L’avènement du e-commerce et des Marketplaces s’est accompagné d’un risque croissant de violation des données bancaires. Pour faire face à cette menace et afin d’améliorer la sécurité des données des consommateurs et leur confiance dans l’écosystème de paiements, 5 acteurs ont lancé - en 2006 - le Conseil de sécurité des cartes de paiement (PCI SSC). Cette démarche a permis d’homogénéiser les différents programmes normatifs de sécurité alors en vigueur, pour créer une norme commune : la Payment Card Industry Data Security Standard (PCI DSS).
La PCI DSS, quelle importance ?
Cette norme mondiale désigne l’ensemble des exigences de sécurité des données applicables à l’industrie des cartes de paiement. Elle n’a pas été rendue obligatoire, ni au regard de la loi américaine, ni aux yeux du gouvernement français. Toutefois, la PCI DSS est imposée contractuellement par les principaux acteurs du marché des cartes de paiement. La certification à cette norme est depuis devenue une référence en matière de protection des données de paiement des consommateurs.
L’impact d’une cyberattaque est tout aussi important pour l’entreprise victime - peu importe sa taille, que pour ses clients. Les conséquences peuvent se traduire autant, pour une organisation, par une perte de revenus, de clients, de confiance et d’un préjudice pour l’image de l’entreprise, que par un risque accru de phishing, d’usurpation d’identité ou de vol de fonds pour le consommateur. Il est donc plus qu’important que toute société - qui traite les données de titulaires de cartes de paiement - fasse le nécessaire pour maintenir ces données en sécurité.
Que faire pour être en conformité ?
La documentation officielle, publiée par le Conseil PCI SSC, comporte quelque 1 800 pages organisées en 12 exigences auxquelles toute entreprise, commerçant comme fournisseur, doit se conformer. Voici ce que vous devez savoir sur la conformité PCI DSS :
- Installer et gérer une configuration avec pare-feux pour protéger les données des titulaires de cartes : L’exigence de la PCI DSS requiert l’utilisation de pare-feux, afin d’empêcher tout accès non-autorisé aux systèmes. Ceux-ci contrôlent la transmission de données entre le réseau interne d’une organisation.
- Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et autres paramètres de sécurité : L’utilisation des paramètres de sécurité par défaut augmente la vulnérabilité des systèmes. Les paramètres et mots de passe par défaut définis doivent être changés et les comptes par défaut non utilisés désactivés ou supprimés.
- Protéger les données des titulaires de cartes : Il est nécessaire de formaliser et mettre en oeuvre des procédures et processus qui régissent la gestion des traitements apportés aux données (mise à jour, chiffrement, stockage, suppression).
- Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts : Il s’agit notamment de la transmission des données par Internet et à l’aide des technologies sans fil comme le Bluetooth, les communications GPRS et satellite.
- Utiliser et mettre régulièrement à jour logiciels et programmes antivirus : Il faut également installer, maintenir et assurer le bon fonctionnement des antivirus pour protéger les systèmes contre les malwares.
- Développer et maintenir des systèmes et applications sécurisées : Il est important de vérifier en permanence que les logiciels sont à jour - pour être à l’abri des dernières vulnérabilités.
- Restreindre l’accès aux données des titulaires aux seules personnes concernées : La sécurisation de son SI passe par la mise en place de systèmes et processus pour gérer et restreindre les accès aux données.
- Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur : L’organisme doit aussi s’assurer que seules les personnes dûment autorisées ont accès à certains systèmes et composants spécifiques. L’authentification à deux facteurs comme les cartes à puce, les clés USB cryptographiques ou la biométrie permet de s’assurer du respect des autorisations.
- Restreindre l’accès physique aux données : L’accès aux salles serveur et centres de données doit être réglementé, tandis que les équipements sur lesquels se trouvent ces données doivent être surveillés et protégés contre toute altération.
- Tracer et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes : Des processus de journalisation des actions de chaque utilisateur doivent être déployés (accès aux données, privilèges, tentatives de connexion non valides, modifications apportées aux mécanismes d’authentification). Et ceux-ci doivent être examinés régulièrement.
- Tester régulièrement les systèmes et processus de sécurité : Des tests d’intrusions doivent être menés chaque année, et après toute modification importante sur le réseau. Les analyses de vulnérabilités et la maintenance de la topologie du réseau et des pare-feux doivent également faire partie de ces tests.
- Maintenir une politique de sécurité abordant la sécurité des informations pour employés et prestataires : Une politique formalisée, revue à fréquence régulière et maintenue à jour doit encadrer tous les processus de sécurité des informations, prendre en compte un programme de sensibilisation des collaborateurs et un processus formel de communication.
Quelles sont les implications pour votre entreprise ?
Les entreprises qui souhaitent se mettre en conformité avec la norme PCI DSS devraient donc, en premier lieu, analyser et comprendre la manière dont les données sont récupérées, stockées et organisées. Pour gérer en toute sécurité le traitement des données et éviter de dépenser d’importantes ressources financières et matérielles, de nombreuses entreprises utilisent une solution d’hébergement chez un tiers, prestataire de services de paiement (PSP). Ce partenaire de confiance prend en charge tous les aspects relatifs à la sécurité des transactions, afin que l’entreprise n’ait plus qu’une poignée de contrôles simples à mettre en oeuvre, tels que l’utilisation de mots de passe forts.
Pour être en règle, il est donc indispensable de protéger son réseau et ses infrastructures, et ce quelle que soit la taille de l’entreprise - sans oublier de mettre à l’abri les ressources les plus précieuses pour de l’organisation, à savoir ses données. Il est également important de renforcer les contrôles d’accès, chiffrer les communications et les transmissions de données, ainsi que de garantir l’intégrité des données transmises.
Et maintenant ?
Depuis, la directive sur les services de paiements 2 (DSP2 en français ou PSD2 en anglais) est entrée en vigueur en juin 2021 - après plusieurs reports dès septembre 2019. C’est une directive européenne qui s'applique à toutes les entreprises susceptibles de s'engager avec des clients européens, améliorant la réglementation PCI DSS définie en 2006. L’un des changements majeurs est l'exigence d'une authentification forte du client (SCA) pour les transactions en ligne.