Archives par mot-clé : Cartes de Paiement

Pourquoi le niveau de conformité de la sécurité des paiements diminue-t-il ?

Lorsque les entreprises subissent une attaque, celle-ci cible souvent les informations personnelles et financières des clients issues des données des cartes de paiement. La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a été conçue pour protéger les données de paiement à partir du point d’achat. De manière surprenante, Verizon a observé une chute de la conformité à cette norme au cours des dernières années.

Le rapport sur la sécurité des paiements 2019 de Verizon approfondit cette analyse afin de déterminer la cause de ce phénomène. À l’approche du lancement de la nouvelle version 4.0 de la norme PCI DSS, il explique surtout comment les entreprises peuvent inverser cette tendance en réévaluant leur manière de déployer et structurer leurs programmes de conformité.

Suite au lancement initial de la norme PCI DSS par Visa Inc. en 2004, beaucoup ont supposé que les entreprises parviendraient à atteindre une conformité efficace et durable dans les cinq ans. Aujourd’hui, 15 ans plus tard, le nombre de sociétés parvenant à une conformité durable a chuté de 52,5 % (PSR 2018) à son niveau le plus bas, à peine 36,7 % à l’échelle internationale. Sur le plan géographique, les entreprises de la région APAC (Asie-Pacifique) démontrent une capacité à maintenir leur statut de conformité complète (69,6 %), contre 48 % dans la région EMEA (Europe, Moyen-Orient et Afrique) et à peine 20,4 % (une sur cinq) en Amérique.

Les domaines d’activités à la loupe

L’examen des principaux secteurs d’activité nous permet d’observer la diversité de leur cote de conformité, mais également ce qui leur manque pour parvenir à une conformité complète ainsi que les mesures correctives à adopter par chaque secteur pour améliorer ses performances.

Commerce – Il y a quatre ans, les données des distributeurs étaient le plus souvent compromises au niveau du point de vente. Depuis lors, le lancement aux États-Unis de la technologie EMV (Europay, Mastercard et Visa) semble avoir réduit la proposition de valeur des fraudes aux cartes de paiement, et notre étude a établi que les piratages de données surviennent principalement via les applications Web. Les failles de sécurité n’ont cependant pas été entièrement éradiquées. Les commerçants doivent demeurer vigilants quant à la protection des données des cartes. Leur cote de conformité de 26,3 % est similaire à celle des services informatiques. Parmi leurs lacunes relatives aux exigences de la norme PCI DSS, on compte l’utilisation d’un trop grand nombre de paramètres par défaut des composants du périmètre (exigence 2) et surtout la non-conformité de leur gestion de la sécurité adéquate (exigence 12). Ce phénomène se traduit également par la note la plus faible des secteurs d’activité étudiés obtenue en matière de niveau de préparation aux incidents de piratage de données. En effet, le secteur du commerce peine à identifier les utilisateurs et garantir qu’ils disposent du niveau de privilèges adéquat, faire preuve d’une diligence raisonnable lors des relations avec les prestataires de services, détecter les points d’accès sans fil non autorisés, et gérer un plan de réponse aux incidents.

Secteur hôtelier – Le secteur hôtelier obtient à nouveau la note la plus faible quant au chiffrement des données en transit (exigence 4 de la norme PCI DSS), mais est le seul de l’étude à améliorer ses résultats dans cette catégorie par rapport à l’année précédente. Le secteur hôtelier est également parvenu à mieux se protéger contre les logiciels malveillants (exigence 5). Il présente les progrès les plus notables parmi tous les secteurs d’activité quant à cette exigence en obtenant une conformité de 84,2 %. Le secteur hôtelier est le seul secteur analysé par le PSR 2019 à avoir amélioré ses capacités de contrôle des accès physiques (exigence 9) par rapport à l’année précédente en parvenant à une cote de conformité de 63,2 %. Bien que ce secteur accuse un retard quant à la protection des données des titulaires de cartes stockées (exigence 3), il doit surmonter des difficultés uniques, notamment l’absence de solutions matures conçues pour ce type d’environnement. Les points faibles de l’hôtellerie sont l’identification et l’authentification des utilisateurs, la révision et le test du plan de réponse aux incidents, ainsi que la formation aux responsabilités en cas de piratage.

Finance – Le secteur des services financiers évolue dans un contexte de mutation rapide. Les clients exigent de nouvelles méthodes pour communiquer et effectuer des transactions personnalisées, en particulier via les périphériques mobiles. En parallèle, l’industrie continue d’observer des acteurs issus d’autres secteurs proposer des produits financiers. Au sein de cet environnement très compétitif et régulé, la capacité de protection des données des cartes de paiement fait toute la différence. Les clients s’attendent fortement à ce que les prestataires de services financiers comprennent mieux les besoins de sécurité des paiements que les autres catégories d’entreprises.Les données du PSR suggèrent que le secteur des services financiers se classe en tête quant à la conformité aux exigences de la norme PCI DSS, mais qu’il peut progresser dans le domaine du chiffrement des données en transit (exigence 4) et de la protection contre les logiciels malveillants (exigence 5).

