Verizon a publié la version 2018 de son rapport sur la sécurité des paiements électroniques et l’adéquation avec le standard PCI DSS
Bien que le rapport soit centré sur le standard PCI DSS, Verizon indique que les éléments rapportés peuvent être utilisés dans le cadre du respect d’autres standards de sécurité comme le RGPD.
Le pourcentage de sociétés auditées par Verizon implémentant toutes les dispositions prévues par le standard PCI DSS a baissé en 2017 (52.5% contre 55.4% en 2016), alors que la tendance était plutôt à la hausse depuis 2012.
Verizon estime que les standards de sécurité devraient être considérés comme des guides permettant de construire des procédures de sécurité robustes et efficaces.
La société communique également des pièges à éviter lors de l’implémentation de dispositions prévues dans un standard de sécurité :
- ne s’intéresser qu’a l’impact financier de la certification ;
- considérer les procédures de sécurité comme une simple étape vers la certification ;
- allouer trop peu de ressources ou des ressources manquant d’expérience aux tâches liées au respect du standard ;
- manque de communication entre les équipes de sécurité et les autres équipes de l’entreprise ;
- manque de soutien de la part de la direction de l’entreprise.
Le rapport indique que la gestion du respect du standard PCI DSS ne devrait pas être traitée comme un projet à part, mais pleinement intégrée dans les processus opérationnels des équipes concernées.
Les auteurs indiquent 9 facteurs permettant d’améliorer l’efficacité et la durabilité des contrôles mis en place dans le cadre de respect du standard PCI DSS :
- définition de l’environnement (établir une liste des composants concernés par la certification) ;
- adaptation des contrôles mentionnés dans le standard aux spécificités de l’environnement ;
- vérification régulière de l’adéquation entre les contrôles effectués et les évolutions de l’environnement ;
- définition des contrôles de manière à ce qu’ils restent pertinents en cas d’évolution des menaces ;
- définition des contrôles de manière à ce qu’ils puissent être rapidement rétablis en cas d’évènement entrainant leur interruption ;
- gestion du cycle de vie des contrôles ;
- gestion de la performance d’un contrôle (mesure de l’adéquation du contrôle avec ses objectifs) ;
- documentation de l’évolution de la maturité de l’organisation vis-à-vis du standard PCI DSS dans le temps ;
- développement d’une compétence interne d’auto-évaluation du respect du standard PCI DSS.
Le rapport est disponible à l’adresse suivante : https://enterprise.verizon.com/content/dam/resources/reports/2018/2018_payment_security_report_executive_summary_en_xg.pdf.