Avis d'expert : "Conformité PCI-DSS : vers une approche unifiée" de Graeme Nash (Fortinet)
La sécurité du commerce électronique passe par la lutte contre le piratage des données des titulaires de cartes de crédit et de comptes bancaires. La norme PCI-DSS permet une protection efficace mais est très coûteuse à mettre en œuvre. Pour diminuer les coûts et améliorer les performances, Graeme Nash, Directeur de Solutions Stratégiques chez Fortinet à Sophia propose une approche consolidée.
Jean-Pierre Largillet3 min de lecturePour protéger l'écosystème des paiements par carte et éviter le piratage des données des titulaires de cartes de crédit et de comptes bancaires, notamment dans le monde du commerce électronique, une norme efficace a été définie : la norme PCI-DSS. Mais sa mise en application reste hors de prix. Aussi, quelles stratégies peuvent-elles être employées pour réduire la complexité et le coût d’une mise en conformité PCI ? Quelles sont les priorités à considérer pour une mise en oeuvre de la norme? Dans un avis d'expert, Graeme Nash, Directeur de Solutions Stratégiques chez Fortinet, une société spécialisée dans la sécurité informatique et basée à Sophia Antipolis, propose une approche consolidée pour améliorer les performances, la sécurité et réduire les coûts. Voici son texte.
"Conformité PCI-DSS : vers une approche unifiée"
Récemment, nous avons pu lire dans la presse de quoi sont capables les cybercriminels pour pénétrer les réseaux d’entreprises et voler des données précieuses dans le but de gagner de l’argent ou d’obtenir un avantage compétitif. Ces attaques sont particulièrement présentes dans le monde du commerce électronique, où l’on peut trouver les données des titulaires de cartes de crédit et de comptes bancaires, qui seront ensuite vendus sur le marché noir de la toile.
Heureusement, les principaux intéressés de l’écosystème des paiements par carte ont défini une norme qui s’est avérée être très efficace (bien que faillible) pour protéger les données de ces infractions. Au cours des cinq dernières années, le cadre de la norme PCI-DSS a évolué passant de directives sans sanctions exécutoires à une certification ‘obligatoire’ pour toute entreprise qui manipule, stocke ou transmet des données relatives aux utilisateurs de cartes bancaires.
Pour atteindre son objectif visant à protéger les données des titulaires de cartes, le PCI-DSS s’étend à la plupart des disciplines et compétences IT, à savoir le réseau, les bases de données, les applications web, les systèmes de fichiers, le chiffrement et autres opérations essentielles de sécurité, telles que la gestion des vulnérabilités et des configurations. Ceci a conduit à un coût global de la mise en conformité extrêmement élevé, mettant en cause l’applicabilité de la norme en termes de risques par rapport aux coûts.
En début d’année, l’Institut Ponemon a mené une étude aux Etats-Unis sur les coûts réels de la conformité auprès de 160 entreprises, dont 46 de taille internationale. Le résultat de cette étude a montré que, pour les moyennes entreprises, le coût total de la conformité aux normes telles que PCI-DSS, SoX, HIPAA et autres, pèserait aux environs de 3.5 millions de dollars, tandis que les conséquences de la non-conformité ont été estimées à 9.4 millions de dollars.
Bien que ces chiffres illustrent un avantage non négligeable en termes d’investissement, les risques financiers demeurent trop importants par rapport aux risques opérationnels auxquels sont exposés la majorité des organisations soumises au PCI-DSS. Alors, quelles stratégies peuvent être employées pour réduire la complexité et le coût d’une mise en conformité PCI ? Quelles sont les priorités à considérer pour une mise en oeuvre de la norme?