Les conclusions du rapport de cette année font clairement ressortir le fait que de nombreuses entreprises ont encore du chemin à faire pour devenir entièrement conformes, mais qu’elles peuvent y parvenir à l’aide d’outils adéquats et en concentrant leurs efforts sur les points à améliorer. La conformité de la sécurité des paiements est cruciale. Les données du centre VTRAC (Verizon Threat Research Advisory Center) démontrent en outre qu’en l’absence de contrôles adéquats de protection des données, un programme de conformité a plus de 95 % de chances de se révéler transitoire et de devenir potentiellement la cible d’une cyberattaque.

L’étroite corrélation entre l’absence de conformité à la norme PCI DSS et les piratages informatiques fait l’objet de discussions depuis des années. Il n’existe aucun cas documenté publiquement d’une entreprise conforme à la norme PCI DSS ayant subi un piratage de données de cartes de paiement confirmé. La conformité fonctionne ! (Gabriel LEPERLIER – Senior Manager Security Consulting EMEA at Verizon Enterprise Solutions)

La fraude en ligne baisse… mais qu’en est-il de l’impact sur les ventes de l’e-commerçant ?

L’Observatoire de la Sécurité des Cartes de Paiement a rendu public il y a quelques jours son rapport annuel 2012. On y apprend que le taux de fraude sur les paiements en ligne est en baisse pour la première fois depuis 2008 en France, atteignant ainsi 0,29% en 2012, contre 0,34% en 2011.

Au-delà des tendances révélées par ce rapport, les e-commerçants doivent se poser la question de l’impact de leur politique de gestion du risque sur leur taux de conversion. En effet, la baisse constatée du nombre de fraudes sur Internet est sans nul doute liée au recours de plus en plus fréquent à des outils de sécurisation basés sur l’authentification forte : 3D Secure. Mais ce n’est pas sans conséquences : l’érosion des ventes induite par 3D Secure n’est plus un secret pour les professionnels du commerce en ligne. Et même si l’on entend de plus en plus parler de 3D Secure « débrayable » ou « à la demande », est-ce une réelle solution pour les e-commerçants qui doivent arbitrer entre vendre davantage et éviter les fraudes ?

Les paiements frauduleux peuvent avoir des conséquences lourdes sur l’e-commerçant. Outre l’évident impact financier, il y a des conséquences collatérales : charge administrative lourde, e-réputation du marchand mise à mal et impact sur la qualité de ses relations avec ses partenaires bancaires. D’autant plus que les e-commerçants sont inégaux face à la fraude, qu’il s’agisse du type de bien vendu (bien numérique, bien physique avec bon de livraison, valeur vénale du bien vendu), des territoires couverts (national ou international), des marges générées sur chaque vente (plus la marge est faible, plus les efforts nécessaires à la compensation d’une fraude sont importants) voire des ressources humaines et des outils à la disposition de chacun.

On comprend donc assez vite que la lutte contre la fraude doit s’inscrire dans une démarche globale de génération de marge. En bref, comment puis-je m’assurer d’une augmentation des ventes « fiables » sur mon site e-commerce tout en luttant efficacement contre les actes frauduleux? En période de crise, comment ne pas gâcher les opportunités fournies par l’un des seuls secteurs encore porteurs ?

Nombreuses sont les sociétés se vantant de fournir des outils de lutte contre la fraude couvrant jusqu’à plusieurs dizaines de milliers de critères de risque à chaque commande traitée. Mais une telle exhaustivité n’est pas gage d’efficacité, car au-delà de l’outil c’est l’analyse statistique de l’activité du marchand qui lui permettra de prendre les bonnes décisions. Chaque e-commerçant doit être en mesure de déterminer un profil d’acheteur normal. Tout comportement sortant de ce profil doit susciter le déclenchement de règles spécifiques avec des actions ciblées en fonction de l’écart entre le comportement analysé et le comportement « normal ». Un travail d’analyse qui doit s’effectuer en amont de la mise en place de toute stratégie de lutte contre la fraude et qui doit être remis en cause régulièrement en fonction des nouveaux comportements détectés. Il faut aussi prendre conscience que la détection a priori de la fraude n’est qu’une facette d’une stratégie efficace. Le partenaire de gestion du risque doit pouvoir fournir des outils d’aide à la décision pertinents et ergonomiques capables d’indiquer au marchand de façon claire quelles alertes ou règles ont été levées par telle ou telle transaction.

Il devient clair que le « mix » d’une stratégie efficace de gestion de risque repose sur l’expertise business du marchand, l’expertise métier de son partenaire et la pertinence des outils mis à disposition. (Par Nabil Naimy, Head of e-payment solutions chez HiPay pour DataSecurityBreach.fr)