Avec l’arrivée du paiement par mobile et l’émergence d’autres moyens de transaction (paiement sans-contact, paiement sur Internet etc.), et face à la montée des risques pour la sécurité des données de paiement, il est essentiel que les entreprises dans le monde améliorent leurs pratiques en matière de sécurisation des données de paiement. C’est la conclusion qui ressort d’une enquête menée par l’institut de recherche américain Ponemon Institute (basé dans l’État du Michigan) pour le compte du groupe franco-néerlandais Gemalto, fabriquant de cartes à puces et expert de la sécurité numérique.
Cette étude, publiée le 26 janvier, a été menée auprès de 3 773 professionnels de la sécurité informatique, exerçant dans plus d’une dizaine de grands secteurs industriels, dans les pays suivants : Afrique du Sud, Allemagne, Belgique, États-Unis, France, Inde, Japon, Pays-Bas, Royaume-Uni, Russie et originaires du Moyen-Orient.
La sécurisation des données de paiement, pas encore une priorité pour les sociétés
Il ressort de l’enquête que plus de la moitié (54 %) des professionnels de l’informatique interrogés ont déclaré que leurs sociétés avaient fait l’objet d’une violation de données impliquant des données de paiement, quatre fois en moyenne durant les deux dernières années. Un taux, qui selon Gemalto « n’est pas surprenant lorsque l’on se penche sur les investissements, les pratiques et les procédures relatifs à la sécurité soulignés par les personnes interrogées ».
En effet, il s’avère que 55 % des professionnels sondés ont affirmé qu’ils ignoraient où toutes leurs données de paiement sont stockées ou situées. Ne pas avoir la certitude de savoir, voire ne pas connaître du tout l’emplacement et le stockage de leurs données de paiement constitue un risque majeur pour toute entreprise. L’étude montre que la majorité des professionnels de l’informatique des entreprises interrogés (soit 62 % des sondés) pensent que si les données ne sont pas stockées dans le cloud, c’est qu’elles sont stockées principalement dans une installation de stockage centralisé (au sein de centres de données).
En outre, 54 % ont déclaré que la sécurité des données de paiement ne faisait pas partie des cinq premières priorités relatives à la sécurité. « […] La majorité des personnes interrogées estiment que la protection des données de paiement n’a pas été la priorité absolue au sein de leur entreprise, et que les ressources, les technologies et le personnel en place sont insuffisants », souligne François Schreiber, vice-président senior en charge des Services d’identité, de données et des logiciels chez Gemalto.
Par ailleurs, l’enquête relève que la prise en charge de la sécurité des données de paiement n’est pas centralisée au sein des entreprises. En effet, 28 % des personnes interrogées estiment que la responsabilité incombe au directeur informatique, alors que 26 % de ces mêmes personnes sondées pensent qu’elle incombe à l’entité commerciale, et 19 % considèrent qu’elle est du ressort du service de la conformité, 15 % du directeur de la sécurité de l’information et 14 % d’autres services.
Autre constat, la majorité (53 %) des professionnels ayant participé à l’enquête affirment être davantage efficaces pour sécuriser les modes de paiement traditionnels (paiements par carte de crédit et par chèques). Seules 36 % des entreprises sont vigilantes quant aux paiements sur Internet, et ce taux est encore plus faible (26 % des professionnels sondés) s’agissant des transactions par paiements mobiles. Ce sont pourtant ces nouveaux modes de paiement qui sont concernés par l’augmentation des problèmes de sécurité.
Les nouveaux moyens de paiement doivent susciter davantage de protection
La majorité des entreprises ayant participé à l’enquête ont envisagé d’accepter les paiements sans contact ainsi que les paiements sur les nouvelles plateformes telles que Apple Pay et Samsung Pay ou le paiement MasterCard et Visa sur le Cloud (Cloud-Based Payment), mais parallèlement ne pensent pas que les protocoles de sécurité instaurés dans leur entreprise puissent s’appliquer sur ces nouvelles solutions de paiement. « À mesure que les entreprises décide d’accepter de nouveaux moyens de paiement, elles doutent de leur capacité à pouvoir protéger ces données », explique ainsi François Schreiber.
Selon l’étude, l’acceptation de nouveaux modes de paiement comme le paiement par mobile, le paiement sans contact et l’utilisation du porte-monnaie électronique va doubler au cours des deux prochaines années. « Les répercussions financières des violations de données, et les dommages causés à la réputation de l’entreprise et aux relations clients engendreront un risque potentiel encore plus grand à mesure que de nouveaux modes de paiement sont adoptés », prévient François Schreiber.
Pour protéger leurs données de paiement, la plupart des entreprises utilisent des pare-feu (93 % des répondants), des anti-virus/anti-malware –contre les logiciels malveillants– (92 %) ou des systèmes de détection et de prévention d’intrusion (75 %). Mais, les entreprises devront probablement faire face à plus de difficultés pour sécuriser de nouveaux modes de paiement. De plus, un tiers des personnes interrogées (32 %) ont affirmé que la conformité avec la norme Payment Card Industry Data Security Standard (PCI DSS), standard de sécurité des données pour les industries de carte de paiement, ne suffit pas pour assurer la sécurité et l’intégrité des données de paiement. Et, 74 % des sondés ont déclaré que leurs sociétés ne sont pas en conformité avec la norme PCI DSS ou qu’elles n’y sont que partiellement conformes.
En somme, l’enquête montre que les entreprises concernées par les données de paiement doivent repenser entièrement leurs pratiques de sécurité. « […] Il est évidemment essentiel que les entreprises recherchent des solutions et y investissent pour combler ces lacunes en matière de protection des données, et ce rapidement », a conclu François Schreiber.
Venice Affre
Pour en savoir plus :
Consultez l’étude de Gemalto (en anglais) Global Study on the State of Payment Data Security en fichier joint ci-dessous.
