Comment réussir à maintenir la sécurité PCI dans un monde en constante évolution ?

Que vous ayez ou non déjà adopté une stratégie de sécurité PCI, c’est le moment de prendre du recul pour reconsidérer la situation.

De plus en plus d’entreprises ont pris conscience que la sécurité PCI n'aurait jamais dû être considérée comme un enjeu technique, mais comme un élément fondamental de leur stratégie d'entreprise.
En réalité, la sécurité PCI est surtout une question de business. La réussite d'une entreprise dépend de son aptitude à s'adapter au rythme des évolutions. Pour préserver sa rentabilité, il lui faut améliorer sa capacité à gérer convenablement les risques métiers liés aux données des porteurs de cartes de paiement. En fin de compte, il s'agit d'aider les entreprises à être pérennes. 
D’ailleurs on constate au niveau mondial une réelle amélioration, puisqu’en 2013, plus de 82 % des entreprises étaient conformes à au moins 80 % des recommandations du standard PCI lors de leur évaluation annuelle, alors qu’elles n’étaient que 32 % dans ce cas en 2012. Toutefois, ce chiffre plafonne en Europe à 31 % (source : 2014 PCI Compliance Report). 
On peut dire que des pratiques commerciales saines supposent de préserver durablement les investissements de l'entreprise et d'accroître le potentiel de gains de chaque bien mobilisé. L’acceptation des cartes de paiement est un atout commercial précieux, à condition qu'elle soit bien gérée et protégée ! Dans le cas contraire, elle n’est pas sans risques.

Le paysage de la sécurité PCI en 2014

L’application du standard PCI fait l'objet d'une prise de conscience générale dans tous les secteurs.
La plupart des entreprises savent qu'elles doivent justifier de mesures adaptées de protection des données des porteurs de cartes de paiement, conformément au standard PCI-DSS (Payment Card Industry Data Security Standard). Elles reconnaissent aussi qu'il s'agit d'un effort de conformité sur le long terme, qui constituera une part importante de leur activité pendant de nombreuses années. 
Une majorité des commerçants et des prestataires de services sont déjà en conformité PCI DSS, ou en passe d'obtenir la certification. C’est ainsi que la plupart des entreprises ont appris (certaines à leurs dépens) que les programmes de sécurité PCI peuvent s'avérer extrêmement complexes. Il ne faut jamais sous-estimer la portée de la sécurité PCI, ni ses effets immédiats et à long terme sur les activités sous-jacentes de l'entreprise.
Pourtant, en dépit des progrès considérables qui ont été réalisés ces dernières années pour comprendre l'incidence de la sécurité PCI (principalement en termes de ressources mobilisées pour assurer la réussite durable d’un programme de mise en conformité), de nombreuses entreprises rencontrent encore des difficultés

Quels sont les défis à relever ?

Pour l'essentiel, de nombreuses entreprises ne disposent tout simplement pas des connaissances et du savoir-faire requis pour protéger correctement leurs données et maintenir leur conformité de manière rentable.
Nous sommes en 2014 et la première version du standard PCI DSS 1.0 édictée par le PCI SSC (PCI Security Standards Council) date de décembre 2004, soit pas moins de neuf ans.
Or le cycle de vie du standard PCI DSS est de trois ans. Actuellement, les entreprises doivent se conformer au standard PCI DSS 2.0, mais le récent lancement de la version 3.0, entrée en vigueur le 1er janvier 2014, les incitera à intégrer la sécurité des paiements à leurs activités courantes. Elle offre plus de souplesse et insiste davantage sur le fait que la formation, la sensibilisation et la sécurité sont une responsabilité partagée par tous. Avec ce nouveau standard, les entreprises devront faire face à de nouveaux défis centrés sur l'obligation de procéder à des tests d’intrusion spécifiques pour le périmètre de sécurité, et à de plus grandes responsabilités vis-à-vis du recours à des tiers.
Les menaces se renouvellent sans cesse et, avec la croissance exponentielle des volumes de données, non seulement les entreprises sont confrontées à de plus grandes difficultés, mais aussi à davantage de responsabilités à endosser. Pour beaucoup, les données constituent un pouvoir. Toutefois, plus elles stockent de données personnelles, plus elles s’exposent aux risques de compromissions de données.
Les menaces liées aux données des porteurs de cartes de paiement évoluent, et les pratiques de gestion des risques doivent s'adapter aux progrès de l’industrie bancaire, avec notamment l'introduction rapide des technologies de paiements mobiles. 

Que nous réserve le futur ?

En 2014, les programmes de sécurité PCI constitueront toujours un enjeu complexe pour de nombreuses entreprises, même après avoir obtenu la certification de conformité initiale.
La capacité d'une entreprise à maintenir sa conformité de manière rentable et à gérer un programme de mise en conformité relève d’une question de maturité. Comment cela se passera-t-il ?
Les responsables de la conformité devront produire un rapport sur le coût total de possession (TCO - Total Cost of Ownership) de leurs programmes de mise en conformité. Dans une étude réalisée à la fin de l'année 2013, Verizon a toutefois constaté que, même si certaines entreprises calculent le TCO de leurs programmes de mise en conformité, très peu vont jusqu'à en calculer le retour sur investissement (ROI - Return on Investment). 
Les responsables de la conformité sont réellement désavantagés par ce manque d’informations sur les performances financière de la conformité, alors qu’une totale transparence serait nécessaire pour obtenir l’adhésion de l’entreprise entière. Et, plus important encore, il devient indispensable d’offrir une visibilité complète sur les conséquences des menaces envers les données sensibles, des nouvelles technologies de paiement et des mises à jour du standard PCI sur la réussite commerciale de l’entreprise. 

Certification / VERIZON