Le PCI Security Standards Council (PCI SSC) a publié hier la version 3.0 de la norme de sécurité des données PCI DSS qui entrera en vigueur le 1er Janvier 2014. La mise à jour de la norme PCI répond au manque actuel de sensibilisation à la sécurité et vise une meilleure intégration dans le cadre des activités quotidiennes des commerçants (« business as usual »). La formation en matière de sécurité sera également privilégiée, l’objectif étant d’aider les commerçants à adopter la norme avec plus de souplesse, et d’insister sur le fait que la sécurité est une responsabilité partagée par tous.
Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, commente:
« Après de nombreuses violations de données de haut niveau dans ce secteur, le moment est idéal pour renforcer de la norme PCI. Il n’y a aucun doute sur le fait que les cyber-attaques continuent de croître et de se complexifier et qu’elles représentent une réelle et très sérieuse menace pour toutes les entreprises – et pas uniquement celles traitant l’information des titulaires de carte.
En conséquence, il est essentiel que les questions liées à la faiblesse des mots de passe, au manque de systèmes d’authentification et aux évaluations contradictoires soient abordées et réglementée. Cela dit, le manque de sensibilisation et l’insuffisance de la formation sur des normes telles que PCI n’est tout simplement plus acceptable.
Une des grandes préoccupations réside dans le fait que les organisations ont tendance à considérer la conformité comme une obligation ponctuelle et à adopter une approche « case à cocher », voyant la sécurité comme un simple ajout après coup, une fois la certification obtenue. C’est tout simplement impardonnable de nos jours et cela indique un manque évident de bon sens – en particulier lorsque des failles de sécurité sont si souvent rapportés et la confiance des clients continue à d’effriter. La sécurité doit au contraire faire partie d’un processus continu et actif, et c’est la raison pour laquelle l’introduction de la formation à la sécurité et les efforts de collaboration dans le cadre des nouvelles exigences de conformité sont bienvenues.
La compréhension de PCI et des autres normes, tout comme la recherche des menaces potentielles, est effectivement la première ligne de défense contre les attaques : si les organisations restent inattentives, ne serait-ce que quelques secondes, c’est une porte ouverte pour de potentielles attaques. En gardant un œil constant sur toute l’activité réseau, les entreprises peuvent récolter de précieuses données sur leur système informatique et obtenir des informations traçables, que les organismes de réglementation pourraient venir à exiger. Une telle vision détaillée permet également aux équipes de sécurité d’être alertées si quelque chose d’anormal ou de non-autorisé se produit.
Anticiper les attaques est aujourd’hui essentiel car il ne s’agit de savoir « quand », et non plus « si », les organisations sont ciblées par des attaques, même si elles sont “conformes” sur le papier. »