Au Brésil, où les cartes de crédit sont l’un des principaux moyens de paiement et où les données numériques ont une valeur comparable à celle de l’argent liquide, les risques de fraude en ligne sont de plus en plus présents, nécessitant une attention particulière de la part des consommateurs et des entreprises.
Pour avoir une idée de l'ampleur du problème, quatre Brésiliens sur dix ont déjà été victimes d'arnaques et de fraudes financières dans le pays, ce qui représente 42 % des Brésiliens. Les données proviennent du « Rapport sur l'Identité Numérique et la Fraude 2024 », une étude réalisée par Serasa Experian.
Une autre étude, cette fois de la Confédération Nationale des Dirigeants Commerciaux (CNDL) et du Service de Protection du Crédit (SPC Brasil), en partenariat avec le Sebrae, montre qu'environ 8,4 millions de consommateurs ont signalé des fraudes dans des institutions financières au cours des 12 derniers mois. Parmi les escroqueries, la clonage de cartes de crédit et de débit constitue le principal type de fraude.
Bien que environ 70 % des Brésiliens possèdent trois cartes ou plus, selon Serasa, la perception du risque reste faible. Environ 69 % des Brésiliens continuent de sous-estimer le danger d'enregistrer des données financières sur des sites et des applications, ce qui expose une énorme partie de la population aux escroqueries numériques et aux attaques informatiques.
Au milieu de l'alerte croissante concernant la sécurité numérique, de bonnes nouvelles émergent : de nouvelles initiatives et des avancées technologiques rendent l'environnement en ligne plus sûr chaque jour.
Récemment, le Conseil des normes de sécurité PCI (PCI SSC) a proposé de nouvelles directives pour le développement continu et l'amélioration des normes de sécurité, applicables aux entreprises qui stockent, traitent ou transmettent des données de paiement, ainsi qu'aux développeurs et fabricants de logiciels et d'appareils utilisés dans les transactions. La PCI est une organisation mondiale qui rassemble les principaux acteurs de l'industrie des paiements pour promouvoir l'utilisation de ressources pour des transactions sécurisées.
« À mesure que les menaces et la technologie évoluent, les normes PCI DSS évoluent également. « Il est donc nécessaire de prêter attention, dès maintenant, aux nouvelles exigences et de procéder aux ajustements nécessaires », prévient Wagner Elias, PDG de Conviso, développeur de solutions de sécurité des applications.
Parmi les mises à jour figurent celles du Standard de sécurité des données de l'industrie des cartes de paiement (PCI DSS), créé pour protéger l'ensemble de la chaîne de valeur des paiements par carte. Vos exigences de conformité couvrent le stockage des données des titulaires de carte jusqu'à la sécurité de l'accès aux informations sensibles de paiement.
« En bref, il est nécessaire de renforcer la protection des données des clients, en mettant en œuvre des mesures supplémentaires pour empêcher tout accès non autorisé », explique l’expert.
Ainsi, les entreprises devront s'adapter et investir dans de nouvelles technologies. Pour donner une idée, certaines de ces solutions sont capables de fournir une vue d'ensemble complète des risques liés à chaque application. « Ces outils intègrent différents systèmes, centralisent les informations et aident à la priorisation des actions, le tout de manière continue », explique le PDG de Conviso, à propos de sa plateforme Conviso Platform Application Security Posture Management (ASPM), lancée en 2010.
Cependant, le spécialiste souligne que de nombreuses entreprises adoptent encore une posture réactive en matière de sécurité de leurs systèmes, ne priorisant le sujet qu'après avoir subi une attaque. Ce comportement, selon lui, est préoccupant, car des failles de sécurité peuvent entraîner des pertes financières importantes et des dommages irréparables à la réputation de l'organisation, qui pourraient être évités par des mesures préventives.
Pour lui, lors de la création d'un nouveau logiciel, il est essentiel que l'entreprise intègre la sécurité à chaque étape du cycle de développement, depuis la collecte des exigences (première étape qui analyse ce que l'application doit réaliser) jusqu'au déploiement (production et livraison finale).
« Pour éviter ces risques, la grande différence est d’adopter des pratiques de sécurité applicative dès le début du développement de la nouvelle application. Cela garantit que des mesures de protection sont incluses à toutes les étapes du cycle de vie du logiciel. En plus d’être nettement plus rentable que la réparation des dommages après un incident, investir dans la sécurité préventive est beaucoup plus efficace. « Cela nous permet de prévenir les attaques, de protéger les données sensibles, de garantir le respect de la législation et des directives, et de garantir que l'application est sûre et fiable pour les utilisateurs dès le départ », explique l'expert.
Wagner explique que l'entreprise développe des solutions intégrant la sécurité au DevOps, permettant que chaque ligne de code soit développée avec des pratiques de protection, ainsi que des services tels que des tests d'intrusion et la mitigation des vulnérabilités. Réaliser des analyses continues de sécurité et d'automatisation des tests permet aux entreprises de respecter les normes sans compromettre l'efficacité, souligne Wagner.
En plus de la mise en œuvre de technologies robustes, le PDG de Conviso souligne l'importance des cabinets de conseil spécialisés, qui aident les entreprises à s'adapter aux exigences du PCI DSS 4.0 et à d'autres réglementations. Des services offensifs tels que Penetration Testing, Red Team et évaluations de sécurité tierces favorisent une approche de sécurité proactive et globale, en identifiant et en corrigeant les vulnérabilités avant qu'elles ne puissent être exploitées.
Les investissements doivent s'accélérer
Cette transformation de la sécurité numérique renforce non seulement la confiance des consommateurs dans un environnement en ligne sécurisé, mais accompagne également la croissance rapide du marché de la sécurité des applications, qui devrait passer de 11,62 milliards de dollars en 2024 à 25,92 milliards de dollars d'ici 2029, selon Mordor Intelligence. « La mise en œuvre de technologies de pointe marque un tournant dans la protection numérique et renforce la confiance dans un marché qui dépend plus que jamais de la sécurité pour prospérer », conclut Wagner.
Consultez la liste des 12 exigences PCI DSS auxquelles le contrôle de conformité 4.0 doit répondre :
- Installer et entretenir un pare-feu
- Supprimer la configuration par défaut du fournisseur
- Protéger les données stockées du titulaire de la carte
- Crypter la transmission des données de paiement
- Mettez régulièrement à jour votre logiciel antivirus
- Déployer des systèmes et des applications sécurisés
- Restreindre l'accès aux données du titulaire de la carte selon les besoins
- Attribuer un identifiant d'accès utilisateur
- Restreindre l'accès physique aux données
- Suivre et surveiller l'accès au réseau
- Tester en permanence les processus et les systèmes pour détecter les vulnérabilités
- Créer et maintenir une politique de sécurité informatique
La mise en œuvre des directives PCI DSS 4.0 se déroule en deux phases :
- La première phase, avec 13 nouvelles exigences, avait une date limite fixée au 31 mars 2024.
- La deuxième phase, comportant 51 exigences supplémentaires, doit être mise en œuvre d’ici le 31 mars 2025.
