu elles sont conformes et fournir chaque année un rapport de conformité. Autrement dit, la conformité repose sur un processus dynamique, pas sur un événement ponctuel dans le temps. Le Conseil des standards de sécurité PCI a compris la nature versatile de la sécurité et de la technologie. À ce titre, sa charte stipule que ce standard continue d évoluer en fonction des changements qui se produisent dans ce secteur. Étant donné que notre compréhension des principes de protection de l information, de la gestion du risque et de la gouvernance de la sécurité 1 Les principales marques émettrices de cartes de paiement qui constituent le Conseil des standards de sécurité PCI sont : American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Europe et Visa Inc. 1

2 s améliore et change au fil du temps, il est incontournable que la façon dont nous protégeons les données sensibles continue également d évoluer. Bien entendu, tout le monde n est pas d accord sur la valeur relative de PCI. Nombreux sont ceux qui pensent que ce standard représente un grand pas en avant dans la protection des données sensibles. D autres restent cependant sceptiques ou la critiquent avec virulence. Les détracteurs de la standard PCI soutiennent que c est une perte de temps, qu elle est trop générale, que la barre est trop haute ou trop basse, qu il est impossible de mesurer son efficacité, etc. Nous ne pouvons ni confirmer, ni réfuter ces points de vue opposés. Par contre, nous pouvons fournir des données concrètes de manière à ce que ceux qui veulent savoir à quoi s en tenir aient des éléments tangibles auxquels se reporter pour juger l efficacité réelle de ce standard. À cette fin, le présent rapport analyse les résultats des évaluations du standard PCI DSS, réalisées par les QSA («Qualified Security Assessor») de Verizon au cours de l année passée. Il examine la progression des efforts entrepris par différentes entreprises, réparties sur une zone géographique disparate, pour atteindre le niveau de conformité PCI requis et le conserver. Ce rapport tente également d expliquer pourquoi certaines entreprises semblent avoir un taux de réussite plus élevé que d autres, et identifie les points qui représentent le plus de difficultés. Nous espérons que les conclusions ainsi que les discussions annexes contenues dans ce document aideront les entreprises à préparer leurs propres stratégies de conformité. Que vous entamiez un programme de conformité ou que vous soyez en train d améliorer un programme existant ou de tout mettre en œuvre pour qu il reste conforme, il vous sera très certainement utile de pouvoir bénéficier d un compte-rendu réaliste sur la condition actuelle de vos pairs, ainsi que sur les défis auxquels ils doivent faire face. Enfin, nous espérons que ce rapport permettra, dans une certaine mesure, de sécuriser davantage les environnements liés aux cartes de paiement. RÉSUMÉ Ce rapport analyse les résultats provenant des évaluations du standard PCI DSS (Payment Card Industry Data Security Standard), réalisées par l équipe de QSA de Verizon. Il permet de comprendre où se situent les entreprises en termes de conformité du standard DSS et inclut une analyse qui se concentre sur les exigences spécifiques les plus souvent ou les moins souvent respectées lors du processus d évaluation. En outre, nous complétons les données de cette évaluation avec les informations fournies par le service d investigation de Verizon afin de donner un aperçu unique des risques liés au processus de conformité. Une nouvelle section de l édition de cette année porte sur des tests d hypothèse menés afin Avec peu de fluctuations par rapport à l année dernière, seuls 21 % des entreprises étaient totalement conformes au moment du rapport initial de conformité («Initial Report of Compliance», IROC). C est un point d autant plus intéressant à noter que toutes ces entreprises avaient passé l évaluation préalable de leur conformité avec succès. Pourquoi une telle érosion au cours de l année? Avec un résultat très similaire à celui du rapport précédent, les entreprises appliquent en moyenne 78 % de l ensemble des procédures de test au stade du rapport initial de conformité, avec quelques variations dans les scores. Par exemple, environ 20 % des entreprises ont appliqué moins de la moitié des exigences liées au standard DSS, tandis que 60 % ont un score supérieur à 80 %. Voici les exigences du standard PCI qui ont posé le plus de difficulté aux entreprises : 3 (protéger les données des titulaires de cartes de paiement), 10 (suivre et surveiller les accès), 11 (tester régulièrement les systèmes et processus) et 12 (mettre en place et appliquer une politique de sécurité). Les exigences 4 (chiffrer les transmissions effectuées sur les réseaux publics), 5 (utiliser un antivirus à jour), 7 (restreindre l accès aux données en fonction du besoin) et 9 (restreindre l accès physique) sont celles qui ont obtenu le niveau d implémentation le plus élevé. 2

