Rapport PCI Verizon 2014

Documents pareils
Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Sécurisation des paiements en lignes et méthodes alternatives de paiement

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?


GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Sage 50 Comptabilité. Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise?

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Les bases du cloud computing : revaloriser les technologies de l'information

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Foire aux questions (FAQ)

L'impératif de la gestion des identités et des accès : sécuriser l'entreprise étendue

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Solutions McAfee pour la sécurité des serveurs

Tableau Online Sécurité dans le cloud

Les principes de la sécurité

Tirez plus vite profit du cloud computing avec IBM

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Politique de sécurité de l information

Découvrir les vulnérabilités au sein des applications Web

Optimisation WAN de classe Centre de Données

Le commerce et la sécurité : comment protéger les données des clients tout en réalisant des économies de temps et d argent

Faire le grand saut de la virtualisation

Rapport d'enquête 2013

Chapitre 1 : Introduction aux bases de données

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

SafeNet La protection

L interchange. Ce que c est. Comment ça fonctionne. Et pourquoi c est fondamental pour le système des paiements Visa.

PCI DSS un retour d experience

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Les botnets: Le côté obscur de l'informatique dans le cloud

Systems Manager Gestion de périphériques mobiles par le Cloud

CHARTE INFORMATIQUE LGL

KASPERSKY SECURITY FOR BUSINESS

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Risques liés aux systèmes informatiques et de télécommunications

Systèmes intelligents pour le commerce de détail. Plateforme Windows Embedded

Symantec Network Access Control

Prestataire Informatique

Le rôle Serveur NPS et Protection d accès réseau

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Sécurité du cloud computing

Symantec Control Compliance Suite 8.6

La sécurité IT - Une précaution vitale pour votre entreprise

Seagate Technology LLC S. De Anza Boulevard Cupertino, CA 95014, États-Unis

La reprise d'activité après sinistre est-elle assez prise en compte par les PME?

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Total Protection for Compliance : audit unifié des stratégies informatiques

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

RSA ADAPTIVE AUTHENTICATION

PCI (Payment Card Industry) Data Security Standard

ITIL pour les PME/PMI LIVRE BLANC SUR LES MEILLEURES PRATIQUES

Introduction des. comptes d épargne libre d impôt

La situation du Cloud Computing se clarifie.

Offering de sécurité technologique Sécurité des systèmes d'information

transformez le risque en valeur grâce à la conformité et à la sécurité numérique Your business technologists. Powering progress

LIVRE BLANC. Introduction... 1

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Sécurité. Tendance technologique

Tablettes et smartphones

Qu est-ce que le «cloud computing»?

La protection des systèmes Mac et Linux : un besoin réel?

StorageTek Tape Analytics

Sage 300 Online Guide de l'utilisateur de Traitement de paiements. Octobre 2013

Protection des données personnelles Quelles sont les données vulnérables et comment pouvezvous les protéger?

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Protéger les données critiques de nos clients

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Observation des modalités et performances d'accès à Internet

Comportement des consommateurs européens envers le commerce mobile

La situation de la sécurité des clés USB en France

Meilleures pratiques de l authentification:

Pour bien commencer avec le Cloud

IBM Tivoli Compliance Insight Manager

Intel Small Business Advantage. Un outil pour se concentrer sur son métier, pas sur son PC! Conçu pour les petites entreprises

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

DÉVELOPPEMENT INFONUAGIQUE - meilleures pratiques

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

Orientations sur la solvabilité du groupe

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Les risques et avantages du BYOD

PUISSANCE ET SIMPLICITE. Business Suite

INTERROGATION ECRITE N 3 PFEG INTERROGATION ECRITE N 3 PFEG

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Optimisation de la gestion de la sécurité avec McAfee epolicy Orchestrator

Transcription:

Résumé Rapport PCI Verizon 2014 Compte rendu de nos analyses sur l'état actuel de la conformité au standard de sécurité PCI. En 2013, 64,4 % des entreprises n avaient pas restreint à un seul utilisateur chaque compte ayant accès à des données de titulaires de cartes - limitant ainsi la traçabilité et augmentant le risque. (Exigence 8)

