Résumé Rapport PCI Verizon 2014 Compte rendu de nos analyses sur l'état actuel de la conformité au standard de sécurité PCI. En 2013, 64,4 % des entreprises n avaient pas restreint à un seul utilisateur chaque compte ayant accès à des données de titulaires de cartes - limitant ainsi la traçabilité et augmentant le risque. (Exigence 8)
RÉSUMÉ RAPPORT PCI VERIZON 2014 NE FAITES PAS PARTIE DES STATISTIQUES! Un mois seulement s'est écoulé en 2014 et plusieurs compromissions de données majeures ont déjà fait les gros titres des journaux. Au niveau mondial, les pertes engendrées par des fraudes à la carte bancaire sont en augmentation Le rapport Nilson estime qu elles ont dépassé 11,2 milliards de dollars en 2012 1. Ces fraudes n affectent pas seulement les titulaires de cartes. Lorsqu une entreprise subit une compromission de données conduisant à la perte de données de titulaires de cartes bancaires, elle peut avoir à engager des frais de notification et de mise en conformité, encourir des pénalités financières de la part des acquéreurs, et perdre la confiance de ses clients ce qui aboutit à une perte d activité. Pertes occasionnées par les fraudes à la carte bancaire (milliards de $) 12MDS 10MDS 8MDS 6MDS 4MDS 2MDS 0MDS 00 01 02 03 04 05 06 07 08 09 10 11 12 Données du rapport Nilson, août 2013 Les criminels utilisent des techniques de plus en plus sophistiquées pour tester et percer vos défenses. Et s'ils réussissent, cela peut nuire durablement à la réputation de votre entreprise il suffit de lire les journaux pour voir l'effet que peut avoir une compromission de données. C'est pour cela que la conformité PCI (Payment Card Industry) est si importante. Dans le pire des scénarios, vous pourriez ne plus être autorisés à accepter les paiements par cartes. Les contrôles de sécurité que vous mettez en place dans le cadre d'un programme de conformité PCI peuvent vous aider à protéger les données des titulaires de cartes bancaires et à préserver une réputation durement gagnée. LA CONFORMITÉ PCI VOUS CONCERNE, AINSI QUE TOUS LES CADRES DE VOTRE ENTREPRISE. Notre Rapport PCI 2014 présente une analyse unique de l état de la conformité au standard PCI Data Security Standard (PCI DSS). Il repose en effet sur des données bien spécifiques. Nous sommes un des fournisseurs de sécurité les plus respectés au monde, et notre équipe d'évaluateurs de sécurité qualifiés (QSA) est une des plus importantes dans son domaine. 2 MARKETING PRODUIT VERIZON
PCI DSS : LE BON SENS DE L'ENTREPRISE Si vous n'êtes pas un expert en sécurité, vous pensez probablement que la conformité PCI ne vous concerne pas que votre équipe de sécurité maîtrise totalement le sujet. Mais le fait est que la conformité PCI vous concerne, ainsi que tous les collaborateurs de votre entreprise de la caissière au directeur, de l informatique au marketing. Le standard de sécurité PCI est destiné à aider les entreprises à protéger les données des titulaires de cartes bancaires; données que vous allez probablement stocker, transmettre et traiter des milliers de fois par jour si vous travaillez dans un moyenne ou une grande entreprise. Mais quelle que soit la taille de votre entreprise, les pays dans lesquels vous travaillez, ou votre domaine d activité, ces données intéressent fortement les cybercriminels, car ce sont les données les plus faciles à convertir en ce qu ils recherchent vraiment : de l argent. Des programmes de conformité inefficaces peuvent grever votre budget et perturber vos opérations, à cause des changements de technologies et de processus importants qu'ils imposent. Les programmes de conformité ne peuvent vous protéger que s ils sont mis en œuvre correctement. En plus de leur expertise PCI, nos consultants et évaluateurs QSA (Qualified Security Assessors) ont une connaissance approfondie de votre secteur professionnel, fruit de longues années d expérience directe dans la vente au détail, l hôtellerie, les services financiers, la santé, et bien d autres domaines. Cette connaissance nous permet d'évaluer correctement vos problèmes; de placer les exigences PCI dans le contexte des réglementations et des normes propres à votre domaine; et d'effectuer des recommandations non seulement en matière de changement de technologie informatique mais aussi de transformation des processus métier. La conformité au standard PCI met l accent sur les