A une époque de forte montée en puissance du risque cyber, Le PSR 2022 continue de conseiller les organisations sur les meilleures pratiques pour négocier la norme PCI DSS v4.0.
Afin d’aider les entreprises à interpréter la nouvelle norme de sécurité des paiements, Verizon lance le rapport 2022 sur la sécurité des paiements (PSR) en même temps que l’introduction en 2022 de la norme PCI DSS v4.0 par le PCI SSC. Concrètement, Le PSR 2022 comprend une approche logique des systèmes, étape par étape, pour gérer les problèmes de sécurité complexes avant l’échéance de la norme PCI DSS v4.0 2024. Les organisations ont mis l’accent sur la gestion et la gouvernance de la sécurité, ce qui s’est traduit par des gains importants (43,4 % de conformité en 2020, contre 27,9 % en 2019) ; Et l’écart de contrôle de la sécurité s’est considérablement amélioré en 2020, passant d’un niveau élevé de 7,7 % en 2019 à un faible niveau de 4,0 % en 2020.
Certes la conformité à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) se soit considérablement améliorée en 2020, les menaces de cybersécurité auxquelles les organisations sont confrontées sont plus complexes et dangereuses qu’elles ne l’étaient il y a seulement deux ans, révèle le 2022 Verizon Payment Security Report (2022 PSR). Alors que les organisations se préparent à mettre en œuvre la norme PCI DSS v4.0, le PSR 2022 fournit des indications précieuses pour s’adapter à la nouvelle norme.
L’approche logique de Verizon en matière de gestion stratégique des défis de conformité complexes permet aux entreprises de faire la différence. Le rapport de cette année révèle que, dans l’ensemble, la conformité à la norme PCI DSS s’est considérablement améliorée en 2020 avec 43,4 % des organisations maintiennent une conformité totale. Il s’agit d’une amélioration de 15,5 % par rapport à ce qui a été signalé dans le PSR de 2019, qui a vu la conformité à un bas niveau de 27,9 %. En outre, bien que plus de la moitié (56,7 %) des organisations aient échoué à leur évaluation de validation intermédiaire en raison de l’absence d’un ou plusieurs contrôles de sécurité, l’écart de contrôle de sécurité s’est tout de même considérablement amélioré, passant d’un niveau élevé de 7,7 % en 2019 à un faible niveau de 4,0 % en 2020.
« Malgré les améliorations en matière de conformité, nous savons que des acteurs mal intentionnés sont toujours présents et plus forts que jamais, » déclare Sampath Sowmyanarayan, CEO, Verizon Business. « Notre rapport 2022 Data Breach Investigations Report (2022 DBIR) a révélé que le secteur financier continue d’être victime du crime organisé à motivation financière, les serveurs étant impliqués dans 90 % des violations financières. Par conséquent, il est peu probable que le fait de travailler plus dur sur votre stratégie actuelle fasse avancer les choses, » ajoute-t-il. « Pour maximiser la sécurité de son organisation dans le climat actuel de menaces accrues, les entreprises devront revoir leurs objectifs en adaptant le projet, le programme et la stratégie globale. »
La pandémie de COVID-19 a intensifié les activités commerciales en ligne et les transactions par carte de paiement, mais elle a également permis d’exploiter habilement les menaces et les faiblesses existantes et émergentes des systèmes et processus de paiement. Pour compliquer encore le paysage de la sécurité des paiements pour les responsables de la sécurité des systèmes d’informations (RSSI) et autres praticiens de la sécurité, le PCI SSC a récemment institué la plus importante réécriture de la norme DSS depuis sa publication en 2004. Bien qu’il s’agisse d’une avancée significative, les responsables de la sécurité devront concentrer leur attention et leurs ressources sur la mise en conformité avec ces nouvelles exigences. Publiée au début de l’année, la norme PCI DSS v4.0 doit entrer en vigueur au début de 2024.
Priorités de conception pour PCI DSS v4.0
Les RSSI et leurs équipes devront appliquer un processus logique et coordonné pour évaluer les exigences et les contraintes, tout en se frayant un chemin à travers les changements. Pour aider les organisations du secteur des paiements à simplifier la complexité de ces nouvelles mesures et à assurer la sécurité des données, le PSR 2022 comprend une « boîte à outils » de méthodes, modèles et cadres de gestion utiles dans le cadre de la nouvelle norme PCI DSS v4.0.
Comme le souligne le rapport, les défis que les organisations rencontrent en matière de sécurité des données et de gestion de la conformité ont des relations de cause à effet identifiables. La clé pour obtenir une croissance et une stabilité continues des performances des programmes de sécurité et de conformité est de trouver un moyen de concentrer les ressources sur les seuls éléments de l’environnement de sécurité qui limitent ou bloquent actuellement toute amélioration ultérieure – les maillons les plus faibles, les contraintes du système ou les points de levier. Ainsi, la planification stratégique, la coordination et l’exécution au niveau opérationnel seront primordiales pour éviter de coûteuses violations de données.
Impact potentiel de la 5G sur la conformité des cartes de paiement
Les technologies dites émergentes, telles que la 5G et l’edge computing, ont pris un essor considérable lorsque la pandémie de COVID-19 a révélé les maillons les plus faibles du secteur des services financiers. La vitesse et la stabilité de la 5G continueront à améliorer l’expérience mobile pour le secteur des paiements – offrant une plus grande sécurité aux clients grâce à des méthodes avancées d’identification et de vérification basées notamment sur la biométrie. Elles fournissent également des connexions plus sécurisées pour les vidéoconférences, avec des participants tels que des professionnels de la finance et des conseillers en crédit.
Les institutions financières et les acteurs du commerce continueront à trouver des moyens innovants pour bénéficier des fonctionnalités améliorées de la 5G, de l’architecture ouverte et des technologies MEC (Multi-access Edge Computing). Dans le même temps, les spécialistes de la sécurité doivent étudier comment ces nouvelles innovations peuvent avoir un impact sur la conformité à la norme PCI DSS.