RÉSUMÉ RAPPORT PCI VERIZON 2014 NE FAITES PAS PARTIE DES STATISTIQUES! Un mois seulement s'est écoulé en 2014 et plusieurs compromissions de données majeures ont déjà fait les gros titres des journaux. Au niveau mondial, les pertes engendrées par des fraudes à la carte bancaire sont en augmentation Le rapport Nilson estime qu elles ont dépassé 11,2 milliards de dollars en 2012 1. Ces fraudes n affectent pas seulement les titulaires de cartes. Lorsqu une entreprise subit une compromission de données conduisant à la perte de données de titulaires de cartes bancaires, elle peut avoir à engager des frais de notification et de mise en conformité, encourir des pénalités financières de la part des acquéreurs, et perdre la confiance de ses clients ce qui aboutit à une perte d activité. Pertes occasionnées par les fraudes à la carte bancaire (milliards de $) 12MDS 10MDS 8MDS 6MDS 4MDS 2MDS 0MDS 00 01 02 03 04 05 06 07 08 09 10 11 12 Données du rapport Nilson, août 2013 Les criminels utilisent des techniques de plus en plus sophistiquées pour tester et percer vos défenses. Et s'ils réussissent, cela peut nuire durablement à la réputation de votre entreprise il suffit de lire les journaux pour voir l'effet que peut avoir une compromission de données. C'est pour cela que la conformité PCI (Payment Card Industry) est si importante. Dans le pire des scénarios, vous pourriez ne plus être autorisés à accepter les paiements par cartes. Les contrôles de sécurité que vous mettez en place dans le cadre d'un programme de conformité PCI peuvent vous aider à protéger les données des titulaires de cartes bancaires et à préserver une réputation durement gagnée. LA CONFORMITÉ PCI VOUS CONCERNE, AINSI QUE TOUS LES CADRES DE VOTRE ENTREPRISE. Notre Rapport PCI 2014 présente une analyse unique de l état de la conformité au standard PCI Data Security Standard (PCI DSS). Il repose en effet sur des données bien spécifiques. Nous sommes un des fournisseurs de sécurité les plus respectés au monde, et notre équipe d'évaluateurs de sécurité qualifiés (QSA) est une des plus importantes dans son domaine. 2 MARKETING PRODUIT VERIZON

PCI DSS : LE BON SENS DE L'ENTREPRISE Si vous n'êtes pas un expert en sécurité, vous pensez probablement que la conformité PCI ne vous concerne pas que votre équipe de sécurité maîtrise totalement le sujet. Mais le fait est que la conformité PCI vous concerne, ainsi que tous les collaborateurs de votre entreprise de la caissière au directeur, de l informatique au marketing. Le standard de sécurité PCI est destiné à aider les entreprises à protéger les données des titulaires de cartes bancaires; données que vous allez probablement stocker, transmettre et traiter des milliers de fois par jour si vous travaillez dans un moyenne ou une grande entreprise. Mais quelle que soit la taille de votre entreprise, les pays dans lesquels vous travaillez, ou votre domaine d activité, ces données intéressent fortement les cybercriminels, car ce sont les données les plus faciles à convertir en ce qu ils recherchent vraiment : de l argent. Des programmes de conformité inefficaces peuvent grever votre budget et perturber vos opérations, à cause des changements de technologies et de processus importants qu'ils imposent. Les programmes de conformité ne peuvent vous protéger que s ils sont mis en œuvre correctement. En plus de leur expertise PCI, nos consultants et évaluateurs QSA (Qualified Security Assessors) ont une connaissance approfondie de votre secteur professionnel, fruit de longues années d expérience directe dans la vente au détail, l hôtellerie, les services financiers, la santé, et bien d autres domaines. Cette connaissance nous permet d'évaluer correctement vos problèmes; de placer les exigences PCI dans le contexte des réglementations et des normes propres à votre domaine; et d'effectuer des recommandations non seulement en matière de changement de technologie informatique mais aussi de transformation des processus métier. La conformité au standard PCI met l accent sur les bonnes pratiques métier. Elle peut ainsi conduire à des améliorations des processus métier, non seulement en informatique mais également à travers toute votre entreprise. Les questions à se poser sont donc les suivantes : comment pouvons-nous travailler tous ensemble dans l'entreprise à assurer la conformité PCI? Et comment pouvons-nous tirer profit de cette conformité? Le Rapport PCI Verizon 2014 peut vous aider à répondre à ces questions. Depuis 2009, nos évaluateurs QSA ont effectué plus de 4 000 évaluations, dans plus de 500 entreprises et plus de 50 pays. Cette expertise nous procure un point de vue unique sur la protection des données des titulaires de cartes bancaires. 88,9 % DES ENTREPRISES ONT ÉCHOUÉ À LEUR PREMIER AUDIT PCI EN 2013. RAPPORT DE CONFORMITÉ PCI 2014 3