bonnes pratiques métier. Elle peut ainsi conduire à des améliorations des processus métier, non seulement en informatique mais également à travers toute votre entreprise. Les questions à se poser sont donc les suivantes : comment pouvons-nous travailler tous ensemble dans l'entreprise à assurer la conformité PCI? Et comment pouvons-nous tirer profit de cette conformité? Le Rapport PCI Verizon 2014 peut vous aider à répondre à ces questions. Depuis 2009, nos évaluateurs QSA ont effectué plus de 4 000 évaluations, dans plus de 500 entreprises et plus de 50 pays. Cette expertise nous procure un point de vue unique sur la protection des données des titulaires de cartes bancaires. 88,9 % DES ENTREPRISES ONT ÉCHOUÉ À LEUR PREMIER AUDIT PCI EN 2013. RAPPORT DE CONFORMITÉ PCI 2014 3
IL SUFFIT D UNE FAILLE Les criminels n'ont besoin que d'un seul défaut dans la cuirasse de votre entreprise pour pénétrer. Or identifier toutes les faiblesses et y remédier n'est pas simple. Le standard PCI DSS définit le niveau de sécurité minimal auquel toutes les entreprises qui traitent des paiements devraient se conformer. Les entreprises peuvent transmettre, traiter et stocker des données de titulaires de cartes bancaires sur des centaines de systèmes PC, terminaux mobiles, serveurs Web, bases de données et systèmes de point de vente via des réseaux privés et publics, manipulés non seulement par des clients mais aussi par des centaines voire des milliers d employés. Des centaines de contrôles doivent être effectués, et certaines exigences peuvent être difficiles à remplir par les entreprises, quelles qu'elles soient. C'est pourquoi il est d'autant plus alarmant que certaines entreprises ne prennent pas la conformité au sérieux. Certaines entreprises continuent de traiter la conformité comme une de ces complexités annuelles dont l'équipe de sécurité a le secret et au sujet desquelles tout le reste de l'entreprise renâcle. Mais si vous n y travaillez pas, un seul point d accès Wi-Fi non contrôlé, un seul compte administrateur non protégé ou un seul disque non chiffré peuvent vous rendre non conformes. L'ÉTAT DE LA CONFORMITÉ Nos recherches montrent qu'entre 2011 et 2013, la conformité aux 289 contrôles de PCI DSS 2.0 a beaucoup varié, chutant de 98,0 % à seulement 39,6 %. Et même s'il est vrai que le nombre d'entreprises qui respectent un niveau élevé de conformité de sécurité PCI a augmenté au fil des années, il reste encore beaucoup de chemin à parcourir. 100 % Conformité moyenne 80 % 60 % 40 % 20 % Conformité moyenne pour toutes les exigences entre 2011 et 2013 = 71,5 % 0 % Contrôles dans l'ordre des % de conformité En 2013, seulement 11,1 % des entreprises étaient entièrement conformes lors de leur première évaluation annuelle alors qu elles n étaient que 7,5 % en 2012. Seules 70 % des entreprises que nous avons évaluées en 2013 étaient presque entièrement conformes c'est-à-dire conformes à 81-99 % des contrôles alors qu'elles n'étaient que 25 % en 2012. 66 % DES COMPROMISSIONS N'ONT ÉTÉ DÉCOUVERTES QU'AU BOUT DE PLUSIEURS MOIS, VOIRE DE PLUSIEURS ANNÉES. Qu'est-ce qui a causé cette augmentation? Nous pensons que les trois principaux facteurs sont : Une meilleure prise de conscience de la nécessité de sécuriser les données : Les efforts du conseil de direction PCI, des organismes de cartes bancaires et des fournisseurs de sécurité ont payé. Les responsables informatiques et les responsables métier comprennent l'importance de la protection des données et la manière de l'assurer. Une meilleure appréciation de la valeur de la conformité : Les conséquences des compromissions de données et la valeur de la mise en œuvre de contrôles de sécurité efficaces sont maintenant mieux appréciées au sein de l entreprise en partie du fait de la couverture médiatique des compromissions. Une plus grande maturité du standard : Chaque version du standard DSS a contribué à lever les ambiguïtés et à rendre plus claires l interprétation et l intention des contrôles de sécurité. RAPPORT 4 D'ENQUÊTE 2013 DE VERIZON SUR MARKETING PRODUIT VERIZON LES COMPROMISSIONS DE DONNÉES