3 RÉSUMÉ d examiner la relation (ou l absence de relation) entre les pratiques des entreprises et les scores de conformité initiaux. Il apparaît que les entreprises s appuient encore moins que l année précédente sur la méthode de détermination des priorités du standard PCI DSS, publiée par le Conseil du standard de sécurité PCI, pour fixer leurs priorités dans le cadre des efforts de conformité. Une petite enquête, qui compare les pratiques de gouvernance avec le score de conformité initial, suggère que l approche choisie par les entreprises en matière de conformité a un impact significatif sur leur réussite. Une nouvelle fois, les entreprises ayant fait l objet de compromissions de données sont celles dont l attention aux exigences de conformité était en général beaucoup plus faible que pour le reste des clients PCI. L analyse des principales actions malveillantes à l origine de la compromission des données de cartes de paiement continue à occuper une place majeure dans le cadre du standard PCI DSS. La plupart d entre elles sont soumises à plusieurs niveaux de contrôle régis par ce standard. RÉSULTATS GÉNÉRAUX DE L ÉVALUATION Parmi les entreprises ayant fait l objet d une évaluation par les QSA de Verizon, 21 % d entre elles étaient totalement conformes au terme du rapport initial de conformité les concernant, ce qui correspond à une baisse minime de 1 % par rapport aux résultats précédents. Il est un peu décevant de voir que les chiffres n ont pas augmenté : nombreux étaient ceux qui s attendaient à une amélioration générale de la conformité suite à la reconnaissance croissante du standard PCI DSS parmi de plus en plus d entreprises. Vu sous un autre angle, ce résultat signifie que 79 % des entreprises n étaient pas suffisamment bien préparées à leur évaluation initiale. Sachant que seuls 21 % des entreprises ont «passé le test» avec succès (en répondant aux exigences répertoriées dans leur rapport initial de conformité), la question est maintenant de savoir quel a été leur score (c est-à-dire le pourcentage de toutes les exigences respectées). En moyenne, les entreprises ont appliqué 78 % de l ensemble des procédures de test définies dans le standard DSS au moment de leur rapport initial de conformité, ce qui correspond à une baisse de 3 % par rapport aux résultats précédents. Cette différence reste toutefois anecdotique. La plupart de ces entreprises ont eu, à maintes reprises, l occasion de se familiariser avec le processus d évaluation du standard PCI. Nous pourrions penser qu elles ont eu le temps nécessaire pour combler leurs lacunes au fur et à mesure des années. Dans ce cas, pourquoi ne l ont-elles pas fait? Bien que les statistiques nous permettent de tirer quelques conclusions, Il n existe pas de réponse claire et nette à cette question. Ce qui est sûr, c est que la conformité n est pas chose simple. Le standard PCI DSS ne repose pas sur un groupe de contrôles faciles à appliquer, et la plupart des programmes de sécurité ne les prennent d ailleurs pas en compte. Bien que quelques entreprises puissent se targuer d avoir fait les premiers pas nécessaires à la conformité, elles sont encore loin de pouvoir dire qu elles maîtrisent toutes les subtilités du standard PCI DSS. Dès lors, le niveau de référence défini par le standard PCI DSS ne reflète pas le niveau de référence défini par les entreprises elles-mêmes. Pour la Figure 1. Pourcentage des entreprises conformes lors du rapport initial de conformité 79 % Non conformes 21 % Conformes Données PCIR versus % 22 % 3

