Publi-News

Switch to desktop Register Login


Rodolphe Simonetti, Verizon : « L'adoption de PCI DSS ne pose plus problème en Europe »

  • jeudi 16 février 2017 19:16
  • Taille de police Réduire la taille de la police Réduire la taille de la police Augmenter la taille de police Augmenter la taille de police


Rodolphe Simonetti, Verizon Rodolphe Simonetti, Verizon

Selon le dernier rapport Verizon Data Breach Digest 2017, les compromissions de données se multiplient et deviennent plus complexes, affectant tous les services des entreprises. Tout comme l’avait déjà démontré l’édition 2016, l’élément humain demeure central. Les individus conservent en effet un rôle majeur dans les cas de compromission de données et autres incidents de cybersécurité, qu’ils soient acteurs de la menace, victimes ciblées ou membres de l’équipe d’intervention. Dans cette interview, Rodolphe Simonetti, managing director, professional security services (Worldwide) chez Verizon Enterprise Solutions, fait le point sur l’adoption de PCI DSS, le standard censé protéger les données des cartes bancaires.

PCI DSS n’a pas toujours eu bonne presse sur le Vieux Continent. Où en est aujourd’hui son acceptation en Europe ?

L’état d’esprit est beaucoup plus positif qu’il y a cinq ans. En termes d’adoption, la question n’est plus ‘faut-il ou non adopter PCI DSS’ mais ‘quand l’adopter’. Il est arrivé que certains RSSI refusent, par posture, de se mettre en conformité avec le standard, mais leurs entreprises ont néanmoins voulu se couvrir des risques liés à la manipulation des données cartes et décidé de passer outre. Le besoin de conformité ne fait plus de doute aujourd’hui en Europe, la croissance des vols de données apportant de l’eau au moulin de PCI DSS.

Il y a pourtant des entreprises en conformité qui ont subi des vols de données ?

Ce raisonnement est pour le moins simpliste. Cela reviendrait à dire que le permis de conduire ne servirait à rien puisque ceux qui l’ont obtenu ont aussi des accidents. Il y des entreprises qui se disent conformes par simple déclaration. Après un vol de données, il y a généralement un audit qui atteste de la conformité. L’entreprise peut être conforme par simple déclaration ou par validation d’un QSA agrée, en supposant que ce dernier n’est pas complaisant. Il faut garder à l’esprit que le numéro de carte appartient à l’émetteur et qu’accepter le paiement par carte, c’est aussi accepter la sécurisation de son usage au travers de la conformité PCI DSS. Les métiers de DSI ou RSSI sont des métiers récents qui ressentent mal le fait d’être audités. Ce n’est pas le cas dans les métiers de la finance où l’audit d’un cabinet agrée challenge mais protège aussi le directeur financier de l’entreprise.

Que répondez-vous  à ceux qui préfèrent les normes ISO 27001/27002 ?

Ces normes ISO sont surtout destinées aux entreprises qui veulent faire de la sécurité un avantage concurrentiel car l’adoption de cette norme n’a aucun caractère obligatoire.  Avec PCI DSS, l’engagement est contractuel, l’entreprise n’a pas le choix. Elle doit se conformer aux 957 points définis par la dernière version PCI DSS 3.0. Les deux contextes sont différents. Il ne faut pas les opposer. Le DSI qui implémente ISO 27001 a déjà répondu à 80% des exigences de PCI DSS, ce qui représente un avantage dans la mesure où cette mutualisation permet de substantielles économies d’échelle. La norme ISO protège l’entreprise avec un nombre de points facultatifs alors que le standard PCI protège le business des cartes bancaires avec ses 957 points de contrôle. C’est pourquoi aujourd’hui quasiment 100% des entreprises adoptent PCI DSS. Selon le secteur économique ou le pays, cette adoption est plus ou moins avancée dans sa traduction pratique. Les prestataires de services de paiements, les sites d’e-commerce et les chaînes de ‘retail’ sont déjà conformes au standard. Les banques le sont aussi.

N’est-ce pas normal pour les banques?

Pas du tout ! Les banques ne sont tenues de prouver leur conformité à PCI DSS alors qu’elles doivent la vérifier pour tous les marchands qui sont clients de leurs services. Une banque peut commander un audit et en faire ce que bon lui semble alors qu’un marchand doit le soumettre à Visa/MasterCard ou à sa banque afin d’être couvert en cas de risque. Aujourd’hui, la majorité des banques sont conformes à PCI DSS même si elles n’envoient pas leur certificat de conformité à Visa/MasterCard.

Le fait de passer par un hébergeur réputé conforme dispense-t-il de respecter les 957 points de contrôle ?

La certification d’un hébergeur porte sur un périmètre donné. Il peut répondre aux 957 points de contrôle alors que l’un de ses clients ne l’est peut-être qu’à 50%. Tout dépend des inclusions et des exclusions du périmètre de l’hébergeur. Une entreprise peut très bien payer pour disposer d’une salle dédiée avec des serveurs installés dans une baie de stockage avec courant électrique et services télécoms si son objectif est de gérer elle-même son système d’information. Dans un tel cas, l’hébergeur est 100% conforme PCI DSS et son client ne l’est pas, même s’il clame à qui veut l’entendre que son hébergeur est conforme et qu’il l’est par contrecoup.

La tokenisation et le cryptage P2PE dispensent-ils alors de ces contraintes ?

Tout dépend. La tokenisation est comme une boîte à outils adaptée à certains contextes. C’est le cas si l’entreprise ne conserve les numéros de cartes que pour se faire payer. Elle peut même dans ce cas externaliser le traitement via la tokenisation. Si la donnée carte a aussi pour but de gérer la relation client ou encore établir des statistiques de vente, la tokenisation est alors moins adaptée. Car il faut savoir aussi que la tokenisation impose certaines règles. La taille du token doit être différente de celle du PAN. Or, de nombreuses entreprises veulent que le format du token soit égal à celui du numéro de carte afin de ne pas impacter leur système d’information. Dans ce cas de figure, le chiffrement P2PE est plus adapté. A la base, il est essentiel de comprendre le business de l’entreprise avant d’opter pour l’une ou l’autre des solutions permettant de court-circuiter la conformité PCI DSS. Si P2PE est une option, il faut noter que la technologie est encore jeune. Les offres sur le marché sont récentes. On ne verra donc pas de déploiement de projets P2PE avant deux ou trois ans. Moins de 1% de nos clients ont retenu P2PE à ce jour.

La protection du règlement GDPR va-t-elle interférer ?

Il est trop tôt pour le dire, même si l’idée d’une reprise de certains principes de PCI DSS n’est pas à exclure. Aujourd’hui, GDPR fait surtout peur aux Etats-Unis par le montant des amendes potentielles en cas de non-conformité. De l’autre côté de l’Atlantique, on craint que GDPR ne devienne un instrument politique destiné à contrebalancer les fortes amendes subies depuis peu par les banques européennes opérant aux Etats-Unis ou dans la zone dollar. Pour l’heure, seuls les principes directeurs de GDPR sont définis, pas les modalités d’implémentation, ni les critères d’évaluation et leur notation. Le rendez-vous de la conformité se fera donc certainement au-delà de 2018.

 Propos recueillis par Jo Cohen

Connectez-vous pour commenter

Copyright Publi-News

Top Desktop version