De nouvelles réglementations pour un certain nombre de secteurs, notamment les soins de santé, la vente au détail et l'hôtellerie. Il est temps de mettre en œuvre la DMARC.
Le DMARC deviendra une exigence de la dernière norme PCI DSS 4.0
Dans la version la plus récente de la norme PCI DSS, à laquelle les entreprises ont jusqu'en mars 2025 pour adhérer, l'accent est mis sur l'authentification des e-mails, y compris la conformité à la DMARC.
Qu'est-ce que la norme PCI DSS ?
PCI DSS est l'abréviation de Payment Card Industry Data Security Standards. Il s'agit d'une organisation mondiale chargée de sécuriser les processus et les données de paiement. Il s'agit d'un ensemble de normes de sécurité qui combine les meilleures pratiques mises en œuvre par Mastercard, Discover, American Express et Visa. Son objectif est de protéger les transactions par carte de crédit et de débit contre la fraude et le vol de données. Les normes suivent les dernières menaces de cybersécurité et les paramètres de sécurité sont régulièrement mis à jour avec de nouvelles mesures obligatoires qui doivent être mises en œuvre pour se protéger contre les menaces émergentes.
Conformément à l'exigence 5 de la norme PCI DSS, des mécanismes de processus automatiques devront désormais être mis en œuvre pour détecter et protéger contre les attaques de phishing par e-mail.
La PCI SSC recommande la mise en œuvre de la DMARC en tant que meilleure pratique pour les organisations, qui peut empêcher l'usurpation des e-mails et renforcer leur protection contre les attaques de phishing.
Qu'est-ce que le DMARC ?
DMARC est l'abréviation de Domain-based Message Authentication, Reporting and Conformance. Il s'agit d'un protocole d'authentification des e-mails et d'anti-usurpation qui aide à protéger une organisation contre les escroqueries par e-mail et les attaques de phishing.
Les attaquants peuvent se faire passer pour une organisation ou un individu en qui ils ont habituellement confiance et les inciter à transmettre des informations personnelles/sensibles ou à transférer de l'argent. La DMARC s'assure que les e-mails qu'ils reçoivent proviennent bien de la personne qu'ils prétendent être en vérifiant leur identité.
Lorsqu'un e-mail suspect tente d'arriver dans votre boîte de réception, le DMARC combine les résultats du SPF et du DKIM pour autoriser la source de l'e-mail et confirme qu'il n'a pas été modifié pendant le transit. Une fois qu'une politique DMARC est en place, les propriétaires de domaines peuvent définir une politique pour leur domaine : « aucun », « quarantaine » ou « rejet ». Lorsqu'une politique est entièrement configurée, elle réduit le risque que des tentatives de phishing atteignent la boîte de réception.
Secteurs concernés
Les industries qui sont tenues de se conformer aux normes PCI DSS sont celles qui traitent, stockent ou transmettent les données des cartes. Les secteurs les plus touchés sont le commerce de détail, la santé et l'hôtellerie. Ce sont des secteurs intéressants à cibler pour les attaquants en raison du volume élevé de transactions par carte de crédit/débit, et ils traitent une grande quantité d'informations sensibles.
Quels sont les avantages de la mise en œuvre de la DMARC ?
Prévention contre le phishing et l'usurpation d'identité
Le phishing et l'usurpation d'identité constituent des problèmes importants et évolutifs pour les entreprises, et l'erreur humaine restant la cause la plus fréquente d'une violation de données, la réduction du nombre de tentatives de phishing qui atterrissent dans les boîtes de réception des employés réduira la probabilité d'une attaque. Un domaine peut être surveillé par le biais de rapports DMARC, qui permettent aux organisations d'obtenir des informations précieuses sur les actions nécessaires pour améliorer la sécurité et l'authentification de leurs e-mails.
Réputation accrue de la marque
La DMARC peut renforcer la confiance et la réputation de la marque en empêchant les attaquants d'envoyer des e-mails frauduleux se faisant passer pour votre organisation. Sans cette protection, les clients pourraient recevoir des e-mails non authentiques provenant du domaine de l'organisation, ce qui pourrait entraîner une attaque de phishing et une perte de confiance dans la marque.
D'autres exigences futures en matière de conformité à la norme PCI DSS ?
Parmi les autres exigences futures relatives à la conformité à la norme PCI DSS v4.0, citons :
Chiffrez ou protégez les données d'authentification sensibles stockées.
Si la technologie d'accès à distance est utilisée pour accéder à l'environnement de données du titulaire de la carte, la copie et la relocalisation des données PAN doivent être empêchées.
La méthode de hachage cryptographique à clé doit être utilisée.
Les organisations doivent disposer d'un pare-feu d'applications Web pour toutes les applications Web exposées à Internet.
La longueur minimale des mots de passe peut varier de 7 à 12.
Le MFA est requis pour tout accès à l'environnement de données du titulaire de la carte.