Atteindre l’excellence en matière de sécurité PCI durable

Les organisations sont confrontées à des défis persistants pour atteindre, et plus important encore, maintenir la conformité à la norme PCI DSS (Payment Card Industry Data Security Standard). En raison du nombre croissant d’exigences réglementaires concurrentes, les organisations se retrouvent souvent submergées par la complexité de la sécurité PCI et des échecs répétés dans le maintien de la conformité, ce qui entraîne une lassitude en matière de conformité.

Deux leaders d’opinion influents de notre époque offrent des informations inestimables pour aider les organisations à résoudre les défis de la complexité. Eliyahu Goldratt a développé la théorie des contraintes (TOC) et H. William Dettmer est l’auteur du processus de pensée logique (LTP)^[1]. La TOC est une philosophie qui se concentre sur l’identification et l’amélioration du facteur limitant (contrainte) dans un système afin d’améliorer la productivité globale. Le LTP est une méthodologie structurée conçue pour aider à identifier et à résoudre des problèmes complexes en abordant systématiquement les contraintes et en créant des solutions logiques grâce à divers outils de réflexion et d’analyse.^[2]

L’approche de Goldratt fournit une méthode pratique pour détecter les problèmes au niveau du système^[3] tandis que Dettmer plonge dans les processus organisés pour comprendre la complexité. Cette combinaison d’approches peut donner aux organisations les connaissances nécessaires pour répondre aux exigences réglementaires. Cela les aide à surmonter la stagnation et la frustration liées aux efforts de conformité durables. Le résultat devrait être un succès durable en matière de conformité, en soulignant l’importance d’identifier les contraintes tout en utilisant une approche logique pour développer des programmes de conformité de sécurité PCI.

L’intérêt d’identifier les contraintes

Naviguer dans la norme de sécurité des données PCI encourage à s’écarter des approches conventionnelles, en particulier lorsque les organisations sont aux prises avec un cycle persistant de non-conformité. L’analyse de Verizon des efforts de conformité en matière de sécurité PCI au cours de la dernière décennie révèle un problème persistant : comment surmonter la stagnation du programme de conformité. Les recherches de Verizon suggèrent qu’il existe un besoin urgent pour les organisations de s’affranchir de la mise en œuvre répétitive des mêmes stratégies et de leurs résultats médiocres. Même si elles comprennent l’importance de la conformité PCI DSS, les organisations se retrouvent souvent au point mort en matière de sécurité PCI, ayant effectivement atteint un plateau et perdu leur élan.

Goldratt dit que nous devrions changer notre façon de penser pour résoudre les problèmes du système. Le processus de pensée logique de Dettmer contribue à ce changement en identifiant comment surmonter les contraintes sous-jacentes grâce à l’utilisation de méthodes logiques plutôt qu’en traitant simplement les symptômes. La combinaison des conseils pratiques de Goldratt et de la méthode de Dettmer peut offrir aux organisations une voie pour réussir leur conformité à long terme en utilisant stratégiquement la logique pour identifier et résoudre les contraintes des programmes de conformité.

Remettre en question le plateau des contraintes

Atteindre et maintenir la conformité en matière de sécurité PCI représente un formidable défi pour les organisations déjà confrontées au besoin perpétuel de s’adapter aux progrès technologiques et aux réglementations en constante évolution. Cette lutte continue est mieux comprise grâce à des analyses complètes, comme le souligne le rapport sur la sécurité des paiements (PSR).^[4], que Verizon publie depuis plus d’une décennie. Le PSR souligne que la résolution des défis liés à la gestion de la conformité de sécurité PCI va bien au-delà des solutions techniques. Au lieu de cela, la clé d’une conformité durable en matière de sécurité PCI réside dans une analyse approfondie et dans la compréhension de l’interaction complexe entre les différents facteurs contributifs. Cette approche fournit les informations nécessaires pour comprendre pourquoi les organisations rencontrent fréquemment une stagnation et une régression dans leurs efforts de conformité en matière de sécurité PCI.

Considérez votre programme de conformité de sécurité PCI comme analogue au fonctionnement complexe d’une automobile, où diverses pièces interconnectées (moteur, transmission, freins et électronique) doivent fonctionner de manière transparente pour des performances optimales. Un programme de conformité de sécurité PCI implique des outils réglementaires et logiques pour les éléments interconnectés, tels que la sécurité du réseau, le cryptage des données, les contrôles d’accès, les mises à jour du système, la gestion des modifications — la liste est longue. Tout comme une pièce défectueuse dans une voiture qui peut provoquer des perturbations, une faille dans n’importe quel domaine de conformité de sécurité PCI peut perturber l’ensemble du « véhicule » ou du programme de conformité. Cette analogie souligne le fait qu’une gestion efficace de la conformité va au-delà de la gestion d’éléments individuels ; il s’agit d’assurer le fonctionnement cohérent et la sécurité de l’ensemble de « l’automobile » afin de créer un programme de conformité pleinement opérationnel.

L’importance de l’identification des contraintes

Tout comme résoudre un goulot d’étranglement dans le système d’une voiture peut améliorer les performances, il devient de plus en plus impératif d’identifier et de comprendre les contraintes qui interfèrent avec les performances de votre système. Dans un paysage de sécurité en évolution, la reconnaissance et le dépassement des contraintes de sécurité PCI optimisent l’efficacité de chaque composant du système pour créer un parcours plus fluide vers une conformité durable.