LA CONFORMITÉ EST-ELLE UTILE? En comparant la conformité PCI-DSS des entreprises d après notre rapport aux données de notre Rapport d enquête 2013 sur les compromissions de données (DBIR), nous avons découvert que les entreprises sujettes à des compromissions de données étaient beaucoup moins susceptibles d être efficaces dans : La limitation de l'accès aux données des titulaires de cartes selon les besoins réels. C est une des règles d or de la sécurité couverte par l Exigence 7 du standard DSS. Cette exigence est arrivée avant-dernière dans notre liste, ce qui suggère qu'en laissant trop de gens accéder à des données sensibles on augmente la probabilité des compromissions de données. Gestion des journaux : Les journaux de périphériques couverts par l Exigence 10 du standard DSS peuvent ne pas sembler très intéressants, mais ils sont vitaux pour remarquer les signes avant-coureurs d une attaque et réduire la perte de données dans le cas où une compromission surviendrait. Cette exigence est arrivée à la dernière place dans notre liste, ce qui suggère que l'absence d'une gestion efficace des journaux est un facteur clé pour accroître la probabilité de perte de données de titulaires de cartes bancaires. Victimes de compromissions de données Conformité relative 1. Pare-feux 2. Mots de passe par défaut 3. Chiffrement 4. Communications sécurisées 5. Antivirus 6. Correctifs systèmes 7. Besoin d en connaitre 8. Identifiants uniques 9. Accès physique 10. Gestion des journaux 11. Tests continus 12. Individus -5 Les entreprises victimes de compromissions restreignaient en général beaucoup moins l'accès aux données des titulaires de cartes bancaires sur la base d'une réelle nécessité d'accès. Les entreprises étudiées après une compromission disposaient de politiques de gestion des journaux moins performantes. -4,0-3,5-3,2-2,8-2,5-2,5-2,3-2,1-1,6-0,8-3,1-4 -3-2 -1 < Moins bonne Indice Verizon de conformité PCI relative Meilleure > 0,0 QUEL EST LE DEGRÉ DE SÉCURITÉ DE VOTRE ENTREPRISE? Au-delà des chiffres globaux indiqués ci-dessus, on enregistre des variations importantes de conformité : SELON LE SECTEUR PROFESSIONNEL Entre 2011 et 2013, les détaillants ont été deux fois plus nombreux (69,7 %) que les entreprises hôtelières (35,0 %) à se conformer à 80 % au moins des contrôles DSS 2.0. SELON LA RÉGION En Europe, 31,3 % seulement des entreprises étaient conformes à 80 % au moins des contrôles, loin derrière l'amérique du Nord (56,2 %) et l'asie-pacifique (75,0 %). SELON LES EXIGENCES Plus de la moitié (58,4 %) des entreprises de notre étude restreignaient effectivement l'accès aux données des titulaires de cartes bancaires aux seuls employés qui en ont besoin (Exigence 7). Mais moins d'un quart (23,8 %) testaient régulièrement les systèmes et procédures de sécurité conformément à l'exigence 11. Où se situe votre entreprise? Notre Rapport de conformité PCI 2014 peut vous aider à la découvrir. RAPPORT DE CONFORMITÉ PCI 2014 Plus de la moitié des entreprises ayant mis en œuvre au moins 95 % des contrôles DSS 2.0 ont échoué aux évaluations des tests de leurs systèmes et procédures 5 de sécurité.
TIREZ PROFIT DE LA CONFORMITÉ En ne considérant la conformité PCI que comme un coût de fonctionnement, vous passez à côté d'une opportunité. Vous devriez considérer votre programme de conformité comme un investissement à rentabiliser. Correctement mise en œuvre, la conformité peut conduire à des améliorations des processus, identifier les opportunités de consolider l infrastructure et générer de nouveaux revenus pour votre entreprise. Les bénéfices peuvent être nombreux : UNE MEILLEURE PERFORMANCE MÉTIER Les initiatives de conformité PCI offrent une opportunité réelle d'étudier et de remettre en question vos opérations métier de bout en bout. Un grand nombre d'entreprises ont découvert que la conformité peut avoir un effet immédiat et réel par l'optimisation des processus, une meilleure communication interne et une meilleure vision par les dirigeants de la sécurité et des dépenses associées. DES SERVICES INFORMATIQUES PLUS EFFICACES Les efforts pour se conformer au standard de sécurité PCI amènent presque toujours des changements aussi bien pour l informatique que pour le métier. Les programmes de conformité donnent l'occasion d'un examen stratégique des systèmes et des investissements qui peuvent s'être accumulés au fil des années ou même des décennies, et conduire à de nombreux bénéfices. Ils peuvent, par exemple, vous permettre de consolider et d'optimiser votre infrastructure, avec les avantages qui en découlent en matière de sécurité, de continuité d'activité, de