Le Rapport PCI Verizon 2014

506 views
416 views

Published on

En 2013 11,1% des entreprises étaient entièrement conformes lors de leur premier audit
Examinez les 12 exigences PCI DSS — et découvrez comment la conformité change année après année. http://vz.to/1juLSLM

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
506
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Le Rapport PCI Verizon 2014

  1. 1. 11.1% 4 9 EN2013, SEULEMENT 11,1% DESENTREPRISESQUE NOUSAVONSÉVALUÉES ÉTAIENTTOTALEMENT CONFORMES PCI-DSS 1 2 3 5 6 78 0%conforme 100%conformeÉchelledeconformité 4 10 11 12 9 84,4% 73,3% 77,8% 84,4% 86,7% 73,3% 68,9% 73,3% 82,2% 97,8% 95,6% 80,0% 80,0% 51,1% 80,0% 55,6% 91,1% 97,8% 95,6% 93,3% 95,6% 95,6%93,3% 84,4% 82,2% 44,4% 80,0% 93,3% 88,9% 88,9% 80,0% 84,4% 88,9% 80,0% 73,3% 66,7% 84,4% 82,2%93,3%93,3% 88,9% 71,1% 84,4% 86,7% 73,3% 73,3% 75,6%100% 73,3%53,3% 93,3% 100% 75,6% 77,8% 51,1% 93,3% 80,0% 84,4% 73,3% 100% 95,6% 77,8% Seulement 53,3 % des entreprises se conformaient à la non-utilisation des mots de passe par défaut des fournisseurs. Un grand nombre ont eu des difficultés avec les sous-contrôles pour 2.2.2 — seules 50,5% se conformaient aux deux . En 2013, 80,0 % des entreprises étaient conformes — soit la deuxième place dans notre étude. Toutes celles ne respectant pas l'Exigence 4 ne respectaient pas non plus 4.1.a, le chiffrement des données sur des réseaux non sécurisés. En 2012, un tiers seulement (34,0 %) des mesures antivirus des entreprises se conformaient à tous les contrôles. En 2013, la conformité a bondi à 84,4 %. Seulement 13,2% des entreprises se sont conformées à tous les contrôles liés au stockage des données de titulaires de cartes bancaires en 2012. En 2013, ce pourcentage est monté à 55,6 %. Plus de 70 % des entreprises se sont conformées à 80–99 % des contrôles en 2013 (soit une augmentation de 45 points par rapport à 2012). +180 % * En 2013, 11,1% des entreprises étaient entièrement conformes lors de leur premier audit — alors qu'elles n'étaient que 7,5 % en 2012. +48% La tendance est prometteuse, avec 46,9 % d'entreprises conformes. Mais des défis subsistent, tels qu'une gestion efficace des journaux d’audit. Celle-ci permet d'être informé rapidement des attaques et de minimiser les pertes de données en cas de compromission. 35 % des compromissions ont impliqué des attaques physiques, et les terminaux de paiement sont des cibles courantes. Entre 2012 et 2013, le respect de l'Exigence 9 a presque triplé, pour atteindre 75,6 %. 2 Entre 2012 et 2013, la conformité a doublé, pour atteindre 35,6 %. Pourtant, les entreprises continuent de ne pas mettre en œuvre deux contrôles importants — verrouiller les comptes après un maximum de six échecs de connexion et mettre fin aux sessions au bout de 15 minutes d'inactivité — ce qui facilite le détournement par des pirates de comptes utilisateur légitimes . Les entreprises sont de plus en plus conscientes qu'une sécurité efficace nécessite la vigilance de toute l'entreprise. Le respect de l'Exigence 12 a bondi de 17,0 % en 2012 à 55,6 % en 2013. Laconformité moyenneest passéede52,9% en2012à85,2% en2013. +61% Les pertes mondiales engendrées par les fraudes aux cartes bancaires sont en augmentation. Le Rapport Nilson a estimé les pertes en 2012 à 11,27 milliards de dollars. 11.27 milliardsde dollars L'Exigence 11 [Test régulier des systèmes et processus de sécurité] reste à la dernière place en 2013. Mais elle est mieux respectée (de 11,3 % en 2012 à 40,0 % en 2013). En 2013, seulement 12,5 % des entreprises qui ont subi une compromission de données étaient conformes au moment de cette compromission — à comparer à une moyenne de 46,7 % pour toutes les entreprises. Il est recommandé de limiter l'accès aux données des titulaires de cartes bancaires en fonction des besoins réels. La plupart des entreprises comprennent qu'il n'est pas acceptable de permettre aux utilisateurs d'accéder à toutes les données, et la conformité est donc montée à 77,8 %. En 2013, seulement 16,4 % des entreprises qui ont subi une compromission de données étaient conformes, à comparer à une moyenne de 53,3 % pour toutes les entreprises évaluées. Cela suggère une corrélation entre la non-conformité et les compromissions de données. on2012 Le Rapport PCIVerizon 2014 en quelques chiffres 1. Rapport Nilson © 2013 2. RAPPORT D’ENQUÊTE 2013 DE VERIZON SUR LES COMPROMISSIONS DE DONNÉES (DBIR) © 2014 Verizon. Tous droits réservés. Le nom et le logo de Verizon, ainsi que tous les autres noms, logos et slogans identifiant les produits et services de Verizon sont des marques commerciales et des marques de service ou des marques déposées et des marques de service de Verizon Trademark Services LLC ou de ses filiales aux États-Unis et/ou dans d’autres pays. Les autres marques commerciales et marques de service appartiennent à leurs propriétaires respectifs. Téléchargez le Rapport PCI Verizon 2014 sur : verizonenterprise.com/fr/pcireport/2014 Votre marque et votre réputation dépendent de la sécurité de vos données La confiance est un prérequis dans le choix d’une entreprise par les clients. Et pourtant, seule une entreprise sur neuf (11,1 %) est entièrement conforme lors de son premier audit. En cas de compromission, les entreprises n’ont pas à craindre simplement une perte de données et de confiance — elles risquent une interruption d’activité, des pénalités financières et une perte de revenus. En 2012, les fraudes à la carte bancaire dans le monde entier ont représenté un total de 11,27 milliards de dollars.1 La dépendance aux données client est telle que la sécurisation de celles-ci revêt une importance vitale. Exigences du standard PCI DSS 1 Installer et gérer une configuration de pare-feu pour protéger les données de titulaires de cartes bancaires 2 Ne pas utiliser les valeurs par défaut du fournisseur pour les mots de passe système et d'autres paramètres de sécurité 3 Protéger les données de titulaires de cartes bancaires enregistrées 4 Chiffrer la transmission des données de titulaires de cartes bancaires sur les réseaux publics 5 Utiliser un logiciel antivirus et le mettre à jour régulièrement 6 Développer et gérer des systèmes et des applications sécurisés 7 Restreindre l'accès aux données des titulaires de cartes bancaires en fonction des besoins 8 Affecter un identifiant unique à chaque utilisateur d'ordinateur 9 Restreindre l'accès physique aux données de titulaires de cartes bancaires 10 Suivre et surveiller tous les accès aux ressources du réseau et aux données de titulaires de cartes bancaires 11 Tester régulièrement les systèmes et les processus 12 Mettre en place une politique de sécurité de l'information pour tout le personnel

×