Le LTP est un outil crucial pour surmonter les nouveaux défis de conformité PCI DSS et améliorer les programmes de conformité PCI DSS existants. Tout comme un mécanicien qualifié utilise systématiquement une approche logique étape par étape pour dépanner et améliorer les composants interconnectés d’un véhicule, les organisations doivent régulièrement appliquer des mises au point logiques pour évaluer, élaborer des stratégies et innover dans le cadre de leur cadre de conformité. Regarder régulièrement sous le « capot » pour observer la machinerie complexe des deux systèmes – l’automobile avancée et la structure complexe de conformité de sécurité PCI – permet d’exposer des contraintes qui peuvent ensuite être résolues par une approche systématique et logique.

Ok, et maintenant ?

La mise en œuvre du processus de pensée logique devrait permettre de mieux comprendre comment chaque composant, processus et équipe joue un rôle central dans le succès global du système. Lancer une évaluation approfondie du système ne consiste pas seulement à examiner des pièces individuelles ; c’est une exploration de la façon dont ces parties se connectent et s’influencent les unes les autres dans leur ensemble.

Lors de l’identification et de la priorisation des contraintes, il est crucial de reconnaître et d’identifier comment l’impact de chaque contrainte se répercute sur l’ensemble du cadre de conformité de sécurité PCI. Tout comme un mécanicien diagnostique et peaufine le système d’échappement d’un véhicule pour qu’il passe l’inspection, les contraintes des composants peuvent améliorer ou détériorer les performances globales du système. Cela souligne l’importance de diagnostics précis effectués par un mécanicien fiable, car même des efforts bien intentionnés peuvent conduire à une panne sur l’autoroute si la cause profonde du problème est mal comprise.

L’utilisation du processus de pensée logique permet d’établir une approche systématique et précise pour relever les défis de conformité en matière de sécurité PCI. En résumé, le LTP peut aider à :

1. Définir la objectif global de conformité

Avant de vous lancer dans les évaluations et l’identification des contraintes, définissez clairement l’objectif, les facteurs critiques de succès et les conditions nécessaires qui DOIVENT exister pour que vous puissiez atteindre la conformité de sécurité PCI. Comprenez pourquoi la conformité est cruciale pour votre organisation et ses parties prenantes. Cette étape jette les bases d’une approche ciblée et ciblée, garantissant que les efforts sont alignés sur l’objectif primordial de protection des données sensibles.

2. Effectuer une évaluation complète du système

Une fois l’objectif global, les facteurs critiques de réussite et les conditions nécessaires établis, lancez une évaluation approfondie de votre système actuel de conformité de sécurité PCI dans son intégralité. Reconnaissez que chaque composant, processus et équipe contribuent à la réalisation de l’objectif défini. Demandez-vous si vous remplissez actuellement chacun des facteurs critiques de succès identifiés à l’étape 1. Cette vision holistique garantit que l’évaluation va au-delà des éléments individuels pour comprendre leurs interdépendances et leur impact collectif.

3. Identifier et prioriser les contraintes

Appliquez le processus de pensée logique pour identifier et hiérarchiser systématiquement ce qui vous empêche d’atteindre vos facteurs critiques de réussite – essentiellement les contraintes du système de conformité de sécurité PCI. Insistez sur la manière dont chaque contrainte peut affecter la réalisation de l’objectif global de conformité. Cette étape consiste à reconnaître l’interconnectivité de divers éléments, à l’image d’un mécanicien qui diagnostique et priorise les problèmes des composants d’un véhicule pour des performances optimales.

4. Analyse des causes profondes et planification stratégique pour l’innovation

Effectuez une analyse approfondie des causes profondes pour explorer les facteurs sous-jacents contribuant aux contraintes. Reconnaître l’impact plus large que ces contraintes peuvent avoir sur le cadre global de conformité. Formuler un plan d’innovation stratégique qui considère comment les améliorations apportées à un aspect peuvent influencer positivement l’ensemble du système. Cette étape s’aligne sur la nature globale du programme de conformité, en mettant l’accent sur les dépendances interconnectées cruciales pour un succès durable. Reconnaissez l’effet d’entraînement que ces contraintes peuvent avoir sur le cadre global de conformité de sécurité PCI. Élaborez un plan stratégique qui considère comment les améliorations apportées dans un domaine peuvent avoir un impact positif sur l’ensemble du système. Cette étape s’aligne sur la nature globale du programme de conformité, en mettant l’accent sur les interdépendances cruciales pour un succès durable à long terme.

Conclusion

Lorsque l’on affronte les complexités liées à la mise en conformité en matière de sécurité PCI, le succès dépend d’une compréhension nuancée des interdépendances au sein du « système » de sécurité PCI. L’établissement de l’objectif global de conformité ouvre la voie à un parcours axé sur un objectif précis, dans lequel chaque composant, processus et membre de l’équipe comprend et joue un rôle crucial dans la réalisation de cet objectif primordial. Suivre le processus de pensée logique est un moyen très efficace non seulement pour traiter systématiquement les contraintes, mais aussi pour optimiser l’ensemble du cadre de conformité dans son ensemble.

^[1] H. William Dettmer, Le processus de pensée logique : une approche systémique de la résolution de problèmes complexes, Milwaukee, Wisconsin, ASQ Quality Press, 2007

^[2] Rapport Verizon Payment Security, 2022, pages 9 et 64-79, www.verizon.com/paymentsecurityreport

^[3] Eliyahu M. Goldratt, Jeff Fox : L’objectif : un processus d’amélioration continue, North River Press, 2004

^[4] www.verizon.com/paymentsecurityreport

Matthew Arntsen est directeur principal de la gestion des risques de sécurité et responsable de l’Amérique du Nord chez Verizon Cyber ​​Security Consulting.