Des rapports conformes à diverses normes industrielles sont disponibles dans le tableau de bord de Trust Guard. Il s’agit notamment de PCI DSS, RGPD, ISO27001, OWASP, HIPAA, SOx et NIS2. Cela vous permet de voir en un coup d’œil si vous répondez aux exigences de votre secteur d’activité.
Avant 2004, tous les émetteurs de cartes avaient leurs propres normes pour garantir que les commerçants atteignent un niveau minimum de sécurité lors du stockage, du traitement et de la transmission des données des titulaires de cartes. Il était difficile pour les commerçants utilisant plusieurs cartes de différents émetteurs de se conformer aux différentes normes.
Les principales organisations de cartes de crédit ont déployé des efforts concertés qui ont abouti à la publication de la version 1.0 de la norme PCI DSS (Payment Card Industry Data Security Standard) en décembre 2004. MasterCard, American Express, Visa, JCB International et Discover Financial Services ont créé le PCI SSC (Payment Card Industry Security Standards Council) en septembre 2006 en tant qu’organe d’administration/gouvernance pour promouvoir le développement de PCI DSS. Les organisations indépendantes/privées peuvent participer au développement de PCI après s’être dûment enregistrées.
La norme PCI DSS a été élaborée pour accroître le contrôle des données des titulaires de cartes et réduire la fraude par carte de crédit. La norme PCI DSS est contrôlée et mise en œuvre dans le monde entier. La dernière version de PCI DSS est la 3.2.1 et a été publiée en mai 2018. La norme de sécurité des données PCI spécifie 12 exigences de conformité. Celles-ci sont organisées en six groupes logiquement liés, appelés « objectifs de contrôle ».
Ces six groupes sont les suivants
1. Construire et maintenir un réseau et des systèmes sécurisés
2. Protéger les données des titulaires de cartes
3. Maintenir un programme de gestion de la vulnérabilité
4. Mettre en œuvre de solides mesures de contrôle d’accès
5. Contrôler et tester régulièrement les réseaux
6. Veiller à ce qu’une politique de sécurité de l’information soit mise en place
La gestion des vulnérabilités est une méthode de travail cyclique qui permet d’identifier, de classer, de hiérarchiser, de corriger et d’atténuer les vulnérabilités des logiciels. La gestion des vulnérabilités fait partie intégrante de la sécurité informatique et de la sécurité des réseaux. Les vulnérabilités peuvent être découvertes à l’aide d’un scanner de vulnérabilités, qui analyse un système informatique et recherche les vulnérabilités connues, telles que les ports ouverts, les configurations logicielles non sécurisées et la susceptibilité aux infections par des logiciels malveillants.
En cas de violation de la sécurité, une entreprise compromise qui n’était pas conforme à la norme PCI DSS au moment de la violation s’expose à des sanctions supplémentaires, telles que des amendes. Pour votre information, l’application et le respect de la norme PCI DSS ainsi que la détermination des amendes sont assurés par les émetteurs de cartes individuels et non par le Conseil. Les questions dans ce domaine doivent être adressées aux émetteurs de cartes.
L’analyse de vulnérabilité de Trust Guard est effectuée par une société d’analyse approuvée par le PCI Security Standard Council et, avec le questionnaire d’auto-évaluation (SAQ), elle prouvera la conformité PCI pour les niveaux 2, 3 et 4.
Le RGPD est entré en vigueur en mai 2016 et les entreprises ont eu jusqu’au 25 mai 2018 pour mettre leurs activités commerciales en conformité avec le RGPD. Le règlement général sur la protection des données (RGPD) concerne toutes les entreprises en Europe qui stockent des données personnelles. Cette législation régit la manière dont les entreprises doivent traiter les données à caractère personnel, sur le plan technique et organisationnel.
Lorsqu’une entreprise ne respecte pas les règles RGDP, l’amende maximale peut s’élever à 20 millions d’euros ou à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
D’un point de vue technique, Trust Guard peut fournir une assistance pour RGPD. Grâce à notre analyse, nous vérifions en de nombreux points si votre site Web et/ou votre réseau sont sécurisés. A partir de cela, vous pouvez créer un rapport pdf comme preuve que vous faites tout ce qui est en votre pouvoir pour vous conformer à RGPD.
La certification ISO27001 trouve son origine dans le « Code de pratique pour la gestion de la sécurité de l’information » en anglais. Ce code fait référence à un système de gestion spécial pour la sécurité de l’information et spécifie comment vous pouvez contrôler les risques de sécurité de manière démontrable.
La norme ISO27001 couvre plusieurs aspects liés à la sécurité de l’information, notamment le développement et la maintenance des systèmes et des logiciels (documentation, processus). La norme prévoit la définition d’un champ d’application et d’une politique, la réalisation d’une analyse des risques, la sélection de mesures pour les risques identifiés, ainsi que leur mise en œuvre et leur gestion.
L’obtention et le maintien de la certification ISO27001 est un processus continu. Avec la certification ISO27001, vous maîtrisez les risques liés à la sécurité.
L’analyse de sécurité de Trust Guard peut vous aider à identifier les risques auxquels vous êtes confronté avec votre réseau. Nous analysons votre réseau et vous informons des risques auxquels vous êtes confrontés et des solutions possibles. Vous pouvez également créer un rapport qui donne un aperçu des risques conformément à cette norme.