4 plupart d entre elles, il leur suffit de faire ou de gérer ce qu elles ne faisaient, ou ne géraient pas avant, afin d être conforme. Ce qu elles doivent faire concrètement est une Figure 2. Pourcentage des procédures de test validées lors du rapport initial de conformité autre question, à laquelle nous répondrons dans la section de ce rapport destinée à l analyse des données de l équipe d investigation. 22 % Non validées L un des autres points faibles des commerçants et des prestataires de services dans le processus d évaluation PCI est l excès de confiance. «Cela n a pas été simple, mais nous avons réussi à passer le cap l année dernière. Cette année, nous devrions enfin pouvoir souffler». C est 78 % Validées Données PCIR versus % 81 % un sentiment habituel sur lequel de nombreuses entreprises ont tendance à se reposer pour préparer leur évaluation annuelle. Cette erreur peut leur coûter cher. Lorsque le QSA se rend dans leurs locaux, seul un cinquième des entreprises sont conformes, même lorsqu elles ont disposé du temps nécessaire pour effectuer les améliorations requises entre la visite du QSA et l échéance du rapport initial de conformité. L usure et la complaisance sont deux autres facteurs clés qui rendent difficile le maintien d un niveau de conformité approprié année après année. Trop nombreuses sont les entreprises qui pensent que, pour être conformes, «si cela a suffi l année dernière, il n y a pas de raison pour que cela ne suffise pas cette année.» Mais à moins que quelqu un ne s occupe de près d un processus de conformité spécifique (par exemple, en documentant et en justifiant tous les services autorisés via les pare-feux), il est facile d oublier une chose ou une autre dans le feu de l action. L usure est l ennemi numéro 1 de la sécurité et des professionnels de la conformité, car la sécurité d une entreprise repose sur une attention de tous les instants. Nombreux également sont ceux qui, lorsqu ils doivent choisir où concentrer leurs efforts, se contentent de terminer ce qu ils avaient entrepris sans se soucier de savoir si tout a été fait «dans les règles» ou «en toute conformité». L entreprise a beau prendre bonne note des exigences PCI lorsque le QSA est dans ses locaux, dans la pratique, un grand nombre des engagements pris ne tient pas la route sur la durée. De nombreux autres critères, tels que la main d œuvre, les ressources, la volonté de l entreprise et la complexité d un tel processus, viennent s ajouter à la liste déjà longue des défis. Il est rare de trouver un service informatique ou un service de sécurité avec le nombre suffisant d employés qualifiés. La plupart des Lorsque vous ajoutez entreprises sous-estiment leurs besoins en personnel ou engagent des individus qui n ont pas l expertise suffisante pour remplir ces fonctions. La à cela la complexité du sécurité et, par extension, la conformité continuent d être considérées par de standard PCI, dont il suffit nombreuses entreprises comme un ralentisseur plus que comme l un des facteurs de risque assumés inhérents à toute activité commerciale. Cette de ne pas respecter l une vision des choses rend difficile le recours à des ressources appropriées pour des 200 exigences pour ne assurer la conformité et la sécurité comme il se doit. Trop peu d entreprises disposent d un responsable ou d un directeur chargé de la conformité, de même pas être conforme, vous que trop peu d entreprises ont la chance de disposer de quelqu un, parmi leurs obtenez des circonstances cadres et hauts responsables, qui puisse les assister et les guider dans défavorables très difficiles l implémentation des projets. Lorsque vous ajoutez à cela la complexité du standard PCI, dont il suffit de ne pas respecter l une des 200 exigences pour ne à surmonter. pas être conforme, vous obtenez des circonstances défavorables très difficiles à surmonter. 4

5 Ce constat est d autant plus inquiétant qu avec le temps, les exigences en matière de conformité au standard d évaluation sont chaque fois plus strictes. Le Conseil du standard de sécurité PCI ajoute régulièrement des explications et des instructions aux exigences existantes, ce qui limite et redéfinit souvent les pratiques acceptables. Avoir rempli les exigences de conformité lors d une évaluation antérieure ne garantit en rien que les résultats d une seconde évaluation seront les mêmes si les instructions ont changé entre-temps. Cela est d autant plus vrai qu à partir de janvier 2012, les exigences du standard PCI DSS 2.0 entreront en vigueur et s appliqueront à toutes les évaluations. Les entreprises vont devoir faire face à des problèmes variés, et des solutions tout aussi variées devront être trouvées pour les résoudre. Il est important que chaque entreprise sache où elle se situe en terme de conformité (ou de validation de sa conformité) et quels sont les défis auxquels elle doit se préparer. Afin d offrir une aide supplémentaire à cet égard, nous examinons de plus près l état de conformité des entreprises par rapport aux 12 exigences définies par le standard PCI DSS. Figure 3. Répartition des procédures de test validées lors du rapport initial de conformité 37 % Pourcentage d'entreprises 21 % 