71 % des entreprises ne considèrent pas les standards de PCI (Payment Card Industry) comme stratégiques – déjà 79 % d’entre elles ont connu des fuites de données.
55 % d’entre elles ne sécurisent pas les numéros de sécurité sociale, les numéros de permis de conduire et les détails relatifs aux comptes bancaires. Les consommateurs sont plus exposés avec les plus petites de ces entreprises.
Le leader de la sécurité des données, Imperva, fournit des recommandations aux consommateurs, aux entreprises et au PCI DSS Council, en vue du 31 octobre, date butoir pour la révision des standards.
Redwood Shores (Californie) et Traverse City (Michigan) – 23 septembre 2009 – Imperva et le Ponemon Institute annoncent aujourd’hui les résultats d’une étude auprès de 500 professionnels américains et internationaux de la sécurité informatique. Une étude qui montre que, en dépit du Data Security Standard (DSS) de la Payment Card Industry (PCI), les entreprises se débattent toujours avec la sécurité de leurs données, exposant les consommateurs à un vol d’identité potentiel. 71 % des entreprises interrogées admettent ne pas considérer la sécurité des données comme une priorité stratégique, et 55 % d’entre elles reconnaissent ne sécuriser que les informations relatives aux cartes de crédit et pas les numéros de sécurité sociale, de permis de conduire ou les détails des comptes bancaires. Néanmoins, l’étude montre aussi que les entreprises qui adoptent une démarche stratégique de conformité aux standards PCI connaissent moins de pertes de données que celles qui ne s’inscrivent pas dans ce type de démarche. Fort de ces résultats, Imperva émet un certain nombre de recommandations pour les consommateurs, les entreprises et pour le PCI DSS Council, l’organisme qui pilote les standards PCI, afin d’améliorer la sécurité des informations personnelles fournies par les consommateurs.
Le standard PCI DSS a été bâti pour fournir des directives à toutes les entreprises manipulant des informations relatives aux cartes de crédit, afin d’améliorer la protection des consommateurs. Depuis la promulgation du standard en juin 2005, le nombre de pertes de données et le montant des fraudes aux cartes de crédit ont continué à progresser.
Selon l’étude menée auprès de 500 professionnels américains et internationaux de la sécurité informatique, travaillant dans des entreprises dont le chiffre d’affaires moyen s’élève à 5,6 milliards de dollars :
- 71 % des personnes interrogées ne considèrent pas le standard PCI comme une initiative stratégique ; 79 % d’entre elles ont déjà vécu des fuites de données se traduisant par des pertes ou des vols d’informations relatives aux cartes de crédit.
- 55 % des personnes interrogées se concentrent uniquement sur la protection des données de cartes de crédit et n’essaient pas de sécuriser d’autres informations sensibles, comme les numéros de sécurité sociale, de permis de conduire, les détails des comptes bancaires ou d’autres données relatives aux personnes ou à leurs familles.
- 60 % des personnes interrogées estiment ne pas disposer des ressources nécessaires pour se mettre en conformité avec le standard PCI, ce qui élèverait le niveau de sécurité des détenteurs de cartes.
“Aucune entreprise n’existe uniquement pour se conformer aux standards. Mais l’étude renferme un côté positif : si vous protégez vos consommateurs comme demandé par le standard PCI DSS, vous avez l’occasion d’améliorer globalement votre sécurité”, explique Shlomo Kramer, Pdg d’Imperva.
“Les départements sécurité des entreprises se servent de la conformité PCI comme d’un levier pour augmenter leurs budgets, mais ces ressources ne se traduisent pas toujours par une meilleure sécurité pour les données sensibles confiées par les consommateurs”, dit Larry Ponemon, président du conseil d’administration et fondateur de Ponemon Institute. “Les résultats de notre étude indiquent que, si certaines entreprises sont parvenues à transformer les standards PCI en un mandat global en faveur de la sécurité, un nombre encore bien plus important d’organisations n’y sont pas arrivées.”
Les entreprises les plus petites connaissent les difficultés les plus grandes
L’étude montre que seulement 28 % des entreprises de taille moyenne (de 501 à 1 000 employés) sont conformes au standard PCI, contre 70 % des entreprises les plus importantes (75 000 employés et plus).
“Les entreprises consacrent en moyenne 35 % de leur budget sécurité à la mise en conformité PCI, ce qui fait de cet investissement un obstacle surtout pour les entreprises les plus petites”, explique Amichai Shulman, directeur technique d’Imperva. “C’est pourquoi Imperva recommande au PCI DSS Council de modifier ses exigences à destination des grandes entreprises et des structures plus modestes, afin de tenir compte de différents environnements et besoins en matière de sécurité.”
