La norme PCI est-elle considérée comme une avancée dans la sécurité ?

PCI-DSS (Paiment Card Industry Data Security Standard) est une norme aujourd'hui appliquée aux Etats-Unis, créée par Mastercard, Visa et autres grands groupes de transactions bancaires. Elle oblige la mise en place d'une politique de sécurité pour les paiements bancaires par exemple. Elle n'est pas pratiquée encore en France mais les chiffres statistiques sur son utilisation aux USA démontrent une avancée limitée dans la sécurité.

Seulement 30% des sociétés qui respectent la norme PCI engageraient une politique de sécurité sérieuse. Les autres sociétés adoptent la norme comme une validation quelconque sans mise en œuvre plus approfondie.

Une étude sur l'utilisation de la norme PCI expose que 80% de ces sociétés qui utilisent les transactions bancaires ont été victimes d'une faille de sécurité alors que plus de 70% n'ont pas de politique de sécurité pour ces opérations. Il est de même troublant que ces sociétés soient focalisées à 55% sur les données strictement bancaires et se désintéressent des données personnelles. La sécurisation globale d'un système est obligatoire pour assurer l'optimalité d'une politique de sécurité.

La norme PCI est adoptée parce que les entreprises américaines sont obligées de se mettre en conformité. Du coup, elle n'assure pas une plus grande sécurité quand elle est considérée comme une simple étape dans le processus de transactions bancaires.

D'autre part, le budget sécurité pour les PME ne permet d'envisager la mise en place d'une sécurisation des données bancaires suivant la norme PCI-DSS. La solution est chère pour le déploiement sur leurs propres serveurs : plus de 800 000 $ pour le premier niveau selon Gartner Group. On peut s'attendre alors à une augmentation de l'externalisation des transferts bancaires des PME.

Au final, la norme PCI n'est pas une avancée évidente, comme attendue, dans la sécurisation des données. On pourra penser que les sociétés, ayant une véritable politique de sécurité grâce à la norme PCI-DSS, avaient déjà en place avant la création de la norme des méthodes de sécurisation globale.