12 % 4 % 7 % 5 % 5 % 4 % 2 % 2 % 2 % 100 % % % % % % % % % % 0-9 % Pourcentage de tests validés au moment du rapport initial de conformité COMPARAISON DES RÉSULTATS RASSEMBLÉS L un des arguments majeurs avancés par les sceptiques concernant la conformité PCI DSS est qu un nombre insuffisant d éléments prouve son efficacité. Nous serions ravis de pouvoir «cultiver» des entreprises dans un laboratoire de recherche afin de pouvoir comparer les probabilités de compromission des données des entreprises conformes au standard PCI à celles d un échantillon d entreprises non conformes. Comme c est impossible, nous avons opté pour une approche presque aussi efficace. Bien qu elles ne soient ni exhaustives, ni contrôlées, les évaluations menées par l équipe PCI et les évaluateurs de Verizon permettent de comparer les entreprises dont les informations en matière de sécurité et de conformité sont au minimum partiellement connues. Au terme d une démarche d investigation, l enquêteur principal analyse les exigences du standard PCI DSS, puis communique ses résultats aux entreprises émettrices de cartes de paiement concernées. 5

6 Tableau 3. Pourcentage des entreprises conformes aux exigences du standard PCI DSS. Données IR basées sur les études menées suite à des compromissions de données; données PCI basées sur les évaluations QSA lors du rapport initial de conformité. Données PCI Données IR Exigences du standard PCI DSS 1 : Installer et gérer une configuration de pare-feu pour protéger les données 2 : Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et d'autres paramètres de sécurité % 44 % 32 % 18 % 48 % 56 % 41 % 33 % 3 : Protéger les données stockées 43 % 42 % 19 % 21 % 4 : Chiffrer la transmission des données des titulaires de cartes de paiement et des informations confidentielles sur les réseaux publics 63 % 72 % 77 % 89 % 5 : Utiliser un logiciel antivirus à jour 70 % 64 % 58 % 47 % 6 : Développer et gérer des systèmes et des applications sécurisés 48 % 53 % 12 % 19 % 7 : Restreindre l'accès aux données en fonction des besoins 69 % 75 % 27 % 33 % 8 : Affecter un ID unique à chaque utilisateur d'ordinateur 44 % 47 % 26 % 26 % 9 : Restreindre l'accès physique aux données de titulaires de carte 10 : Suivre et surveiller tous les accès aux ressources et aux données des titulaires de cartes de paiement 59 % 55 % 49 % 65 % 39 % 52 % 15 % 11 % 11 : Tester régulièrement les systèmes et les processus 38 % 37 % 19 % 19 % 12 : Mettre en place une politique de sécurité de l information 44 % 39 % 25 % 16 % Les trois pourcentages les plus faibles sont en rouge ; les plus élevés sont en gras. Il est important de noter que l équipe d investigation prend une décision binaire au niveau supérieur de chaque exigence PCI. Autrement dit, au lieu de se plonger dans les spécificités des exigences 1.1, 1.2, etc., comme le font les QSA, l enquêteur du service d investigation prend une décision à un niveau plus élevé en déterminant simplement si l exigence 1 a été respectée ou non. D une certaine manière, il joue le rôle inverse à celui du QSA dans ce scénario : il ou elle répond aux questions en prouvant qu une exigence n a pas été respectée plutôt qu en confirmant qu une exigence a bien été respectée. En d autres termes : «Je sais que ceci n était pas en place au moment de la compromission» au lieu de «Je sais que ceci était en place au moment de l audit.» Cette évaluation PCI approximative étant moins intense et plus subjective qu une évaluation PCI «classique», il est possible que les données de l équipe d investigation donnent une image optimiste de la conformité aux exigences des entités ayant fait l objet d une compromission des données. Les résultats relatifs à la conformité aux standards PCI DSS décrits dans le tableau 3 font référence à deux groupes d entreprises. Le premier concerne le même échantillon de clients PCI que celui qui fait l objet de cette discussion tout au long de ce rapport (résultats reportés dans le tableau 1). Le second groupe se compose d entreprises qui ont fait l objet d une compromission de données soumise à une enquête de notre équipe d investigation en