“Le conseil des standards de sécurité PCI et les fournisseurs de cartes de crédit doivent mettre à jour PCI DSS pour lui conférer une approche par les risques, et le faire dépendre de la configuration des systèmes de l’entreprise cherchant à se mettre en conformité. L’approche monolithique du standard actuel impose des contraintes déraisonnables à de nombreuses entreprises, qui possèdent un réseau peu évolué ou se sont équipées de technologies de sécurité qui ne sont pas intégrées au standard PCI, mais fournissent un niveau de protection similaire, voire supérieur”, expliquait Avivah Litan, vice-président et analyste du cabinet Gartner dans un rapport datant de mai dernier et intitulé “Moving Beyond PCI at Visa’s Global Security Summit”.
Les entreprises qui adoptent une approche stratégique pour leur conformité PCI connaissent moins de fuites de données
Le standard PCI DSS a le potentiel pour modifier les initiatives des entreprises en matière de sécurité. L’étude montre que 27 % des entreprises pensent que la conformité PCI DSS améliore la position de leur organisation en matière de sécurité et inscrivent cette conformité au standard dans une démarche stratégique. Les entreprises qui sont pleinement conformes au standard PCI connaissent moins de fuites de données que celles qui ne le sont pas. Néanmoins, la majorité des personnes interrogées (73 %) ont validé leur conformité PCI via une approche minimaliste, à base de checklist.
Les recommandations d’Imperva aux consommateurs, aux entreprises et au PCI DSS Council
En vue de la date butoir du 31 octobre, date avant laquelle doivent être remises les contributions visant à amender les standards PCI DSS, Imperva livre ses recommandations aux consommateurs, aux entreprises et au PCI DSS Council.
Pour le PCI DSS Council
- Créer un logo de conformité pour les consommateurs. Aujourd’hui, les entreprises ne peuvent pas articuler leurs efforts en matière de sécurité avec leur stratégie commerciale et les consommateurs ne sont pas informés de la conformité ou non des distributeurs qu’ils choisissent. Par voie de conséquence, les entreprises ne peuvent pas tirer profit de leur investissement dans la conformité PCI pour le transformer en avantage compétitif.
- Modifier les besoins de conformité pour les plus grandes et les plus petites organisations. Les plus petites entreprises ont besoin d’un standard modifié qui prenne en compte des environnements et des besoins sécuritaires variés.
Pour les consommateurs
Chercher les entreprises conformes à PCI. En général, les entreprises conformes sont moins victimes de pertes de données que les autres. Même si la conformité ne garantit pas une sécurité parfaite, c’est un avantage.
Pour les entreprises
- Utiliser PCI pour bâtir un programme de sécurité plus large et plus efficace. Servez-vous de PCI comme d’un moyen pour impliquer votre direction dans la sécurité IT et la familiariser à ses enjeux. Le “business case” de PCI est intimement lié aux notions de sécurité de l’information.
- Désigner un responsable clairement identifié, qui pilote PCI ainsi que la sécurité et dont la position dans l’organisation lui permet de diriger de nombreuses équipes. Sans un vrai “champion”, la sécurité – et la conformité – vont connaître des difficultés.
Pour plus d’information
Ecoutez l’interview du Dr. Larry Ponemon par le responsable de la stratégie sécurité d’Imperva, Brian Contos, en podcast ou téléchargez la transcription de cet entretien.
À propos du Ponemon Institute
Le Ponemon Institute se consacre à la promotion de l’éthique en matière d’information et des meilleures pratiques en matière de gestion de la confidentialité au sein des entreprises et des administrations. Pour atteindre ce but, l’institut mène des études indépendantes, sensibilise les responsables des secteurs public et privé ou encore évalue les pratiques en matière de confidentialité et de protection des données d’organisations issues de nombreux secteurs d’activité. Pour plus d’information, visitez : www.ponemon.org.
À propos d’Imperva
Imperva, le leader de la sécurité des données, permet de gérer le cycle de vie de la sécurité des bases de données en entreprises et des applications qui les exploitent. Dans le monde, plus de 4 500 grandes entreprises, organisations gouvernementales ou fournisseurs de services hébergés font confiance à Imperva pour empêcher le vol de données sensibles, les protéger contre les pertes de données, sécuriser leurs applications et assurer la confidentialité de leurs données. Imperva SecureSphere, qui a remporté de nombreuses distinctions, est la seule solution qui offre un monitoring de l’ensemble de l’activité, depuis la base de données jusqu’à l’application de l’utilisateur. Elle est reconnue pour sa simplicité en matière de management et de déploiement. Pour plus d’information, visitez : www.imperva.com.
# # #
Contact Presse
Neil Stinchcombe, Eskenzi PR Ltd.
Tel: +44(0)2071 832 833
neil@eskenzipr.com
Rob Rachwald, Imperva
Tel: +1 415 613 4008
rob.rachwald@imperva.com