facilité de gestion et de performance des systèmes. LA RÉDUCTION DES RISQUES C'est souvent pour un programme de conformité PCI qu'une entreprise étudie sérieusement pour la première fois l'assurance de ses informations. Les contrôles de base que ce programme apporte peuvent être appliqués à des types de données et de systèmes extérieurs à l'environnement des données de titulaires de cartes de paiement, et aider ainsi à améliorer la sécurité globale et à réduire l'exposition aux risques. L'INCITATION À INNOVATION La conformité ne se limite pas à colmater des brèches. La conformité PCI peut inciter à l'innovation. Elle peut conduire à l'adoption de nouvelles technologies, de nouvelles méthodes de travail et de nouveaux modèles métier certains détaillants ont, par exemple, déployé de nouveaux systèmes de points de vente pour répondre à des exigences PCI et ils en ont retiré des bénéfices importants tels qu'une capacité de traitement accrue et des opportunités de publicité. Les contrôles mis en place dans le cadre de la conformité PCI peuvent aussi servir de base à une utilisation plus large des nouvelles technologies, comme le Cloud Computing et le mobile. UNE PLUS GRANDE CONFIANCE DES CLIENTS Le client de demain sera encore plus exigeant que celui d'aujourd'hui. Le volume de données et les capacités d'analyse évoluées offrent une vision sans précédent du comportement des clients ; mais uniquement si ceux-ci vous font confiance au sujet de leurs données. L'application des normes de sécurité PCI à toutes vos opérations client aidera à préserver la confidentialité des données de vos clients. LA CONFORMITÉ NE DOIT PAS ÊTRE UNE CORVÉE ANNUELLE MAIS DOIT FAIRE PARTIE DE VOS ACTIVITÉS ROUTINIÈRES. Téléchargez le rapport complet et accédez aux autres documents liés au Rapport PCI Verizon 2014 en visitant notre site Web : verizonenterprise.com/fr/pcireport/2014 Verizon 2014 PCI Compliance Report An inside look at the business need for protecting payment card information. 6 MARKETING PRODUIT VERIZON In 2013, 64.4% of organizations failed to restrict each account with access to cardholder data to just one user limiting traceability and increasing risk. (Requirement 8) Research Report
NOS RECOMMANDATIONS 1 NE SOUS-ESTIMEZ PAS L'EFFORT À FOURNIR La conformité PCI nécessite du temps, de l'argent, et le soutien des dirigeants de l'entreprise. Elle doit être intégrée au travail de chacun développeurs d'applications, administrateurs système, cadres, et même employés des magasins et des centres d'appels et ne doit pas être uniquement l'affaire de l'équipe de sécurité informatique. 2 ADOPTEZ UNE CONFORMITÉ DURABLE Une entreprise doit accomplir des milliers de tâches tout au long de l'année pour rester conforme. Pour être durable, la conformité doit être intégrée à "l'activité routinière" dans le cadre d'un processus continu. 3 PENSEZ À LA CONFORMITÉ DANS UN CONTEXTE PLUS LARGE La meilleure manière pour une entreprise de réduire sa charge de travail pour assurer la conformité PCI et obtenir une sécurité réelle consiste à positionner son programme de conformité dans une stratégie plus large de gouvernance, de risque et de conformité. 4 CONSIDÉREZ LA CONFORMITÉ COMME UNE OPPORTUNITÉ Correctement mise en œuvre, la conformité PCI peut conduire à des améliorations des processus, identifier les opportunités de consolider l infrastructure et générer du capital. 5 DÉLIMITEZ UN PÉRIMÈTRE La manière de conserver des systèmes hors d'atteinte n'est pas toujours facile à appréhender, mais les bonnes pratiques à suivre sont simples. La première consiste à stocker moins de données sur moins de systèmes. Cela facilite la conformité et vous permet dans le même temps de réduire vos coûts de stockage et de sauvegarde. RAPPORT DE CONFORMITÉ PCI 2014 7
1. http://www.nilsonreport.com/publication_newsletter_archive_issue.php?issue=1023 verizonenterprise.com/fr 2014 Verizon. Tous droits réservés. Le nom et le logo de Verizon, ainsi que tous les autres noms, logos et slogans identifiant les produits et services de Verizon sont des marques commerciales et des marques de service ou des marques déposées et des marques de service de Verizon Trademark Services LLC ou de ses filiales aux États-Unis et/ou dans d autres pays. Les autres marques commerciales et marques de service appartiennent à leurs propriétaires respectifs. GL00648 FR 03/14