IL SUFFIT D UNE FAILLE Les criminels n'ont besoin que d'un seul défaut dans la cuirasse de votre entreprise pour pénétrer. Or identifier toutes les faiblesses et y remédier n'est pas simple. Le standard PCI DSS définit le niveau de sécurité minimal auquel toutes les entreprises qui traitent des paiements devraient se conformer. Les entreprises peuvent transmettre, traiter et stocker des données de titulaires de cartes bancaires sur des centaines de systèmes PC, terminaux mobiles, serveurs Web, bases de données et systèmes de point de vente via des réseaux privés et publics, manipulés non seulement par des clients mais aussi par des centaines voire des milliers d employés. Des centaines de contrôles doivent être effectués, et certaines exigences peuvent être difficiles à remplir par les entreprises, quelles qu'elles soient. C'est pourquoi il est d'autant plus alarmant que certaines entreprises ne prennent pas la conformité au sérieux. Certaines entreprises continuent de traiter la conformité comme une de ces complexités annuelles dont l'équipe de sécurité a le secret et au sujet desquelles tout le reste de l'entreprise renâcle. Mais si vous n y travaillez pas, un seul point d accès Wi-Fi non contrôlé, un seul compte administrateur non protégé ou un seul disque non chiffré peuvent vous rendre non conformes. L'ÉTAT DE LA CONFORMITÉ Nos recherches montrent qu'entre 2011 et 2013, la conformité aux 289 contrôles de PCI DSS 2.0 a beaucoup varié, chutant de 98,0 % à seulement 39,6 %. Et même s'il est vrai que le nombre d'entreprises qui respectent un niveau élevé de conformité de sécurité PCI a augmenté au fil des années, il reste encore beaucoup de chemin à parcourir. 100 % Conformité moyenne 80 % 60 % 40 % 20 % Conformité moyenne pour toutes les exigences entre 2011 et 2013 = 71,5 % 0 % Contrôles dans l'ordre des % de conformité En 2013, seulement 11,1 % des entreprises étaient entièrement conformes lors de leur première évaluation annuelle alors qu elles n étaient que 7,5 % en 2012. Seules 70 % des entreprises que nous avons évaluées en 2013 étaient presque entièrement conformes c'est-à-dire conformes à 81-99 % des contrôles alors qu'elles n'étaient que 25 % en 2012. 66 % DES COMPROMISSIONS N'ONT ÉTÉ DÉCOUVERTES QU'AU BOUT DE PLUSIEURS MOIS, VOIRE DE PLUSIEURS ANNÉES. Qu'est-ce qui a causé cette augmentation? Nous pensons que les trois principaux facteurs sont : Une meilleure prise de conscience de la nécessité de sécuriser les données : Les efforts du conseil de direction PCI, des organismes de cartes bancaires et des fournisseurs de sécurité ont payé. Les responsables informatiques et les responsables métier comprennent l'importance de la protection des données et la manière de l'assurer. Une meilleure appréciation de la valeur de la conformité : Les conséquences des compromissions de données et la valeur de la mise en œuvre de contrôles de sécurité efficaces sont maintenant mieux appréciées au sein de l entreprise en partie du fait de la couverture médiatique des compromissions. Une plus grande maturité du standard : Chaque version du standard DSS a contribué à lever les ambiguïtés et à rendre plus claires l interprétation et l intention des contrôles de sécurité. RAPPORT 4 D'ENQUÊTE 2013 DE VERIZON SUR MARKETING PRODUIT VERIZON LES COMPROMISSIONS DE DONNÉES

