En 2022, "les technologies et services mobiles ont généré 5% du PIB, une contribution qui s'est élevée à $5,2 trillions", selon la GSMA. Compte tenu de l'importance de l'enjeu, et des prévisions de croissance des portefeuilles numériques (15% CAGR jusqu'en 2026), il n'a jamais été aussi crucial d'assurer la sécurité des données de paiement.
Depuis plus d'une décennie, la Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) est à l'avant-garde de la sécurisation des paiements numériques. Conseil mondial fondé en 2006 par American Express, Discover, JCB International, MasterCard et Visa Inc. le PCI SSC encourage l'adoption de normes de sécurité des données et fournit des ressources pour assurer la sécurité des paiements dans le monde entier.
Le Conseil définit ces normes par le biais de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), un cadre de conformité qui protège les données des comptes de cartes de paiement et l'ensemble de l'écosystème des paiements. La dernière version de ses lignes directrices, PCI DSS 4.0, établira de nouvelles normes importantes pour les paiements numériques en exigeant l'authentification multifactorielle (MFA). Parce que "chaque commerçant, quel que soit le nombre de transactions par carte traitées, doit être conforme à la norme PCI", ces nouvelles orientations représentent un changement majeur pour les entreprises du monde entier.
Voyons donc quand les organisations doivent passer à PCI DSS 4.0, ce que le nouveau cadre exige, la valeur que l'AMF apporte à toutes les organisations et les meilleurs moyens pour les organisations de mettre en œuvre l'AMF rapidement et avec succès.
PCI DSS v4.0 a été publiée en mars 2022 et comprend plusieurs changements et mises à jour importants par rapport à son prédécesseur, la version 3.2.1. L'une des mises à jour les plus importantes de la dernière version est que, bien que l'AMF avait était une meilleure pratique dans les versions précédentes de la norme PCI DSS, version 4.0 exige MFA pour tous les comptes qui peuvent accéder aux données des titulaires de cartes après le 31 mars 2025.
Les sanctions en cas de non-respect des réglementations PCI sont sévères. Bien que la norme PCI ne soit pas une loi, les infractions à la norme PCI DSS peuvent coûter entre $5 000 et $100 000. Les sociétés de cartes de crédit elles-mêmes peuvent facturer des frais de transaction plus élevés, voire révoquer l'utilisation d'une carte donnée pour les paiements si une entreprise n'est pas en conformité.
L'exigence MFA de la norme PCI DSS v4 est l'une des mises à jour les plus importantes et les plus utiles pour les commerçants du monde entier. L'AMF est un élément essentiel de l'architecture de la cybersécurité : l'AMF est l'élément essentiel de l'architecture de la cybersécurité. Rapport 2023 de Verizon sur les enquêtes relatives aux violations de données a constaté que "l'utilisation d'informations d'identification volées est devenue le point d'entrée le plus populaire pour les violations" au cours des cinq dernières années. L'AMF aurait pu empêcher un grand nombre, sinon la totalité, des violations qui ont commencé par un vol d'informations d'identification de se produire.
Les raisons pour lesquelles les cybercriminels agissent sont tout aussi importantes que la manière dont les violations de données commencent : Verizon a constaté que "les motifs financiers sont toujours à l'origine de la grande majorité des violations". En fait, les motifs financiers ont été à l'origine de 94,6% de toutes les violations l'année dernière. Étant donné que la plupart des cybercriminels suivent l'argent, il est probable qu'ils s'attaquent aux informations et à l'infrastructure de paiement qui transmettent des milliards de dollars chaque année.
L'AMF pourrait empêcher les cybercriminels d'utiliser un justificatif d'identité volé pour obtenir un accès non autorisé et exfiltrer des informations sensibles ou des données de cartes de paiement. L'AMF ajoute une couche supplémentaire de sécurité en demandant aux utilisateurs de fournir au moins deux facteurs différents pour accéder à une ressource. Il peut s'agir de quelque chose qu'ils connaissent (comme un mot de passe à usage unique), de quelque chose qu'ils ont (comme une carte à puce ou un appareil mobile) ou de quelque chose qu'ils sont (ce qui inclut la vérification biométrique). Avec l'AMF en place, même si un cybercriminel vole ou hameçonne le mot de passe d'un utilisateur, le fait d'exiger un facteur supplémentaire peut l'empêcher d'accéder à des ressources ou à des applications sécurisées.
Étant donné que de nombreuses violations de données commencent par des mots de passe frauduleux et que l'AMF aurait pu empêcher bon nombre d'entre elles, l'AMF est l'une des meilleures pratiques les plus durables en matière de cybersécurité : Les solutions d'AMF sont des exigences dans les domaines suivants les mandats gouvernementaux en matière de cybersécurité et les polices d'assurance cybernétique. En plus d'assurer la conformité et la sécurité des organisations, l'AMF peut également contribuer à leur rentabilité : l'AMF est un outil de gestion de l'information. Rapport d'IBM sur le coût d'une violation de données 2023 a révélé que les violations de données coûtent en moyenne $4,45 millions d'euros.
L'AMF présente des avantages majeurs pour les organisations : elle renforce la cybersécurité, prévient les violations de données, protège les résultats de l'organisation, préserve la confiance des clients et évite aux entreprises de se voir infliger des amendes. En fin de compte, la conformité PCI en général et la mise en œuvre de l'AMF en particulier présentent des avantages considérables.
Encore une bonne nouvelle : La mise en œuvre de l'AMF n'a pas besoin d'être un effort onéreux. RSA propose une gamme de options MFA-incluant la biométrie, le push-to-approve, le mot de passe à usage unique et l'authentification basée sur FIDO-qui peuvent tous aider les organisations à se conformer aux nouvelles exigences MFA de la norme PCI DSS 4.0. Dans le cadre de ID Plus, RSA MFA peut même s'étendre aux environnements sur site, multicloud et hybrides.
Essayez-le vous-même : inscrivez-vous à un essai gratuit de 45 jours d'ID Plus pour tester l'AMF via MFA, OTP, sans mot de passe, et plus encore.