7 Figure 5. Pourcentage des entreprises conformes aux exigences du standard PCI DSS Données IR basées sur les études menées suite à des compromissions de données; données PCI basées sur les évaluations QSA lors du rapport initial de conformité. 100 % 90 % 80 % Pourcentage d'entreprises 70 % 60 % 50 % 40 % 30 % 20 % 10 % Données PCI Données IR 0 % R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 Exigences du standard PCI DSS La figure 5 illustre les mêmes informations que le tableau 3, mais le message apparaît de manière beaucoup plus évidente : Les clients observés par notre équipe d investigation sont moins enclins à respecter les critères PCI DSS que les clients PCI. Autrement dit, le niveau de conformité des victimes de compromissions de données est moins élevé que la normale 2. Ceci est vrai pour toutes les exigences hormis les exigences 4 (transmissions chiffrées) et 9 (sécurité physique). Comme nous le verrons dans la section suivante, les techniques visant à compromettre les données via les réseaux publics ne faisaient pas partie des actions malveillantes courantes sur l ensemble des cas. La falsification physique, par contre, faisait quant à elle partie des actions malveillantes communes dans la compromission des données des titulaires de cartes de paiement. Bien que la disparité entre les groupes varie en fonction des exigences, les clients PCI ont en moyenne un score supérieur à celui des victimes de compromission de données, avec une marge de 50 % 3. Il serait sans doute exagéré de conclure que ces résultats «prouvent» qu une entreprise devrait respecter le standard PCI DSS si celle-ci souhaite éviter les compromissions de données, mais les chiffres parlent d eux-mêmes. CONCLUSIONS ET RECOMMANDATIONS Nous pensons que les informations présentées dans ce rapport permettront au lecteur de se faire une idée précise de l état actuel de la conformité dans le secteur des cartes de paiement. Nous croyons également qu il vous aidera à déterminer où se situe votre entreprise par rapport aux autres et s avérera très certainement utile dans la mise en place des dispositions nécessaires à la réalisation de vos objectifs de conformité. Malgré toutes les informations données dans ce rapport et tous les efforts que vous déploierez, il n existe aucune formule magique qui permet de garantir la réussite de vos évaluations et projets PCI DSS futurs, de même qu il n existe pas qu une seule méthode ou qu un seul processus applicable à l amélioration de la sécurité. Néanmoins, ce rapport démontre une nouvelle fois qu il existe des pratiques courantes partagées par des entreprises particulièrement performantes du point de vue de la conformité, et qui permettent d orienter dans la bonne direction les efforts entrepris par chacun pour être conforme et le rester. Comme c est souvent le cas dans la vie courante, une grande partie de ces pratiques relève du bon sens, mais pour une 2 Le terme «normale» n est pas utilisé ici dans un sens statistique. Il fait simplement référence au fait que le groupe de clients PCI représente un ensemble d entreprises sans autre caractéristique atypique connue que l utilisation des services d évaluation PCI. 3 Il ne faut pas oublier que ces résultats ont été obtenus au cours du rapport initial de conformité. Une grande partie des entreprises évaluées ont pu remédier aux points faibles mentionnés dans le présent document et ont été déclarées par la suite intégralement conformes. Par conséquent, la différence entre les données de l équipe d investigation (données IR) et les données PCI pourrait s avérer encore plus importante. 7

8 multitude de raisons, elles se perdent souvent parmi les préoccupations quotidiennes et les nécessités liées à la gestion d une entreprise. Comme nous l avons précisé dans d autres sections de ce rapport, les problèmes auxquels ont dû faire face les QSA lors de leurs évaluations sont les mêmes que ceux rencontrés lors de la compilation des données du rapport de l année passée. Nous n avons dès lors pas jugé nécessaire de modifier nos recommandations. La section précédente suggère d ailleurs que celles-ci visaient plutôt juste. Même si nous avons bien entendu intégré de nouvelles suggestions sur la base des données recueillies, nous avons également conservé celles que nous avions données auparavant étant donné qu elles sont tout aussi valables aujourd hui qu elles ne l étaient hier. Vous les trouverez ci-dessous. Nommez un responsable de la conformité en interne Restez prudent lorsque vous vous auto-validez Comme nous l avons déclaré à plusieurs reprises, le secret pour rester conforme est d intégrer ce concept dans la gestion quotidienne de votre entreprise. Pour atteindre cet objectif, il est important d instaurer le bon état d esprit dans toute l organisation, et l exemple doit venir «d en haut». Il y a de fortes chances pour que cela ne se fasse pas sans la présence d un responsable de la conformité au sein de l entreprise. Cette personne doit exercer une certaine