La nouvelle mise à jour des normes de sécurité des paiements manque de sens de l'urgence (Donnie MacColl)

Alors que COVID frappait les entreprises du monde entier et que les magasins étaient fermés ou n'acceptaient plus les espèces comme mode de paiement préféré, nous avons constaté une augmentation spectaculaire du volume de données des cartes de paiement. Avance rapide jusqu'à aujourd'hui, et le volume des transactions en ligne et
l'utilisation des machines de point de vente continue de monter en flèche. Comme la plupart des données sont conservées dans le cloud, les opportunités de cyberattaques augmentent en même temps, ce qui signifie que la version précédente de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)
n'est plus suffisant.

Depuis 2004, la norme PCI DSS garantit que les organisations traitant ou stockant les informations de carte de crédit peuvent le faire en toute sécurité. Après la pandémie, les directives sur les contrôles de sécurité avaient un besoin urgent d'être mises à jour. C'est alors que la nouvelle version – PCI DSS v4.0 –
a été annoncé. Alors que les entreprises ont deux ans pour planifier leur mise en œuvre, la plupart des entreprises financières doivent avoir tout mis en place d'ici mars 2025. Cependant, il y a un risque de travailler dans un délai long car cela ne crée pas un sentiment d'urgence, et beaucoup
des mises à jour de sécurité incluses dans la nouvelle norme sont des pratiques que les entreprises devraient déjà avoir mises en œuvre.

Par exemple, "8.3.6 - Niveau minimum de complexité des mots de passe lorsqu'ils sont utilisés comme facteur d'authentification" ou "5.4.1 - Des mécanismes sont en place pour détecter et protéger le personnel contre les attaques de phishing" sont répertoriés comme "mises à jour non urgentes à mettre en œuvre". en 36 mois ».
Avec le niveau élevé de cybermenaces suite au conflit russo-ukrainien, ce délai n'est pas assez rapide pour élever le niveau de cyberprotection dont ont besoin les institutions financières et les commerces de détail, ce qui constitue une menace réelle pour les données et la vie privée des clients.

Pour le décomposer encore plus, il y a quelques chiffres importants et intéressants qui illustrent à la fois sa portée et ses limites :

• 51 et 2025 illustrent les principaux problèmes liés à la norme PCI DSS V4.0 – 51 est le nombre de modifications proposées classées comme « meilleures pratiques » d'ici 2025 lorsqu'elles seront appliquées, soit dans trois ans !

Examinons de plus près les 13 changements immédiats pour toutes les évaluations V4.0, qui incluent des éléments tels que « Les rôles et les responsabilités pour l'exécution des activités sont documentés, attribués et compris ». Ceux-ci comprennent 10 des 13 changements immédiats, ce qui signifie
la majeure partie des « mises à jour urgentes » sont essentiellement des points de responsabilité, où les entreprises acceptent qu'elles devraient faire quelque chose.

Et maintenant, regardons les mises à jour qui "doivent être effectives d'ici mars 2025":

• 5.3.3 : Des analyses anti-malware sont effectuées lorsqu'un support électronique amovible est utilisé

• 5.4.1 : Des mécanismes sont en place pour détecter et protéger le personnel contre les attaques de phishing.

• 7.2.4 : Passez en revue tous les comptes d'utilisateurs et les privilèges d'accès associés de manière appropriée.

• 8.3.6 : Niveau minimal de complexité des mots de passe lorsqu'ils sont utilisés comme facteur d'authentification.

• 8.4.2 : Authentification multi-facteurs pour tous les accès au CDE (Cardholder data environment)

• 10.7.3 : Les défaillances des systèmes de contrôle de sécurité critiques sont traitées rapidement

Ce ne sont que six des 51 mises à jour "non urgentes", et je trouve incroyable que la détection d'attaques de phishing et l'utilisation d'analyses anti-malware fassent partie de cette liste. Aujourd'hui, avec des attaques de phishing à un niveau record, je m'attendrais à ce que tout financier mondial
institution ayant des données sensibles à protéger pour les mettre en place en tant qu'exigences essentielles, et non quelque chose à mettre en place dans trois ans.

Malgré les menaces d'amendes énormes et le risque de voir les cartes de crédit comme mode de paiement retirées si les organisations ne respectaient pas les normes PCI, seules quelques sanctions ont été appliquées jusqu'à présent. Attendre encore trois ans pour mettre en œuvre les nouvelles exigences
contenu dans la V4.0 semble impliquer un manque d'appropriation que certains des changements méritent et est beaucoup trop risqué.

Je comprends que cela ne signifie pas que les entreprises n'ont pas déjà mis en œuvre certaines ou toutes les mises à jour. Cependant, pour ceux qui ne l'ont pas encore fait, la mise en œuvre de ces mises à jour nécessitera un investissement et une planification, et à ces fins, PCI DSS V4.0 doit être plus spécifique.
Par exemple, si des failles de sécurité doivent être traitées « rapidement », cela signifie-t-il 24 heures, 24 jours ou 24 mois ? Je crois que les intervenants seraient beaucoup mieux servis avec des délais plus précis.

Bien que PCI DSS V4.0 représente une bonne base pour faire avancer la norme, elle aurait dû être mise en œuvre avec plus d'urgence. Certes, il y a beaucoup de changements à apporter, mais une meilleure stratégie serait d'adopter une approche progressive, c'est-à-dire de prioriser les changements
requises immédiatement, dans 12 mois, 24 mois et 36 mois à partir de maintenant plutôt que de dire qu'elles doivent toutes être effectives dans trois ans.

Sans ces conseils, il est probable que certaines organisations mettront ces projets en veilleuse pour qu'ils soient examinés dans deux ans, lorsque la date limite du plan de mise en œuvre approchera. Cependant, à une époque où la criminalité liée aux cartes de paiement continue d'être un risque omniprésent, il y a peu
à gagner du retard.