Logo IS Decisions

Historique de la norme PCI DSS : Comment se mettre en conformité et le rester

Learn the history of the PCI DSS standard, how it came to be, how it's changed, and what tomorrow will bring.

Publié le 15 décembre 2021
Historique de la norme PCI DSS : comment se mettre en conformité et le rester

Depuis l’émergence du commerce en ligne, la réglementation qui régit les normes de paiement s’est renforcée au fil du temps. Pour la sécurité des commerçants comme des clients, nous avons besoin de règles strictes, qui protègent toutes les parties prenantes des cybermenaces tout en préservant la continuité des opérations des entreprises.

La mise en place de laNorme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a marqué une étape symbolique pour la sécurité des transactions en ligne.

Présentation : qu’est-ce que la norme PCI DSS ?

PCI DSS a été présentée en 2004 ; destinée aux grandes marques de cartes de crédit, cette norme de sécurité de l’information intègre 12 mesures stratégiques visant à réduire la fraude à la carte bancaire.

Cet article aborde l’histoire de la norme PCI DSS : comment elle est née, comment elle s’est développée, et son évolution à venir. Nous nous intéresserons également à ce que les fournisseurs de services peuvent faire pour se mettre en conformité avec la norme PCI DSS.

Comment se mettre en conformité avec la norme PCI DSS

Pour répondre aux exigences du Payment Card Industry Security Standards Council, les organisations doivent respecter les 12 règles suivantes :

  1. Protéger les données des titulaires de cartes à l’aide d’un pare-feu.

  2. Éliminer les paramètres par défaut pour les mots de passe système ou les paramètres de sécurité définis par les fournisseurs.

  3. Protéger les données stockées des titulaires de cartes.

  4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts publics.

  5. Déployer des contrôles de sécurité visant à protéger les systèmes des malwares et des virus.

  6. Déployer et gérer des systèmes et des applications sécurisés.

  7. Limiter les accès aux données des titulaires de cartes aux seules personnes qui en ont besoin.

  8. Identifier les accès aux composants système et les soumettre à authentification.

  9. Restreindre l’accès physique aux données des titulaires de cartes.

  10. Suivre et surveiller les accès aux données des titulaires de cartes et aux ressources réseau.

  11. Tester les processus et les systèmes de sécurité à intervalles réguliers.

  12. Créer et mettre à jour une politique de sécurité régissant la sécurité de l’information pour tous les collaborateurs.

Comment est née la norme PCI DSS ?

Pendant les années 80 et 90, les fuites de données et les cas de fraude à la carte de crédit ont explosé, notamment lors d’un événement mémorable : la fuite de données TRW (en anglais) en 1984 (aujourd’hui connue sous le nom Experian), à l’occasion de laquelle un vol de mots de passe a entraîné la divulgation des données de 90 millions d’utilisateurs. L’arrivée d’Internet n’a fait que multiplier les incidents de ce type.

Dans les années 90, les virus informatiques ont commencé à faire les gros titres et on a assisté à l’émergence des attaques de déni de service (DoS). En parallèle, la fraude à la carte bancaire s’est sophistiquée : un adolescent est par exemple parvenu à modifier le codage magnétique (en anglais) de certaines cartes très répandues.

Les grands organismes de cartes bancaires comme Mastercard, American Express et Visa ont alors répondu à cette escalade en définissant leurs propres systèmes de normes, notamment :

  • La norme Data Security Operating Policy d’American Express

  • La norme Information Security and Compliance de Discover

  • Le programme Data Security Program de JCB

  • Le règlement Site Data Protection de Mastercard

  • Le programme Cardholder Information Security Program de Visa

Ces programmes ont ouvert la voie à la création de la norme PCI DSS, conçue pour gérer les problèmes de compatibilité en vue de créer une norme unifiée. Nous pouvons ainsi appliquer aujourd’hui les leçons apprises dans les années 90 pour améliorer la protection des données des titulaires de cartes.


La norme PCI DSS au fil du temps

Au fil du temps, la norme PCI DSS s’est adaptée à l’évolution des menaces et a bénéficié de certaines avancées stratégiques pour continuer à protéger les services financiers.

2004-6 – Création de l’organisme PCI SCC

Après la formation en 2004 d’un partenariat rassemblant les principaux organismes de cartes de paiement au monde, le Payment Card Industry Security Standards Council voit le jour en 2006.

2006 — Publication de la Version 1.1

La norme PCI DSS 1.0 définit les standards qui permettront d’élaborer des réseaux sécurisés et de protéger les données des titulaires de cartes. 2006 voit la publication de la norme PCI DSS v1.1, qui impose l’utilisation de pare-feu.

2010 — Publication de la Version 2.0

Publiée en octobre 2010, la norme PCI DSS v2.0 introduit les restrictions des accès utilisateurs, ainsi que certaines recommandations relatives au chiffrement des données.

2013 — Publication de la Version 3.0

Publiée en novembre 2013, la norme PCI DSS v3.0 intègre la technologie du cloud, en proposant de nouveaux conseils relatifs aux tests d’intrusion.

