De nombreuses entreprises ont du mal à conserver des RSSI ou des responsables de la sécurité qualifiés. Et le manque de réflexion sur la sécurité à long terme peut nuire à la conformité avec cette norme visant à réduire la fraude en ligne selon Verizon.
Les cybercriminels ciblent toujours principalement les données financières et de paiement selon Verizon : 9 violations de données sur 10 étant motivées par ces raisons. Rien que dans le secteur du commerce de détail, 99 % des incidents de sécurité étaient liés à l'acquisition de données de paiement à des fins criminelles.
Mais seulement 27,9 % des organisations mondiales ont maintenu une conformité totale avec la norme PCI DSS. L’acronyme PCI DSS (Payment Card Industry Data Security Standard) désigne les normes de sécurité des données applicables à l’industrie des cartes de paiement.
Plus inquiétant encore, c'est la troisième année consécutive où l'on constate une baisse de la conformité, avec un recul d’un quart environ depuis le pic de conformité atteint en 2016.
Manque de tests
Rappelons que cette norme mondiale n’est pas obligatoire au regard de la loi aux États-Unis. La réglementation applicable aux données des titulaires de cartes diffère d’un État à l’autre, et la non-conformité se traduit le plus souvent par de lourdes amendes pour l’entreprise concernée.
« Malheureusement, nous constatons que de nombreuses entreprises manquent de ressources et d'engagement de la part de leurs dirigeants pour soutenir des initiatives à long terme en matière de sécurité des données et de conformité. C'est inacceptable », a déclaré Sampath Sowmyanarayan, président de Verizon Business.
« La pandémie a poussé les consommateurs à abandonner l'utilisation traditionnelle de l'argent liquide au profit de méthodes de paiement sans contact avec des cartes de paiement ainsi que des appareils mobiles. Cela a généré davantage de données de paiement électronique et les consommateurs font confiance aux entreprises pour la sauvegarde de leurs informations », constate Verizon.
Et d’insister : « La sécurité des paiements doit être considérée comme une priorité commerciale permanente par toutes les entreprises qui traitent des données de paiement, elles ont une responsabilité fondamentale envers leurs clients, fournisseurs et consommateurs ».
Mais cette priorité ne semble pas partagée par toutes les organisations : un peu plus de la moitié seulement teste avec succès les systèmes et les processus de sécurité ainsi que l'accès non surveillé aux systèmes.
Faiblesses organisationnelles
Verizon note que deux tiers de toutes les entreprises suivent et surveillent l'accès à leurs systèmes essentiels de manière adéquate. Mais, seulement 70,6 % des institutions financières maintiennent des contrôles de sécurité essentiels sur le périmètre.
Pourquoi autant de lacunes ou d’absences de procédures ? Les mesures nécessaires pour protéger les données sensibles des cartes de paiement sont perçues comme trop longues et trop coûteuses par les PME.
Ce rapport pointe également les défis auxquels les RSSI sont confrontés pour concevoir, mettre en œuvre et maintenir une stratégie de sécurité efficace et durable. Ces problèmes ne sont pas de nature technologique, mais résultent de faiblesses organisationnelles.
Elles pourraient être résolues par des compétences de gestion plus matures, notamment en créant des processus formalisés, en élaborant un modèle commercial pour la sécurité et en définissant une stratégie de sécurité solide avec des modèles et des cadres opérationnels.