dose de pouvoir et utiliser son influence pour s assurer non seulement que les choses soient faites correctement, mais aussi que tout le monde dans l entreprise sache exactement qui doit faire quoi. De manière générale, la plupart des entreprises nécessitent un changement culturel parfois radical afin d inclure la sécurité et la conformité à tous les niveaux de leur organisation. C est pourquoi un responsable de la conformité chargé de cette tâche spécifique est essentiel pour mener à bien cette tâche difficile. L une des tendances émergentes dans le monde PCI est que de plus en plus de commerçants de niveau 1 et 2 préfèrent s auto-valider ou s auto-évaluer. Pour profiter de cette possibilité, l entreprise concernée doit soumettre ses employés à une formation ISA (Internal Security Assessor). Bien que cette méthode de validation ait été approuvée par le Conseil des standards de sécurité et bien qu elle soit considérée comme étant une pratique légitime, il est important d éviter quelques écueils. Tout d abord, choisissez bien le membre de votre équipe qui agira en tant qu ISA pour votre entreprise. Le niveau minimum de compétences, de connaissances et de certification n étant pas aussi strict pour un ISA que pour un QSA, il existe un risque que l entreprise soit jugée conforme par quelqu un qui n est pas vraiment qualifié pour le faire. Ceci pourrait mener à des incidents de sécurité et à des pénalités, amendes ou poursuites. Outre cet aspect, la prudence requiert que la personne choisie pour valider la conformité soit totalement désintéressée. Le revers de la médaille de cette fonction est un certain degré de pression que l employé choisi est susceptible de ressentir face à la demande de la direction de prendre en charge le programme de conformité de toute l entreprise. 8

9 Soyez cohérent dans votre interprétation et votre implémentation des tests d intrusion et des analyses de vulnérabilités Attention à la version 2.0 du standard PCI DSS, préparez-vous Des exigences spécifiques existent depuis plus de trois ans pour les tests d intrusion, mais de nombreux clients n ont pas encore compris ses implications. Ces critères stipulent que les tests d intrusion doivent avoir lieu au minimum une fois par an ou après chaque changement important de réseau ou de système : mise à niveau du système d exploitation ou changement des codes d application Web, par exemple. Toutefois, de nombreuses entreprises continuent d ignorer ces directives. Il n est pas rare, par exemple, qu une entreprise pense à faire le test annuel, mais oublie de le faire lorsqu elle change de système ou de réseau. Autre cas de figure encore plus courant : les tests sont faits quand ils doivent être faits, mais l entreprise oublie d en valider la portée, ce qui l oblige à refaire les tests sur des systèmes prenant ce facteur en compte. D où une perte de temps et d argent. Mais le problème le plus fréquent est sans doute que les entreprises repoussent l échéance et finissent par faire le test ou l analyse à la toute dernière minute. Inévitablement, elles finissent par se retrouver avec 100 à 200 résultats à traiter, sans espoir de pouvoir tout régler à temps. Le rapport ROC sera donc retardé et l échéance fixée pour valider la conformité ne sera pas respectée. Cette recommandation diffère légèrement des autres dans le sens où nos recommandations s appuient généralement sur les données que nous avons analysées alors que celle-ci porte sur la version 2.0 pour laquelle nous ne disposons pas encore de données. Toutefois, étant donné que les statistiques n ont presque pas changé par rapport à l année dernière, nous pensons qu il est important de vous avertir. Bien que le terme «attention» soit un peu mélodramatique, «préparez-vous» vous indique clairement l approche à adopter face à la mise à niveau du standard PCI. La version 2.0 sera plus stricte que les précédentes, principalement parce qu il faudra pouvoir démontrer que les critères de conformité ont bien été respectés. Il ne sera plus suffisant d énoncer les faits. Il faudra pouvoir les justifier avec la documentation appropriée. En résumé, la nouvelle version met la barre beaucoup plus haut, et il est fortement recommandé de ne pas jouer l ignorant et de bien se préparer à ce changement. À PROPOS DES SERVICES PCI DE VERIZON Le non-respect du standard PCI, ou le défaut de compréhension de ses critères, peut vous coûter cher, voire très cher. Vous risquez des pénalités et amendes, des poursuites, ainsi que des frais de réémission des cartes compromises. En cas de compromission