Fuite de données : sécuriser les données cartes
- En dépit de la diminution du nombre de failles de sécurité aux Etats-Unis et du faible pourcentage de cas imputables aux établissements financiers – 4 % en 2011 selon l’Identity Theft Resource Center (ITRC) – les sociétés dont le métier repose sur des opérations cartes se doivent toutefois de soutenir leur effort.
- L’ITRC relève qu’en 2011, 26,5 % des failles impliquaient des cartes de crédit ou de débit (un nombre relativement similaire à celui relevé en 2010). Néanmoins, alors qu’entre 2010 et 2011, le secteur de la finance était témoin d’une diminution de 18,6 % des pertes liées à la compromission de ces cartes, les commerçants et entreprises quant à eux ont vu ces pertes augmenter de 4,3 % en 2010 à 12,9 % en 2011.
- Les entreprises impactées par ce type de menaces ne disposent souvent pas d’outils de détection de fraude ou de politique de communication sur lesdites failles de sécurité.
- 2011 aura notamment été témoin de très sérieuses affaires, particulièrement médiatisées, dont le piratage du PSN (voir l’Observatoire de mai 2011), d’Epsilon et du spécialiste RSA (en avril 2011), mais également de Citi (voir l’Observatoire de juin 2011) : autant de cas qui ont éveillé l’inquiétude et la suspicion des clients/porteurs.
- L’ITRC préconise un certain nombre de mesures dont la mise en œuvre pourrait minimiser le risque de fuites, parmi lesquelles :
- une évaluation des risques (pertinence des sauvegardes),
- l’amélioration des procédures d’authentification, dont l’abandon de l’identification simple au profit de l’authentification à deux facteurs et la proscription des données telles que date de naissance, numéro de sécurité sociale, etc. à des fins d’identification,
- un stockage amélioré (nécessaire ?, combien de temps ?, mode de stockage ?) et la définition d’un cycle de vie des données (mode de destruction des données numériques et papiers).
- Enfin, l’ITRC préconise d’uniformiser le mode de reporting des fuites et/ou incidents d’un état à l’autre : en effet, les variantes aujourd’hui en place ne permettent pas de définir l’étendue de ces incidents.
- Toutes ces recommandations reflètent des besoins déjà exprimés par le PCI Council autour de la protection et de la sauvegarde des données cartes. Les régulateurs se penchent d’ailleurs aujourd’hui sur la protection de ces informations clients et un guide décrivant le rôle de processeur tiers dans le contrôle et la mise en œuvre des bonnes pratiques a par ailleurs été publié fin janvier par la Federal Deposit Insurance Corporation. Ce guide constitue une mise à jour des recommandations sur l’authentification forte listées en juin 2011 par le Federal Financial Institutions Examination Council.
- A noter que selon Gartner, une grande partie des établissements financiers s’attache plus particulièrement à la conformité ISO 27001. Néanmoins, implémenter PCI-DSS pourrait représenter pour eux un atout.