LA CONFORMITÉ EST-ELLE UTILE? En comparant la conformité PCI-DSS des entreprises d après notre rapport aux données de notre Rapport d enquête 2013 sur les compromissions de données (DBIR), nous avons découvert que les entreprises sujettes à des compromissions de données étaient beaucoup moins susceptibles d être efficaces dans : La limitation de l'accès aux données des titulaires de cartes selon les besoins réels. C est une des règles d or de la sécurité couverte par l Exigence 7 du standard DSS. Cette exigence est arrivée avant-dernière dans notre liste, ce qui suggère qu'en laissant trop de gens accéder à des données sensibles on augmente la probabilité des compromissions de données. Gestion des journaux : Les journaux de périphériques couverts par l Exigence 10 du standard DSS peuvent ne pas sembler très intéressants, mais ils sont vitaux pour remarquer les signes avant-coureurs d une attaque et réduire la perte de données dans le cas où une compromission surviendrait. Cette exigence est arrivée à la dernière place dans notre liste, ce qui suggère que l'absence d'une gestion efficace des journaux est un facteur clé pour accroître la probabilité de perte de données de titulaires de cartes bancaires. Victimes de compromissions de données Conformité relative 1. Pare-feux 2. Mots de passe par défaut 3. Chiffrement 4. Communications sécurisées 5. Antivirus 6. Correctifs systèmes 7. Besoin d en connaitre 8. Identifiants uniques 9. Accès physique 10. Gestion des journaux 11. Tests continus 12. Individus -5 Les entreprises victimes de compromissions restreignaient en général beaucoup moins l'accès aux données des titulaires de cartes bancaires sur la base d'une réelle nécessité d'accès. Les entreprises étudiées après une compromission disposaient de politiques de gestion des journaux moins performantes. -4,0-3,5-3,2-2,8-2,5-2,5-2,3-2,1-1,6-0,8-3,1-4 -3-2 -1 < Moins bonne Indice Verizon de conformité PCI relative Meilleure > 0,0 QUEL EST LE DEGRÉ DE SÉCURITÉ DE VOTRE ENTREPRISE? Au-delà des chiffres globaux indiqués ci-dessus, on enregistre des variations importantes de conformité : SELON LE SECTEUR PROFESSIONNEL Entre 2011 et 2013, les détaillants ont été deux fois plus nombreux (69,7 %) que les entreprises hôtelières (35,0 %) à se conformer à 80 % au moins des contrôles DSS 2.0. SELON LA RÉGION En Europe, 31,3 % seulement des entreprises étaient conformes à 80 % au moins des contrôles, loin derrière l'amérique du Nord (56,2 %) et l'asie-pacifique (75,0 %). SELON LES EXIGENCES Plus de la moitié (58,4 %) des entreprises de notre étude restreignaient effectivement l'accès aux données des titulaires de cartes bancaires aux seuls employés qui en ont besoin (Exigence 7). Mais moins d'un quart (23,8 %) testaient régulièrement les systèmes et procédures de sécurité conformément à l'exigence 11. Où se situe votre entreprise? Notre Rapport de conformité PCI 2014 peut vous aider à la découvrir. RAPPORT DE CONFORMITÉ PCI 2014 Plus de la moitié des entreprises ayant mis en œuvre au moins 95 % des contrôles DSS 2.0 ont échoué aux évaluations des tests de leurs systèmes et procédures 5 de sécurité.

