PKI et les certificats numériques comme solution pour la conformité PCI
Les cyber-menaces du secteur financier
Les services financiers traversent une période intéressante : huit années se sont écoulées depuis le krach de 2008, ce qui a laissé suffisamment de temps pour que le marché se rétablisse, tandis que la numérisation de masse s'est fortement implantée. Les portails en ligne et les applications mobiles sont la norme, parmi une série d'autres innovations technologiques adoptées par les services financiers pour répondre aux exigences élevées du consommateur numérique d'aujourd'hui. Bien sûr, ces changements apportent une plus grande commodité au client et un meilleur rapport coût-efficacité aux institutions, mais ils entraînent aussi des risques de cybersécurité nettement plus élevés.
Selon le rapport de recherche 2016 sur la cybersécurité dans le secteur financier de SecurityScorecard, le secteur financier est particulièrement vulnérable en raison des risques accrus liés à la numérisation :
- 95 % des 20 premières banques commerciales américaines (en termes de chiffre d'affaires) ont une note de sécurité réseau de "C" ou moins.
- 1 institution financière sur 5 utilise un fournisseur de services de messagerie électronique présentant des failles de sécurité considérables.
- 75 % des 20 premières banques commerciales américaines (en termes de chiffre d'affaires) sont infectées par des logiciels malveillants.
Outre les vulnérabilités accrues dans le secteur financier, les exigences de conformité de l'industrie et du gouvernement telles que PCI, HIPAA et les normes de sécurité ISO sont une préoccupation constante. Selon l'étude de SecurityScorecard, 30 % des sociétés financières ne respectent pas la norme PCI 3 - les exigences de la norme PCI DSS associées à l'utilisation de protocoles de cryptographie solides et de clés et certificats fiables.
L'importance de la norme PCI DSS pour l'industrie
PCI DSS est l'un des principaux organismes de réglementation du secteur financier, mis en place pour garantir la sécurité des données des titulaires de cartes.
Les résultats en matière de sécurité associés à la conformité PCI couvrent l'identification continue des menaces et des vulnérabilités, et soutiennent en fin de compte le succès des organisations qui traitent les paiements par carte. Les violations de données peuvent entraîner la destruction totale d'une entreprise. L'objectif de l'ICP est de prévenir les pertes associées à une violation de données réussie.
Comme l'explique Thales e-Security, les conséquences d'un manquement à la norme PCI DSS sont des amendes importantes, des frais accrus et, éventuellement, la perte de la capacité à traiter les cartes de crédit.
Malheureusement, la mise en place d'un état opérationnel sécurisé pour atténuer les menaces dangereuses d'aujourd'hui n'est pas incompatible avec la conformité à la norme PCI DSS. Les différents organismes financiers doivent décider individuellement des outils et des contrôles de sécurité à utiliser, ainsi que de l'infrastructure adéquate pour les soutenir, et ces mécanismes ne sont pas toujours directement parallèles aux objectifs requis par la norme PCI.
L'infrastructure à clé publique (PKI ) et les certificats numériques, par exemple, constituent une solution éprouvée pour répondre aux exigences réglementaires et sécuriser les actifs sensibles. L'infrastructure PKI et les systèmes de gestion des certificats numériques permettent d'intégrer facilement une technologie cryptographique solide tout en améliorant considérablement l'expérience de l'utilisateur final et la position de sécurité d'une entreprise.
Premiers pas avec PKI et les certificats numériques
PKI utilisée pour émettre des certificats numériques est un moyen efficace de satisfaire à la norme PCI 3, l'élément de la norme PCI DSS qui exige que des protocoles de cryptographie et de sécurité solides soient utilisés pour protéger les données des titulaires de cartes, et que seuls des clés et des certificats de confiance soient utilisés. La mise en œuvre correcte et l'utilisation continue de cette technologie de sécurité améliorent simultanément la posture de sécurité tout en répondant aux exigences de conformité.
Travailler avec un partenaire de confiance PKI est un moyen de mettre en œuvre et d'exploiter un site PKI tout en émettant en toute sécurité des certificats numériques de confiance, sans imposer de contraintes supplémentaires à l'équipe chargée de la sécurité, ou sans avoir à trouver l'expertise adéquate. Les services gérés PKI garantissent qu'une infrastructure sécurisée reste sécurisée, tandis que les professionnels de l'informatique internes sont habilités à travailler sur des initiatives technologiques qui servent directement les valeurs fondamentales de l'entreprise.
Un site PKI géré par des professionnels est conçu pour répondre aux besoins de sécurité immédiats et à long terme d'une organisation qui dispose d'un plan d'exploitation solide et vérifiable. Un site PKI robuste et géré peut démontrer les opérations, les personnes qui les ont menées et tous les événements de sécurité qui ont eu lieu en cours de route, ce qui permet aux entreprises d'avoir confiance dans leur investissement technologique sans allouer des ressources critiques à des demandes administratives.
La considération la plus importante pour sélectionner un partenaire PKI fiable est le niveau d'expérience et d'expertise avec PKI, les certificats numériques et les exigences de conformité uniques de l'industrie, telles que PCI.
Demandez à votre futur partenaire PKI :
- La solution peut-elle être transférée en interne à l'avenir ? Dans l'affirmative, quels sont les coûts prévus et la complexité technique ?
- Y a-t-il des éléments du service qui ne peuvent pas être déplacés ? Quels sont les aspects de l'infrastructure qui sont partagés ?
- Puis-je utiliser mes propres URL pour la LCR ?
- Les clés privées de cryptage peuvent-elles être conservées sur mon site ?
CSS est à votre disposition pour répondre aux questions relatives à l'ICP que se pose votre organisation de sécurité financière. Nos experts PKI peuvent travailler avec vous pour identifier vos vulnérabilités actuelles en matière de sécurité et déterminer la meilleure approche PKI pour votre entreprise.
Si votre organisation de sécurité souhaite en savoir plus sur la façon dont PKI et les certificats numériques de confiance peuvent protéger les données sensibles des titulaires de cartes, nos experts sont là pour vous. Contactez-nous pour discuter de vos besoins sur PKI .
