Verizon : Rapport sur la sécurité des paiements (PSR) 2019

Le taux de conformité de la sécurité des paiements diminue : dans le monde, seule une entreprise sur trois est à la hauteur, contre à peine une sur cinq en Amérique

Le rapport sur la sécurité des paiements 2019 de Verizon souligne la raison pour laquelle la conformité est essentielle et offre des mesures permettant de lutter contre cette tendance à la baisse de la conformité.

Ce que vous devez savoir :

  • Le pourcentage d’entreprises entièrement conformes à la norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a diminué pour la deuxième année consécutive pour s’établir à 36,7 % à l’échelle mondiale.
  • Seule une entreprise sur cinq est entièrement conforme en Amérique, et les sociétés de la région Asie-Pacifique occupent le haut du tableau.
  • Le cadre 9-5-4 de Verizon traite des éléments susceptibles de contribuer au développement et à l’amélioration de la maturité des capacités et des processus dans le cadre d’un programme de conformité de protection des données (DPCP) global.

Le rapport sur la sécurité des paiements 2019 de Verizon (PSR 2019) a conclu que la conformité de la sécurité des paiements a diminué pour la deuxième année consécutive et que les entreprises basées en Amérique accusent du retard par rapport à leurs homologues internationales.

Suite au lancement initial de la norme PCI DSS par Visa Inc. en 2004, beaucoup ont supposé que les entreprises parviendraient à atteindre une conformité efficace et durable dans les cinq ans. Aujourd’hui, 15 ans plus tard, le nombre de sociétés parvenant à une conformité durable a chuté de 52,5 % (PSR 2018) à son niveau le plus bas, à peine 36,7 % à l’échelle internationale. Sur le plan géographique, les entreprises de la région APAC (Asie-Pacifique) démontrent une capacité à maintenir leur statut de conformité complète (69,6 %), contre 48 % dans la région EMEA (Europe, Moyen-Orient et Afrique) et à peine 20,4 % (une sur cinq) en Amérique.

La norme PCI DSS aide les entreprises proposant la possibilité de payer par carte à protéger leurs systèmes de paiement contre les piratages et le vol des données des titulaires de cartes, comme l’indique la série de rapports d’enquête sur le piratage de données Verizon. On mesure la conformité comme la capacité d’une entreprise à répondre à la norme, et surtout à la pérenniser. 

« Après avoir observé une hausse graduelle de la conformité de 2010 à 2016, on assiste désormais à une tendance baissière inquiétante et au renforcement des écarts entre les régions », indique Rodolphe Simonetti, directeur général international du service de conseil en sécurité de Verizon. « Nous constatons qu’un nombre de plus en plus élevé d’entreprises ne parviennent pas à obtenir ni à pérenniser leur statut de conformité à la norme PCI DSS, ce qui nuit directement à la sécurité des données de paiement de leurs clients. À l’approche du lancement de la nouvelle version 4.0 de la norme PCI DSS, les entreprises ont la possibilité d’inverser cette tendance en réévaluant leur manière de déployer et structurer leurs programmes de conformité. »

Le nouveau cadre Verizon aide les entreprises à diriger leur conformité de sécurité de paiement

La protection des données et la conformité entraînent des difficultés quotidiennes. De nombreuses sociétés estiment qu’elles peuvent employer un script générique pour protéger leurs données de manière efficace et durable. Cependant, dans la pratique, la sécurité est plus complexe.

M. Simonetti ajoute : « De nombreuses entreprises dépensent beaucoup de temps et d’argent à créer des programmes de conformité de protection des données qui se révèlent souvent inefficaces : bien que valables sur le papier, ils ne résistent pas à la rigueur d’une évaluation de sécurité professionnelle. J’observe de nombreux directeurs informatiques s’efforcer de préserver les activités de contrôle de référence au lieu d’évaluer la compétence et la maturité de la protection des données. Il leur est essentiel de disposer d’un guide de navigation clair et aisément compréhensible leur permettant d’obtenir des résultats mesurables et prévisibles. »

Lors des précédents rapports sur la sécurité des paiements, Verizon a élaboré une méthodologie visant à aider les entreprises à gérer leurs programmes de conformité de protection des données (DPCP). Ceux-ci ont désormais été fusionnés pour former le cadre de performances des programmes de conformité Verizon 9-5-4, une directive dont le but est de développer et d’améliorer la maturité des capacités et des processus.

Le cadre 9-5-4 a été conçu pour aider les sociétés à obtenir des résultats reproductibles, homogènes et prévisibles en proposant des conseils leur permettant de cartographier, surveiller et signaler le degré de durabilité et d’efficacité des neuf facteurs d’efficacité et de durabilité de contrôle, à savoir l’environnement de contrôle, la conception de contrôle, le risque de contrôle, la résilience de contrôle, la gestion du cycle de vie de contrôle, la gestion des performances, la mesure de maturité et l’auto-évaluation. Cette méthode s’applique aux quatre domaines d’assurance essentiels : responsabilité individuelle, gestion des risques et équipes de conformité, audit interne, audit externe et régulateurs. Pour ce faire, on évalue les cinq contraintes des compétences opérationnelles : capacité, aptitude, compétence, engagement et communication.

Un lien renforcé entre absence de conformité et piratages

Le rapport comprend également des données issues du centre VTRAC (Verizon Threat Research Advisory Center), qui démontrent qu’en l’absence de contrôles adéquats de protection des données, un programme de conformité a plus de 95 % de chances de se révéler transitoire et de devenir potentiellement la cible d’une cyberattaque.

« L’étroite corrélation entre l’absence de conformité à la norme PCI DSS et les piratages informatiques fait l’objet de discussions depuis des années », conclut M. Simonetti. « Afin d’approfondir la discussion, le rapport de cette année propose davantage d’informations issues de l’équipe VTRAC Verizon chargée de rédiger la série de rapports d’enquête sur les piratages de données de Verizon. Nos données indiquent que nous n’avons jamais enquêté sur un piratage de données de sécurité des cartes de paiement ayant ciblé une entreprise conforme à la norme PCI DSS. La conformité fonctionne ! »

À propos du rapport sur la sécurité des paiements 2019 Verizon

Le rapport de cette année porte principalement sur la visibilité, le contrôle et la maturité des DPCP. Il comprend les résultats de 302 engagements PCI DSS de nombreuses entreprises, parmi lesquelles des sociétés du classement Fortune 500 ainsi que d’importantes multinationales basées dans plus de 60 pays. Les évaluations ont été conduites par l’équipe Verizon d’évaluateurs de sécurité qualifiés (QSA) PCI ainsi que des QSA d’autres acteurs de premier plan, notamment ControlScan, Foregenix, MegaplanIT et Schellman. 

À l’instar de la série de rapports d’enquête sur les piratages de données de Verizon, le PSR 2019 se base sur des dossiers actuels et porte principalement sur les services financiers (50,7 %), les services informatiques (17,5 %), le commerce (19,9 %) et le secteur hôtelier (10,6 %). En termes géographiques, l’Amérique et les régions APAC et EMEA représentent respectivement 50 %, 20 % et 30 % du panel.

Plus d’informations sur Verizon : https://supr-agency.com/?s=verizon

Leave a Reply

Your email address will not be published.