Au Brésil, où la carte de crédit est l'un des principaux moyens de paiement et les données numériques ont une valeur comparable à celle de l'argent liquide, les risques de fraudes en ligne deviennent de plus en plus présents, exige une attention accrue des consommateurs et des entreprises
Pour avoir une idée de l'ampleur du problème, quatre Brésiliens sur dix ont déjà été victimes d'escroqueries et de fraudes financières dans le pays, ce que représente 42 % des Brésiliens. Les données proviennent du "Rapport sur l'Identité Numérique et la Fraude 2024", un sondage réalisé par Serasa Experian
Une autre étude, maintenant de la Confédération Nationale des Dirigeants Commerciaux (CNDL) et du Service de Protection du Crédit (SPC Brésil), en partenariat avec le Sebrae, montre qu'environ 8,4 millions de consommateurs ont signalé des fraudes dans des institutions financières au cours des 12 derniers mois. Entre les coups, le clonage de cartes de crédit et de débit figure comme le principal type de fraude.
Bien que près de 70 % des Brésiliens possèdent trois cartes ou plus, selon Serasa, la perception du risque reste faible. Environ 69 % des Brésiliens continuent de sous-estimer le danger de saisir des données financières sur des sites et des applications, ce qui expose une énorme partie de la population à des escroqueries numériques et à des cyberattaques.
Au milieu de l'alerte croissante sur la sécurité numérique, de bonnes nouvelles émergent : de nouvelles initiatives et des avancées technologiques rendent l'environnement en ligne plus sûr chaque jour.
Récemment, le Conseil des normes de sécurité PCI (PCI SSC) a proposé de nouvelles directives pour le développement continu et l'amélioration des normes de sécurité, applicables aux entreprises qui stockent, traitent ou transmettent des données de paiement, ainsi qu'aux développeurs et fabricants de logiciels et de dispositifs utilisés dans les transactions. La PCI est une organisation mondiale, qui réunit les principaux acteurs de l'industrie des paiements pour promouvoir l'utilisation de ressources pour des transactions sécurisées.
À mesure que les menaces et la technologie évoluent, les normes PCI DSS se mettent également à jour. Ainsi, il faut rester attentif, maintenant, aux nouvelles exigences et effectuer les ajustements nécessaires, alerte Wagner Elias, PDG de Conviso, développeur de solutions pour la sécurité des applications
Parmi les mises à jour figurent celles de la Norme de Sécurité des Données de l'Industrie des Cartes de Paiement (PCI DSS), créé pour protéger l'ensemble de la chaîne de valeur des paiements par carte. Vos exigences de conformité couvrent le stockage des données des titulaires de carte jusqu'à la sécurité d'accès aux informations sensibles de paiement
En résumé, il est nécessaire de renforcer la protection des données des clients, mettant en œuvre des mesures supplémentaires pour prévenir les accès non autorisés, dit l'expert
Ainsi, les entreprises devront s'adapter et investir dans de nouvelles technologies. Pour se faire une idée, certaines de ces solutions sont capables de fournir une vue d'ensemble des risques liés à chaque application. Ces outils intègrent différents systèmes, centralisant les informations et aidant à la priorisation des actions, tout de manière continue, explique le PDG de Conviso, sur votre plateforme Conviso Platform Application Security Posture Management (ASPM), lancée en 2010
Cependant, le spécialiste souligne que de nombreuses entreprises adoptent encore une posture réactive en ce qui concerne la sécurité de leurs systèmes, seu priorisant le thème après avoir subi une attaque. Ce comportement, selon lui, c'est préoccupant, car les failles de sécurité peuvent entraîner des pertes financières importantes et des dommages irréparables à la réputation de l'organisation, qui pourraient être évités par des mesures préventives
Pour lui, en considérant la création d'un nouveau logiciel, il est essentiel que l'entreprise intègre la sécurité à chaque étape du cycle de création, allant de la collecte des exigences (première phase qui analyse ce que l'application va réaliser) jusqu'au déploiement (production et livraison finale).
Pour éviter ces risques, le grand différentiel est d'adopter des pratiques de sécurité des applications dès le début du développement de la nouvelle application. Cela garantit l'insertion de mesures de protection à toutes les étapes du cycle de vie du logiciel. En plus d'être significativement plus économique que de remédier aux dommages après un incident, investir dans la sécurité préventive est beaucoup plus efficace. Cela permet de prévenir les attaques, protéger des données sensibles, assurer la conformité avec les législations et les directives, et garantir que l'application soit sécurisée et fiable pour les utilisateurs dès le début, dit l'expert
Wagner explique que l'entreprise développe des solutions qui intègrent la sécurité au DevOps, permettant à chaque ligne de code d'être développée avec des pratiques de protection, en plus de services tels que des tests d'intrusion et la mitigation des vulnérabilités. Réaliser des analyses continues de sécurité et d'automatisation des tests permet aux entreprises de se conformer aux normes sans compromettre l'efficacité, met en avant Wagner
En plus de la mise en œuvre de technologies robustes, Le PDG de Conviso souligne l'importance des cabinets de conseil spécialisés, qui aident les entreprises à s'adapter aux exigences du PCI DSS 4.0 et d'autres réglementations. Services offensifs comme le test de pénétration, L'équipe rouge et les évaluations de sécurité de tiers favorisent une approche de sécurité proactive et globale, identifiant et corrigeant les vulnérabilités avant qu'elles ne puissent être exploitées.
Les investissements doivent s'accélérer
Cette transformation de la sécurité numérique renforce non seulement la confiance des consommateurs dans un environnement en ligne sécurisé, comme il suit également la croissance rapide du marché de la sécurité des applications, qui doit s'étendre de 11 $,62 milliards en 2024 pour 25 $,92 milliards d'ici 2029, selon Mordor Intelligence. «L'implémentation de technologies de pointe marque un tournant dans la protection numérique et renforce la confiance dans un marché qui dépend», plus que jamais, de sécurité pour prospérer, conclut Wagner.
Consultez la liste des 12 exigences du PCI DSS que la vérification de conformité 4.0 doit répondre à
- Installer et entretenir un pare-feu
- Supprimer la configuration par défaut du fournisseur
- Protéger les données stockées du titulaire de la carte
- Crypter la transmission des données de paiement
- Mettez régulièrement à jour votre logiciel antivirus
- Déployer des systèmes et des applications sécurisés
- Restreindre l'accès aux données du titulaire de la carte selon les besoins
- Attribuer un identifiant d'accès utilisateur
- Restreindre l'accès physique aux données
- Suivre et surveiller l'accès au réseau
- Tester en permanence les processus et les systèmes pour détecter les vulnérabilités
- Créer et maintenir une politique de sécurité informatique
La mise en œuvre des directives du PCI DSS 4.0 est en cours en deux phases
- La première phase, avec 13 nouvelles exigences, la date limite était le 31 mars 2024
- La deuxième phase, avec 51 exigences supplémentaires, doit être mise en œuvre d'ici le 31 mars 2025