TIREZ PROFIT DE LA CONFORMITÉ En ne considérant la conformité PCI que comme un coût de fonctionnement, vous passez à côté d'une opportunité. Vous devriez considérer votre programme de conformité comme un investissement à rentabiliser. Correctement mise en œuvre, la conformité peut conduire à des améliorations des processus, identifier les opportunités de consolider l infrastructure et générer de nouveaux revenus pour votre entreprise. Les bénéfices peuvent être nombreux : UNE MEILLEURE PERFORMANCE MÉTIER Les initiatives de conformité PCI offrent une opportunité réelle d'étudier et de remettre en question vos opérations métier de bout en bout. Un grand nombre d'entreprises ont découvert que la conformité peut avoir un effet immédiat et réel par l'optimisation des processus, une meilleure communication interne et une meilleure vision par les dirigeants de la sécurité et des dépenses associées. DES SERVICES INFORMATIQUES PLUS EFFICACES Les efforts pour se conformer au standard de sécurité PCI amènent presque toujours des changements aussi bien pour l informatique que pour le métier. Les programmes de conformité donnent l'occasion d'un examen stratégique des systèmes et des investissements qui peuvent s'être accumulés au fil des années ou même des décennies, et conduire à de nombreux bénéfices. Ils peuvent, par exemple, vous permettre de consolider et d'optimiser votre infrastructure, avec les avantages qui en découlent en matière de sécurité, de continuité d'activité, de facilité de gestion et de performance des systèmes. LA RÉDUCTION DES RISQUES C'est souvent pour un programme de conformité PCI qu'une entreprise étudie sérieusement pour la première fois l'assurance de ses informations. Les contrôles de base que ce programme apporte peuvent être appliqués à des types de données et de systèmes extérieurs à l'environnement des données de titulaires de cartes de paiement, et aider ainsi à améliorer la sécurité globale et à réduire l'exposition aux risques. L'INCITATION À INNOVATION La conformité ne se limite pas à colmater des brèches. La conformité PCI peut inciter à l'innovation. Elle peut conduire à l'adoption de nouvelles technologies, de nouvelles méthodes de travail et de nouveaux modèles métier certains détaillants ont, par exemple, déployé de nouveaux systèmes de points de vente pour répondre à des exigences PCI et ils en ont retiré des bénéfices importants tels qu'une capacité de traitement accrue et des opportunités de publicité. Les contrôles mis en place dans le cadre de la conformité PCI peuvent aussi servir de base à une utilisation plus large des nouvelles technologies, comme le Cloud Computing et le mobile. UNE PLUS GRANDE CONFIANCE DES CLIENTS Le client de demain sera encore plus exigeant que celui d'aujourd'hui. Le volume de données et les capacités d'analyse évoluées offrent une vision sans précédent du comportement des clients ; mais uniquement si ceux-ci vous font confiance au sujet de leurs données. L'application des normes de sécurité PCI à toutes vos opérations client aidera à préserver la confidentialité des données de vos clients. LA CONFORMITÉ NE DOIT PAS ÊTRE UNE CORVÉE ANNUELLE MAIS DOIT FAIRE PARTIE DE VOS ACTIVITÉS ROUTINIÈRES. Téléchargez le rapport complet et accédez aux autres documents liés au Rapport PCI Verizon 2014 en visitant notre site Web : verizonenterprise.com/fr/pcireport/2014 Verizon 2014 PCI Compliance Report An inside look at the business need for protecting payment card information. 6 MARKETING PRODUIT VERIZON In 2013, 64.4% of organizations failed to restrict each account with access to cardholder data to just one user limiting traceability and increasing risk. (Requirement 8) Research Report

NOS RECOMMANDATIONS 1 NE SOUS-ESTIMEZ PAS L'EFFORT À FOURNIR La conformité PCI nécessite du temps, de l'argent, et le soutien des dirigeants de l'entreprise. Elle doit être intégrée au travail de chacun développeurs d'applications, administrateurs système, cadres, et même employés des magasins et des centres d'appels et ne doit pas être uniquement l'affaire de l'équipe de sécurité informatique. 2 ADOPTEZ UNE CONFORMITÉ DURABLE Une entreprise doit accomplir des milliers de tâches tout au long de l'année pour rester conforme. Pour être durable, la conformité doit être intégrée à "l'activité routinière" dans le cadre d'un processus continu. 3 PENSEZ À LA CONFORMITÉ DANS UN CONTEXTE PLUS LARGE La meilleure manière pour une entreprise de réduire sa charge de travail pour assurer la conformité PCI et obtenir une sécurité réelle consiste à positionner son programme de conformité dans une stratégie plus large de gouvernance, de risque et de conformité. 4 CONSIDÉREZ LA CONFORMITÉ COMME UNE OPPORTUNITÉ Correctement mise en œuvre, la conformité PCI peut conduire à des améliorations des processus, identifier les opportunités de consolider l infrastructure et générer du capital. 5 DÉLIMITEZ UN PÉRIMÈTRE La manière de conserver des systèmes hors d'atteinte n'est pas toujours facile à appréhender, mais les bonnes pratiques à suivre sont simples. La première consiste à stocker moins de données sur moins de systèmes. Cela facilite la conformité et vous permet dans le même temps de réduire vos coûts de stockage et de sauvegarde. RAPPORT DE CONFORMITÉ PCI 2014 7

1. http://www.nilsonreport.com/publication_newsletter_archive_issue.php?issue=1023 verizonenterprise.com/fr 2014 Verizon. Tous droits réservés. Le nom et le logo de Verizon, ainsi que tous les autres noms, logos et slogans identifiant les produits et services de Verizon sont des marques commerciales et des marques de service ou des marques déposées et des marques de service de Verizon Trademark Services LLC ou de ses filiales aux États-Unis et/ou dans d autres pays. Les autres marques commerciales et marques de service appartiennent à leurs propriétaires respectifs. GL00648 FR 03/14