80 % des entreprises échouent à l’évaluation intermédiaire de confirmation de leur conformité PCI

80 % des entreprises échouent à l’évaluation intermédiaire de confirmation de leur conformité PCI

Près de 80 % des entreprises échouent à l’évaluation intermédiaire de confirmation de leur conformité PCI et sont donc vulnérables aux cyberattaques,
L’édition 2015 du rapport Verizon PCI Compliance indique que les entreprises doivent adresser la conformité dans la durée et établit un lien direct entre défaut de conformité et compromissions de données  
 
Près de 80 % des entreprises échouent à l’évaluation intermédiaire de confirmation de leur conformité PCI et sont donc vulnérables aux cyberattaques, selon le rapport PCI Compliance 2015 de Verizon paru cette semaine.  Avec plus de deux-tiers de tous les achats payés par carte, et un montant total de 20.000 milliards de dollars de transactions prévu en 2015, la sécurité est plus essentielle que jamais pour les entreprises qui traitent ces paiements.
Pour sa quatrième édition, ce rapport 2015 de Verizon fait un état des lieux de la conformité au standard PCI DSS (Payment Card Industry Data Security Standard) et examine sa corrélation avec les cas de compromission de données dont sont parfois victimes les organisations des secteurs des services financiers, de la vente au détail et du tourisme et de l’hôtellerie, entre autres secteurs. 
Les recherches menées par Verizon montrent, depuis 2009, que les organisations ayant subi une compromission de données étaient toujours en dessous du niveau de conformité requis sur plusieurs points de contrôle PCI DSS.

En réduisant la probabilité d’être attaquées, les entreprises prennent soin de leur marque, s’assurent la confiance de leurs clients et évitent des coûts qui peuvent être importants. De fait, 69% des consommateurs hésitent à acheter auprès d’une entreprise victime d’une infraction.
« Le paysage de la cybersécurité se renouvelle constamment », explique M. Simonetti. « Un état de conformité ponctuelle ne suffit pas pour protéger les données, l’effort doit être maintenu dans la durée et s’inscrire dans le cours des activités quotidiennes d’une organisation, encadré par une stratégie de sécurité plus globale. »
 

Principaux résultats de l’étude PCI Compliance 2015
Cette année, seules 29 % des entreprises sont toujours 100% conformes à la norme PCI-DSS moins d’un an après leur certification.  Mais si les niveaux de conformité restent bas, de même que le suivi des contrôles de maintien de la conformité, certains points positifs ressortent de cette édition 2015 du rapport. 
En 2014, près de deux fois plus d’entreprises ont été déclarées conformes lors de leur audit de conformité intermédiaire qu’en 2013.
Selon Rodolphe Simonetti, « les organisations qui ne se maintiennent pas en totale conformité font preuve de négligence sur trois fronts : la régularité des tests des systèmes de sécurité, la tenue à jour des systèmes et la protection des données stockées. L’analyse des dossiers de compromissions par Verizon montre clairement qu’aucune des sociétés victimes n’était en totale conformité avec les recommandations PCI DSS au moment de l’attaque. »

Les autres conclusions du rapport incluent :
·         Entre 2013 et 2014, le niveau de conformité a progressé pour 11 des 12 contrôles PCI DSS, c’est-à-dire que 60 % des sociétés auditées en 2014 étaient en conformité avec au moins un critère.
·         La progression moyenne de la conformité est de 18 points de pourcentage.
·         La plus forte progression concerne l’authentification des accès (Exigences chapitre 8).
·         Le seul aspect où l’on constate un recul de la conformité concerne les tests des systèmes de sécurité (Exigences chapitre 11), de 40 à 33 %. 
 
Le rapport de cette année conclut sur une tendance inquiétante concernant la sécurité des données toujours inadaptée, ajoute M. Simonetti. Le volume et l’ampleur des compromissions de données ces 12 derniers mois montrent clairement que les techniques actuelles n’arrêtent pas les cybercriminels, elles ne les freinent même pas le plus souvent. Il est important d’inscrire l’effort de conformité PCI DSS dans le cadre d’une stratégie globale de gestion des risques et de la sécurité de l’information. Une évaluation PCI DSS peut mettre au jour des failles de sécurité importantes qu’il faut combler mais rien ne garantit que les données seront protégées d’une cyberattaque.


Le rapport PCI 2015 est disponible à l’adresse : http://vz.to/PCIR15X


PrécédentAccueilSuivantPartager