Embed Size (px)
DESCRIPTION
En 2013 11,1% des entreprises étaient entièrement conformes lors de leur premier audit Examinez les 12 exigences PCI DSS — et découvrez comment la conformité change année après année. http://vz.to/1juLSLM
Citation preview
11.1%
4
9
EN 2013, SEULEMENT
11,1 %DES ENTREPRISES QUE
NOUS AVONS ÉVALUÉES ÉTAIENT TOTALEMENT
CONFORMES PCI-DSS
1
2
3
5
6
78
0 % conforme
100 % conformeÉchelle de conformité
4
10
11
12
9
84,4%
73,3% 77,8%
84,4%
86,7%
73,3%
68,9%
73,3% 82,2%
97,8% 95,6%
80,0%
80,0%
51,1%
80,0%
55,6%
91,1%
97,8%95,6% 93,3%
95,6%
95,6%93,3%
84,4%
82,2%44,4%
80,0%93,3% 88,9%
88,9%80,0%
84,4%
88,9%80,0%
73,3%
66,7%
84,4%
82,2%93,3%93,3%88,9%
71,1%
84,4%
86,7%
73,3%
73,3%75,6%100%
73,3%53,3%
93,3%100%75,6%77,8
%
51,1
%
93,3%80,0%
84,4%
73,3%
100%
95,6%
77,8%
Seulement 53,3 % des entreprisesse conformaient à la non-utilisation des mots de passepar défaut des fournisseurs. Un grand nombre ont eu
des difficultés avec les sous-contrôles pour 2.2.2 — seules 50,5% se conformaient aux deux
.
En 2013, 80,0 % des entreprises étaientconformes — soit la deuxième place dans
notre étude. Toutes celles ne respectant pasl'Exigence 4 ne respectaient pas non plus
4.1.a, le chiffrement des données sur des réseaux non sécurisés.
En 2012, un tiers seulement (34,0 %) desmesures antivirus des entreprises se
conformaient à tous les contrôles.En 2013, la conformité a bondi à 84,4 %.
Seulement 13,2% des entreprises se sont conformées à tous les contrôles liés au stockage des données de titulaires de cartes bancaires en
2012. En 2013, ce pourcentage est monté à 55,6 %.
Plus de 70 % desentreprises se sont
conformées à 80–99 % des contrôles en 2013
(soit une augmentation de 45 points par rapport à 2012).
+180 %
*En 2013, 11,1% des
entreprises étaient entièrement conformes
lors de leur premier audit — alors qu'elles
n'étaient que 7,5 % en 2012. +48%
La tendance est prometteuse, avec 46,9 % d'entreprises conformes. Mais des défis
subsistent, tels qu'une gestion efficace des journaux d’audit. Celle-ci permet d'être informé
rapidement des attaques et de minimiser les pertes de données en cas de compromission.
35 % des compromissions ont impliqué des attaques physiques,
et les terminaux de paiement sont des cibles courantes.
Entre 2012 et 2013, le respect del'Exigence 9 a presque triplé,
pour atteindre 75,6 %.
2
Entre 2012 et 2013, la conformité a doublé, pour atteindre 35,6 %.Pourtant, les entreprises continuent de ne pas mettre en œuvredeux contrôles importants — verrouiller les comptes après un
maximum de six échecs de connexion et mettre fin aux sessions aubout de 15 minutes d'inactivité — ce qui facilite le détournement
par des pirates de comptes utilisateur légitimes.
Les entreprises sont de plus en plus conscientesqu'une sécurité efficace nécessite la vigilance detoute l'entreprise. Le respect de l'Exigence 12 abondi de 17,0 % en 2012 à 55,6 % en 2013.
La conformité moyenne est
passée de 52,9 % en 2012 à 85,2 %
en 2013.
+61%
Les pertes mondiales engendrées
par les fraudes aux cartes bancaires sont en
augmentation.Le Rapport Nilson a estimé les pertes en
2012 à 11,27 milliards de dollars.
11.27milliards de
dollars
L'Exigence 11 [Test régulier des systèmes etprocessus de sécurité] reste à la dernière place en 2013. Mais elle est mieux respectée (de 11,3 % en 2012 à 40,0 % en 2013).
En 2013, seulement 12,5 % des entreprises qui ontsubi une compromission de données étaient conformes
au moment de cette compromission — à comparer à une moyenne de 46,7 %
pour toutes les entreprises.
Il est recommandé de limiter l'accès aux données des titulaires de cartes bancaires en fonction des besoins
réels. La plupart des entreprises comprennent qu'il n'est pas acceptable de permettre aux utilisateurs d'accéder à
toutes les données, et la conformité est donc montée à 77,8 %.
En 2013, seulement 16,4 % des entreprises qui ont subi une compromission de données étaient conformes, à comparer à une moyenne de 53,3 % pour toutes les
entreprises évaluées. Cela suggère une corrélation entre la non-conformité et les compromissions de données.
on 2012
Le Rapport PCI Verizon 2014 en quelques chiffres
1. Rapport Nilson © 2013 2. RAPPORT D’ENQUÊTE 2013 DE VERIZON SUR LES COMPROMISSIONS DE DONNÉES (DBIR)© 2014 Verizon. Tous droits réservés. Le nom et le logo de Verizon, ainsi que tous les autres noms, logos et slogans identifiant les produits et services de Verizon sont des marques commerciales et des marques de service ou des marques déposées et des marques de service de Verizon Trademark Services LLC ou de ses filiales aux États-Unis et/ou dans d’autres pays. Les autres marques commerciales et marques de service appartiennent à leurs propriétaires respectifs.
Téléchargez le Rapport PCI Verizon 2014 sur :verizonenterprise.com/fr/pcireport/2014
Votre marque et votre réputation dépendent de la sécurité de vos donnéesLa confiance est un prérequis dans le choix d’une entreprise par les clients. Et pourtant, seule une entreprise sur neuf (11,1 %) est entièrement conforme lors de son premier audit. En cas de compromission, les entreprises n’ont pas à craindre simplement une perte de données et de confiance — elles risquent une interruption d’activité, des pénalités financières et une perte de revenus. En 2012, les fraudes à la carte bancaire dans le monde entier ont représenté un total de 11,27 milliards de dollars.1 La dépendance aux données client est telle que la sécurisation de celles-ci revêt une importance vitale.
Exigences du standard PCI DSS
1 Installer et gérer une configuration de pare-feu pour protéger les données de titulaires de cartes bancaires
2 Ne pas utiliser les valeurs par défaut du fournisseur pour les mots de passe système et d'autres paramètres de sécurité
3 Protéger les données de titulaires de cartes bancaires enregistrées
4 Chiffrer la transmission des données de titulaires de cartes bancaires sur les réseaux publics
5 Utiliser un logiciel antivirus et le mettre à jour régulièrement
6 Développer et gérer des systèmes et des applications sécurisés
7 Restreindre l'accès aux données des titulaires de cartes bancaires en fonction des besoins
8 Affecter un identifiant unique à chaque utilisateur d'ordinateur
9 Restreindre l'accès physique aux données de titulaires de cartes bancaires
10 Suivre et surveiller tous les accès aux ressources du réseau et aux données de titulaires de cartes bancaires
11 Tester régulièrement les systèmes et les processus
12 Mettre en place une politique de sécurité de l'information pour tout le personnel