L’Open Web Application Security Project, ou OWASP, est une organisation internationale à but non lucratif qui se consacre à la sécurité des applications web. Sa mission est de rendre la sécurité des logiciels transparente, afin que les individus et les organisations puissent prendre des décisions éclairées concernant leur sécurité. Le projet le plus connu de l’OWASP est l’OWASP Top 10.
Le Top 10 de l’OWASP est un rapport régulièrement mis à jour qui décrit les aspects de la sécurité des applications web. Il se concentre sur les 10 risques les plus importants. Le rapport est compilé par une équipe d’experts en sécurité du monde entier. L’OWASP qualifie le Top 10 de « document de sensibilisation » et recommande à toutes les entreprises d’intégrer le rapport dans leurs processus afin de minimiser et/ou d’atténuer les risques de sécurité.
L’analyse de sécurité de Trust Guard analyse plusieurs vulnérabilités, y compris les 10 risques clés définis par le Top 10 de l’OWASP, et peut générer un rapport avec les résultats de l’analyse basés sur ce Top 10.
Le Health Insurance Portability and Accountability Act (HIPAA) est une loi américaine de 1996 concernant le secteur des soins de santé. L’HIPAA est surtout connue en Europe pour les protections de la vie privée qu’elle prévoit expressément pour le secteur des soins de santé.
Cette loi décrit un certain nombre de protocoles standard pour la transmission des données. La règle de sécurité décrit les normes relatives à la sécurité de l’information, en proposant des mesures de sécurité procédurales, techniques et physiques.
Les réglementations de l’HIPAA ont influencé les développements en matière de protection de la vie privée. Le développement de mesures de sécurité technique en particulier a été déclenché par l’HIPAA, et la prise de conscience d’une protection adéquate de la vie privée aurait vraisemblablement été beaucoup plus lente à se concrétiser.
En ce qui concerne la vérification de la sécurité de votre réseau, le scan de sécurité de Trust Guard peut vous aider en identifiant les vulnérabilités et en fournissant des solutions. En outre, le rapport HIPAA peut servir de support pour prouver que tout a été mis en œuvre pour sécuriser les données.
La norme SOx est issue des projets de loi proposés par les sénateurs Paul Sarbanes et Michael Oxley. Au départ, ces propositions ne bénéficiaient que d’un faible soutien, mais en raison des nombreux scandales survenus en 2002 (Enron, Worldcom, AOL, etc.), elles ont été adoptées sous une forme modifiée. L’objectif de la loi est de prévenir la fraude. Malheureusement, le facteur humain reste trop déterminant pour empêcher complètement la fraude.
Une caractéristique particulière de la législation est la menace de peines d’emprisonnement et d’amendes pour les dirigeants s’ils ne respectent pas les exigences en matière de gouvernance d’entreprise. Les sociétés non américaines doivent également se conformer à la législation SOx si elles sont cotées sur une bourse américaine.
La loi Sarbanes-Oxley (SOx) s’adresse principalement aux grandes entreprises qui développent et utilisent leurs propres logiciels. Auparavant, ces entreprises effectuaient également des contrôles internes, mais la loi SOx les formalise dans une large mesure. L’informatique occupe une place particulière dans tout cela. Si le logiciel écrit par l’entreprise produit les chiffres à partir desquels les auditeurs obtiennent leurs données, les auditeurs remettront certainement en question la création de ce logiciel. Dans de nombreux cas, l’entreprise devra démontrer que le logiciel a été géré de manière saine.
Trust Guard peut apporter sa contribution en offrant un rapport qui donne un aperçu des vulnérabilités informatiques (internes et externes).
À l’ère de la numérisation constante, la société subit diverses influences qui exercent une pression sur la sécurité de la société et de l’économie. Il s’agit notamment de la pandémie de COVID-19, de la guerre en Ukraine, de l’impact croissant du changement climatique et de la croissance exponentielle des cyberattaques, telles que le phishing, les logiciels malveillants et les ransomwares. Ces évolutions ont conduit à un paysage changeant dans lequel les États membres européens reconnaissent la nécessité de renforcer leur résilience numérique et économique.
En 2016, l’Union européenne a introduit la directive sur la sécurité des réseaux et des systèmes d’information (directive NIS). Cette première législation visait à renforcer la cybersécurité et se concentrait sur les fournisseurs de services essentiels, notamment l’eau, l’énergie, les télécommunications, les transports, les soins de santé et la finance. En réponse à l’évolution numérique en cours et à son impact plus large sur différents secteurs, la directive NIS2 a été lancée plus tard comme une extension de cette législation initiale.
La directive NIS2 comprend plusieurs éléments clés :
Il est essentiel de déterminer si votre entreprise est considérée comme un fournisseur de services essentiels ou importants. Les services essentiels sont indispensables au fonctionnement de la société, tandis que les services importants ont un impact significatif sur les utilisateurs ou d’autres entreprises. Si tel est le cas, des obligations spécifiques doivent être respectées.
Le non-respect de ces obligations peut entraîner des amendes importantes, pouvant aller jusqu’à 10 % du chiffre d’affaires annuel, avec un maximum de 20 millions d’euros.
Bien qu’aucune date finale n’ait encore été fixée, il est actuellement question de la fin de l’année 2024 comme date limite possible pour que les organisations se conforment aux exigences de la directive NIS2. Il est très important de se tenir au courant de toute échéance spécifique fixée par le gouvernement.
Scannez votre site web dès maintenant, gratuitement et sans obligation, et protégez les données confidentielles de vos clients.