Atteindre une conformité PCI DSS effective et durable en 5 ans a été le pari ambitieux de Visa lors de la publication de la première version du standard PCI DSS en 2004. Quinze ans plus tard, on estime qu’un cinquième des entreprises certifiées PCI DSS ne possèdent pas de “plan de maintien de la conformité” à suivre au cours de l’année.
En 2018, le nombre d’entreprises qui parvenaient à maintenir leur conformité au standard tout au long de l’année était de 52.5% et atteint 36.7% en 2019. C’est ce que nous présente le rapport annuel de Verizon sur la sécurité des paiements et la conformité aux standards PCI DSS.
Fig 1: Nombre d’organisations parvenant à maintenir leur
conformité PCI DSS durant l’année entre 2012 et 2018 en pourcentage
Initialement pensés pour être faciles à reconduire, les processus de renouvellement de la certification PCI DSS sont vécus comme une répétition annuelle du chemin tortueux de la première certification. La ligne directrice de la conformité PCI DSS indique clairement que le fait de répondre aux exigences doit s’inscrire dans le temps à travers des processus de maintien de la conformité. Autrement dit, les entreprises doivent adopter une attitude proactive quant au maintien de la certification plutôt qu’une attitude réactive.
Dans ce dernier cas, trop souvent observé, les entreprises répondent aux non-conformités relevées par les QSAs dans l’objectif d’être conforme à un instant donné sans penser sur le long terme.
Géographiquement, c’est la région de l’Asie-Pacifique (APAC) qui gère le mieux le maintien de la certification au cours de l’année. En effet, dans cette région 70% des 59 entreprises étudiées parviennent à être conformes aux exigences PCI DSS tout au long de l’année.
Ce pourcentage est de 20% pour les 151 entreprises sur le continent américain (Americas) et 49% sur 92 entreprises en Europe/Moyen-Orient (EMEA).
Ainsi, la grande majorité des entreprises qui ont déjà été conformes PCI DSS ne sont pas capables de maintenir leur certification sans une aide extérieure.
Fig 2 : Taux de conformité totale tout au long de l’année des organisations par région
Tout l’enjeu d’un plan de maintien de la conformité est de réagir efficacement aux modifications de l’environnement.
Le rapport met en lumière certains constats qui peuvent être la cause de difficultés s’ils ne sont pas appliqués :
- Le processus de maintien de la conformité nécessite le soutien du management.
- Les entreprises doivent allouer suffisamment de ressources financières, humaines et techniques pour atteindre les objectifs de la conformité et de son maintien.
- Le maintien de la conformité doit être un sujet abordé lors de réunions rassemblant les dirigeants.
- La formation à la sécurité doit aller au-delà du modèle classique “une heure une fois par an”.
- Les entreprises doivent comprendre et maîtriser les risques de sécurité auxquels elles s’exposent.
- Les entreprises doivent veiller à ce que les tierces parties respectent leurs politiques voire les exigences qui leur sont applicables.
- Les politiques et procédures doivent être écrites de manière simple, sans équivoque et accessibles par tous.
- Les entreprises doivent surveiller le bon déroulement de leurs plans et processus de maintien de la conformité.
Quelques erreurs classiques sont :
- Débloquer des ressources que pour la certification annuelle et peu (voire aucune ressource) pour son maintien.
- Se concentrer uniquement sur la mise en conformité et non sur l’objectif sous-jacent qui reste la protection des données.
- Se focaliser uniquement sur les technologies en oubliant les procédures et les processus.
La nouveauté de ce rapport est la corrélation entre des incidents de sécurité affectant des entreprises et leur conformité PCI DSS. L’équipe d’investigation forensique PCI (PFI) de Verizon a rassemblé les données des causes d’incidents de sécurité entre 2016 et 2018 de leurs clients conformes au PCI DSS.
Il a ainsi été observé que la plupart des entreprises avaient des difficultés à reconstruire la succession des événements grâce à une journalisation efficace des événements (exigence 10.2), pourtant essentielle lors d’une investigation après un incident. Il est estimé que dans 73.5% des incidents concernant une organisation certifiée PCI DSS, les exigences du chapitre 10 ne sont pas appliquées. Le manque de journalisation des événements rend la détection d’attaque encore plus difficile. C’est pourquoi, dans 40.8% des incidents, le non-respect des exigences du chapitre 10 contribue à l’incident.
Fig 3 : Corrélation entre l’application du chapitre 10 et les incidents de sécurité
Lors de ses investigations, l’équipe d’investigation forensique PCI de Verizon s’est attachée à essayer de trouver l’origine des incidents de sécurité. Plus précisément, l’objectif était d’attribuer la cause d’un incident à la non-conformité d’un certain chapitre parmi les douze du PCI DSS.
Ainsi, parmi les 12 chapitres formant les exigences du standard PCI DSS, c’est le maintien de la conformité du sixième chapitre qui se révèle être le plus délicat. Sont ainsi concernées dans ce chapitre les exigences relatives au patch management, à la gestion des vulnérabilités, à la gestion du changement, et aux procédures de développement sécurisé.
Fig 4: Les chapitres identifiés comme cause des incidents
de sécurité selon les investigations PFI
La non-conformité des exigences PCI DSS du chapitre 6 a été détectée comme cause principale des incidents de sécurité dans 26.5% des cas. Viennent ensuite le chapitre 1 sur la configuration des pare-feux (18.4%) et le chapitre 8 concernant la gestion des utilisateurs et de l’authentification (12.2%).
Fig 5: Corrélation entre l’application du chapitre 6 et les incidents de sécurité
Il a été observé que plus les entreprises étaient de petite taille, plus les incidents de sécurité étaient récurrents. Cela est notamment dû à une mauvaise gestion des procédures afin de garantir la sécurité des systèmes. En effet, le travail nécessaire pour assurer la sécurité d’une infrastructure n’est souvent pas la priorité dans les petites structures : les tests d’intrusion internes/externes, scans de vulnérabilités et surveillance des systèmes sont souvent négligés.
Source :
https://enterprise.verizon.com/resources/reports/2019-payment-security-fullreport-bl.pdf