des données, vous pourriez non seulement perdre beaucoup d argent, mais aussi votre réputation durement gagnée. Si vous souhaitez mettre en œuvre des solutions et mettre en place des contrôles afin de vous conformer aux exigences du standard PCI DSS, nous pouvons vous fournir les ressources nécessaires. Chaque année, l équipe Business PCI de Verizon effectue des centaines d évaluations et collabore avec les sociétés du monde entier citées par le magazine Fortune 500. Cette équipe comprend des QSA et PA-QSA enquêtant dans six régions différentes, et prend en charge plus de 20 langues. Elle se concentre sur les évaluations de la conformité au standard PCI DSS et PA-DSS, ainsi que sur la lisibilité du standard PCI, les conseils et les services de remise aux normes. Outre les services professionnels, Verizon Business propose un service d assistance aux clients PCI pour un grand nombre de plates-formes de produits comprenant notamment les programmes Merchant Compliance Program (MCP), Online Compliance Program (OCP) et artner Security Program (PSP). 9

10 L acquisition de Terremark par Verizon En avril 2011, Verizon a fait l acquisition de Terremark, fournisseur international de services de Cloud Computing et d infrastructure d informatique managée. Grâce à cette acquisition, Verizon va pouvoir offrir un portefeuille de solutions variées et améliorées regroupant les compétences de Terremark et de Verizon en matière de technologies cloud, de sécurité et d informatique. À propos de Terremark, société de Verizon Terremark, société de Verizon, est une entreprise leader dans le domaine de la transformation et de la sécurisation des infrastructures informatiques de haut niveau à l échelle internationale. Filiale de Verizon Communications Inc. (NYSE, NASDAQ :VZ), Terremark est la référence en matière de déploiement informatique grâce à un large éventail de services managés et à une infrastructure avancée, qui offrent la structure, la fiabilité et la sécurité nécessaires aux besoins des entreprises et des institutions publiques partout dans le monde. Avec un réseau mondial de centres de données et un portefeuille complet de solutions sécurisées, Terremark permet aux responsables d entreprises et d institutions publiques d exploiter toute la puissance et les possibilités de la technologie cloud d aujourd hui. Pour plus d informations, veuillez consulter le site Web de Terremark à l adresse suivante : Verizon est leader mondial pour les solutions destinées à transformer le business des entreprises et des administrations. Verizon associe à ses solutions de communications et solutions informatiques intégrées, et à l expertise de services professionnels, des réseaux IP et mobiles hautement intelligents pour permettre aux entreprises d accéder à leurs informations, de partager des contenus et de communiquer, en toute sécurité. Verizon est en pleine transformation vers un modèle de prestation EaaS (everything-as-a-service) dématérialisé qui met la puissance de ses solutions à la portée de toutes les entreprises. verizonbusiness.com/fr Verizon Communications (NYSE, NASDAQ : VZ), dont le siège social se situe à New York, est l'un des leaders mondiaux en matière de services de communication haut débit filaire et sans fil pour les clients issus du secteur de la distribution, ainsi que pour les entreprises et les institutions publiques. Verizon Wireless possède le réseau sans fil le plus fiable des États-Unis et répond aux besoins de plus de 93 millions de clients à travers le pays. Verizon fournit également des services convergents de communication, d'information et de divertissement sur le réseau de fibres optiques le plus évolué des États-Unis, et propose des solutions simples et innovantes aux clients du monde entier. Verizon, une entreprise du Dow 30, emploie un effectif diversifié de plus de personnes et a réalisé un chiffre d'affaires consolidé de 106,6 milliards de dollars l'année dernière. verizon.com 2011 Verizon. Tous droits réservés. Les noms et logos Verizon et Verizon Business, ainsi que tous les autres noms, logos et slogans identifiant les produits et services de Verizon sont des marques commerciales et des marques de service ou des marques déposées et des marques de service de Verizon Trademark Services LLC ou de ses filiales aux États-Unis et/ou dans d'autres pays. Microsoft et Outlook sont des marques commerciales ou des marques déposées de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Les autres marques et marques de service appartiennent à leur propriétaire respectif. MC15106 FR 10/11