Comme tous les ans depuis 2010, Verizon livre son « Payment Security Report ». Pour la deuxième année consécutive, ce rapport constate que le pourcentage d’entreprises conformes au PCI DSS a diminué pour s'établir à 36,7 % à l'échelle mondiale.
L’édition 2019 constate que la protection et la conformité des données représentent des défis quotidiens. Or, plus de la moitié des entreprises ont encore du mal à atteindre leurs objectifs pour concevoir, mettre en œuvre et maintenir un système de programme de conformité.
Selon Verizon, de nombreuses organisations croient qu'elles peuvent protéger les données en suivant un script précis et récurrent. Or, les solutions ne sont pas simples. Elles nécessitent des trajectoires complexes avec des progressions non linéaires.
Des programmes de sécurité efficaces sur… le papier
Des organisations dépensent beaucoup de temps et d'argent dans la création de programmes de conformité en matière de protection des données. Mais,
peu sont efficaces ! Ces dits programmes ne parviennent pas à aller au-delà de ce qu’ils sont sur le papier. Ils ne résistent pas à une analyse minutieuse en termes de sécurité.
Trop souvent, les RSSI se concentrent uniquement sur le contrôle de base, au lieu d'accroître la protection des données, la compétence et la maturité.
Dans ce contexte, Verizon indique que le pourcentage d'entreprises entièrement conformes au PCI DSS (Payment Card Industry Data Security Standard) a diminué pour la deuxième année consécutive pour s'établir à 36,7 % à l'échelle mondiale.
Dans le monde, seule une entreprise sur trois respecte ces normes de sécurité des données applicables à l’industrie des cartes de paiement, contre à peine une sur cinq en Amérique.
Le rapport de Verizon constate aussi que certains secteurs sont plus touchés par les fuites de données bancaires que d’autres. Logiquement peut-on dire (étant donné le développement du e-commerce), le retail et le tourisme sont respectivement au premier et second rang.
Comme d’autres études, ce rapport remarque un décalage entre d’un côté un contexte de plus en plus contraignant et risqué et d’un autre côté l’absence de prise en compte des enjeux.
Quelques statistiques confirment ce décalage. D’un côté :
- 33 % des professionnels ont qualifié leurs mesures de sécurité de « très efficaces » ;
- 84 % ont qualifié leurs mesures de sécurité « d'efficaces » ;
De l’autre côté :
- Une très forte majorité (79 %) est convaincue qu'ils trouveraient des appareils mobiles infectés ;
- 77 % étaient certains qu'ils découvriraient une mauvaise utilisation par les employés ;
- La moitié (48 %) a sciemment sacrifié la « sécurité pour la sécurité » au profit de l'efficacité du rendement organisationnel ».
- De nombreux professionnels n’ont pas tenu compte de l'expérience acquise pour renforcer leur niveau de protection. Seulement 45 % des organisations touchées par un piratage ou une fuite de données ont ensuite installé de la sécurité sur les terminaux mobiles.
Depuis deux ans, Verizon s’appuie sur une enquête auprès de plus de 600 personnes sur l'utilisation des téléphones mobiles. Principale constatation, cité dans le rapport « Verizon Mobile Security Index 2019 » : un tiers a déclaré un compromis lié aux appareils mobiles, en hausse de 5 % par rapport à 2018.
Parmi ceux qui ont été compromis, 62 % l'ont caractérisé comme « majeur » et 41 % comme « majeur avec des répercussions durables ».
Or, le commerce mobile devrait augmenter de 28,8 % selon Verizon. Cette évolution des comportements d’achats des consommateurs se traduit par une augmentation sensible des attaques reposant sur les techniques d'ingénierie sociale.
Or, de plus en plus de consommateurs souhaitent que leurs données soient mieux protégées. Un sondage IFOP avait indiqué il y a quelques mois que près de 80 % des personnes interrogées en France intégraient dorénavant la confidentialité de leur vie privée comme un critère d’achat…
Source : Verizon