L’affaire Sony relance le débat sur la sécurité

Pourquoi le terme « PCI DSS » émerge-t-il dans les débats ?

Ce standard, soutenu en Europe par les principaux acteurs du secteur des cartes bancaires (Visa, MasterCard et Amex) est sensé apporter un haut degré de sécurité pour les entreprises qui gèrent elles même les paiements par cartes bancaires. Trois indices laissent penser que Sony ne respectait pas ce standard, explique Yann Piederriere, responsable de l’offre conformité chez Provadys :

1) Dans un communiqué, le groupe japonais a annoncé en catastrophe la nomination d’un responsable de la sécurité des données. Or la nomination d’un responsable fait normalement partie du processus menant à la certification PCI DSS.

2) Les dates très rapprochées des attaques contre Sony Online Entertainment et Playstation Network laissent craindre une perméabilité des « data center ». Un défaut qui est normalement corrigé si l’entreprise est certifiée PCI DSS.

3) Le délai de détection de la fraude a été de 2 jours pour le Playstation Network et de deux semaines environ pour Sony Online Entertainement. C’est très long. Les entreprises estampillées PCI DSS ont normalement des systèmes de détection plus efficaces.

Quelles seront, pour Sony, les pertes financières liées à l’affaire ?

La première estimation (24 milliards de dollars) était irréaliste car elle était basée sur une hypothèse extrême : le vol de la totalité des numéros de cartes bancaires des 77 millions d’utilisateurs du Playstation Network. A l’heure actuelle, seuls 12700 vols de numéros de cartes bleues ont été confirmés. Selon l’analyste Michael Pachter, Sony pourrait perdre 50 millions de dollars en frais de réparations et de renforcement de sécurité. Mais ce chiffre est beaucoup trop faible pour certains experts. Rien qu’avec les procès, on dépassera largement les 50 millions, estime Yann Piederriere. Car il n’y a pas qu’un préjudice financier. De nombreuses données personnelles ont été compromises. Rien qu’aux Etats-Unis et au Canada 50 millions de clients de Sony sont éligibles pour porter plainte, via les procédures de « Class action ». Il y a aussi les coûts liés au ternissement de l’image de marque, impossibles à chiffrer.

Sony aurait-elle évité le pire en étant certifiée PCI DSS ?

Pas sûr. On ne peut pas prouver qu’une entreprise est mieux protégée en étant certifiée PCI DSS. Il y a deux ans, un rapport du Clusif dénonçait plusieurs cas de fraude à la carte bancaire impliquant des entreprises certifiées PCI DSS. Avec PCI DSS, les entreprises passent cependant d’une gestion artisanale à une gestion professionnelle en matière de sécurité. Les résultats obtenus sont logiquement meilleurs. Mais cela coûte cher.

Les entreprises peuvent-elles s’offrir PCI DSS ?

C’est là le véritable problème. La mise en place de cette nouvelle réglementation coûte une fortune, dénonçait il y a deux ans Serge Saghroune, directeur du département sécurité du groupe Accor. Les tarifs donnés par l’Institut Gartner et la société Provadys, chargée d’accompagner les entreprises dans l’obtention du label PCI DSS, le confirment :

Il y a tout d’abord un premier audit, qui permet d’évaluer les failles de sécurité. Celui-ci coûte entre 5000 et 50000 dollars, suivant la taille de l’entreprise. Il y a ensuite la mise aux normes, qui peut coûter près de 3 millions de dollars pour les entreprises qui gèrent beaucoup de paiements par cartes (au moins 6 millions par an). La facture peut grimper jusqu’à 8 millions de dollars pour les plus gros clients. Ce coût s’étale généralement sur plusieurs années.

Il y a ensuite un audit de certification, qui coûte entre 10000 et 100000 dollars. L’entreprise est alors certifiée PCI DSS. Mais elle n’a pas fini de payer puisqu’un audit annuel est encore nécessaire pour rester aux normes. Son coût ? Entre 10000 et 100000 dollars suivant la taille de l’entreprise. Au final, beaucoup d’entreprises préfèrent investir dans leur développement plutôt que dans la sécurité, considérée comme un centre de coût. Or ces entreprises manipulent des données privées (noms, adresses, numéros de cartes bancaires…), constate Yann Piederriere. L’affaire Sony ne changera peut-être rien à cela. Mais elle servira au moins de cas d’école.

0 trackback

Voici la liste de liens se référant à cette note : L’affaire Sony relance le débat sur la sécurité.

URL de trackback de cette note : http://blogs.lexpansion.com/antimatiere/2011/05/05/laffaire-sony-relance-le-debat-sur-la-securite/trackback/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

A propos du blog

Chaque homme cache en lui un enfant qui veut jouer. (F. Nietzsche)

A propos de l’auteur

Derniers commentaires

Archives

S'abonner au flux de ce blog

[De quoi s'agit-il?]