Avec PCI DSS 3.0, la conformité ne peut pas se limiter à un système de case à cocher

Le PCI Security Standards Council (PCI SSC) a publié hier la version 3.0 de la norme de sécurité des données PCI DSS qui entrera en vigueur le 1er Janvier 2014. La mise à jour de la norme PCI répond au manque actuel de sensibilisation à la sécurité et vise une meilleure intégration dans le cadre des activités quotidiennes des commerçants (« business as usual »). La formation en matière de sécurité sera également privilégiée, l’objectif étant d’aider les commerçants à adopter la norme avec plus de souplesse, et d’insister sur le fait que la sécurité est une responsabilité partagée par tous.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, commente:

« Après de nombreuses violations de données de haut niveau dans ce secteur, le moment est idéal pour renforcer de la norme PCI. Il n’y a aucun doute sur le fait que les cyber-attaques continuent de croître et de se complexifier et qu’elles représentent une réelle et très sérieuse menace pour toutes les entreprises – et pas uniquement celles traitant l’information des titulaires de carte.
En conséquence, il est essentiel que les questions liées à la faiblesse des mots de passe, au manque de systèmes d’authentification et aux évaluations contradictoires soient abordées et réglementée. Cela dit, le manque de sensibilisation et l’insuffisance de la formation sur des normes telles que PCI n’est tout simplement plus acceptable.

Une des grandes préoccupations réside dans le fait que les organisations ont tendance à considérer la conformité comme une obligation ponctuelle et à adopter une approche « case à cocher », voyant la sécurité comme un simple ajout après coup, une fois la certification obtenue. C’est tout simplement impardonnable de nos jours et cela indique un manque évident de bon sens – en particulier lorsque des failles de sécurité sont si souvent rapportés et la confiance des clients continue à d’effriter. La sécurité doit au contraire faire partie d’un processus continu et actif, et c’est la raison pour laquelle l’introduction de la formation à la sécurité et les efforts de collaboration dans le cadre des nouvelles exigences de conformité sont bienvenues.

La compréhension de PCI et des autres normes, tout comme la recherche des menaces potentielles, est effectivement la première ligne de défense contre les attaques : si les organisations restent inattentives, ne serait-ce que quelques secondes, c’est une porte ouverte pour de potentielles attaques. En gardant un œil constant sur toute l’activité réseau, les entreprises peuvent récolter de précieuses données sur leur système informatique et obtenir des informations traçables, que les organismes de réglementation pourraient venir à exiger. Une telle vision détaillée permet également aux équipes de sécurité d’être alertées si quelque chose d’anormal ou de non-autorisé se produit.

Anticiper les attaques est aujourd’hui essentiel car il ne s’agit de savoir « quand », et non plus « si », les organisations sont ciblées par des attaques, même si elles sont “conformes” sur le papier. »

 

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?