2016 — Publication de la Version 3.1

La norme PCI DSS v3.1 pose les bases de la future v3.2, en commençant par mettre à jour les exigences de conformité, puis en introduisant des recommandations relatives à l’authentification multifacteur (MFA).

2022 — Publication de la Version 4.0

La version la plus récente est plus stricte vis-à-vis des situations de non-conformité. Elle introduit l’implémentation personnalisée, qui permet aux entités de concevoir leurs propres contrôles de sécurité.

La norme PCI DSS 4.0 impose une authentification multifacteur (MFA). Dans le sillage des menaces récentes, ces versions couvriront le commerce en ligne et intègreront des mises à jour en matière de phishing. Les entreprises doivent se conformer aux exigences de la version 4.0 de la norme PCI DSS d'ici 31 mars 2025.

Premières étapes du développement de PCI DSS encore applicables aujourd’hui

Même si elle date de 2004, nous pouvons tirer certains enseignements des difficultés et des réussites observées après la publication de la première version de PCI DSS. Les organisations peuvent s’inspirer de l’histoire de la norme pour introduire leurs propres critères de sécurité, par exemple :

Critères de conformité et aspects à couvrir en matière de sécurité des données

Si la norme a été créée pour maintenir une certaine uniformité entre tous les organismes émetteurs de cartes de paiement, on observe toutefois quelques différences en matière de conformité. Les critères requis varient selon le niveau de classement des commerçants, basé sur le volume annuel de transactions. VISA compte quatre niveaux différents, tandis que Mastercard en distingue cinq, par exemple.

Les contrôles qui permettent de valider la conformité peuvent varier eux aussi : c’est pourquoi il est conseillé aux fournisseurs de faire appel à des auditeurs de sécurité qualifiés (QSA) afin de s’assurer que les entreprises répondent bien aux critères de conformité correspondant à leur niveau.

Tenir à jour la norme PCI DSS

L’organisme PCI SSC passe régulièrement en revue ses normes. Par exemple, les normes PCI PTS (Payment Card Industry PIN Transaction) sont mises à jour tous les trois ans. Dans le cadre de ce processus, tous les équipements PTS subissent des tests dans des laboratoires indépendants afin de vérifier leur compatibilité avec les exigences PCI PTS actuelles. Une lettre d’autorisation est ensuite envoyée pour prouver la conformité du matériel avec la dernière version de PCI PTS.

Les principes fondateurs des normes prévoient également la possibilité de mettre les textes à jour. Dans les normes d’origine, les émetteurs de cartes acceptent de tenir à jour un programme de gestion des vulnérabilités, notamment en ce qui concerne la mise à jour régulière des logiciels antivirus. Ils acceptent également de tenir à jour une politique de sécurité de l’information et de surveiller ou de tester leur réseau à intervalles réguliers.

S’assurer que les initiatives de sécurité restent pratiques pour les entreprises modernes

Les mesures de sécurité décrites dans la norme PCI DSS bénéficient de plusieurs façons aux organisations modernes : elles protègent les données des cartes des clients, renforcent la confiance des consommateurs et réduisent le risque de fuite de données.

Si le processus de conformité PCI peut sembler complexe, les entreprises peuvent aussi se référer à une checklist d’étapes à remplir pour simplifier leur mise en conformité. La plupart des entreprises correspondent à une conformité de « Niveau 4 », ce qui signifie qu’elles doivent remplir un questionnaire d’autoévaluation.

Elles doivent également avoir recours à un « Approved Scanning Vendor » responsable de mener une analyse trimestrielle du réseau. Une liste de prestataires est disponible sur le site web du PCI SSC. Enfin, elles doivent remplir une attestation de conformité afin de prouver qu’elles adhèrent à ces normes. Cette attestation doit être remplie par un auditeur de sécurité qualifié (QSA) ; plus de détails sont disponibles sur le site web du PCI SSC.

Les grandes entreprises, elles, sont soumises à des contrôles supplémentaires, comme la production d’un rapport de conformité annuel rempli par un auditeur. Chacun de ces contrôles peut être externalisé auprès du PCI SSC ; ils ne nécessitent donc aucun recrutement supplémentaire ni aucun investissement coûteux en formation. Néanmoins, il est possible d’obtenir la certification « PCI Security Standards Company », qui permet d’organiser ces contrôles en interne.

Encourager les entreprises à se mettre en conformité et leur demander des comptes

La conformité PCI DSS s’applique aux commerçants qui acceptent les paiements par carte (débit ou crédit), mais aussi aux fournisseurs de services impliqués dans le traitement, le stockage et la transmission des données des titulaires de cartes. Les mesures incitatives au maintien de la conformité sont toujours aussi pertinentes aujourd’hui qu’elles l’étaient en 2004 : il s’agit avant tout d’éviter les fuites de données à grande échelle et la fraude à la carte bancaire.

Les démarches administratives liées à la conformité PCI peuvent paraître intimidantes au premier abord. C’est pourquoi il est important de bien définir le niveau de conformité PCI correspondant à l’organisation :

  1. Niveau 1 : plus de 6 millions de transactions par an

  2. Niveau 2 : Entre 1 million et 6 millions de transactions par an

  3. Niveau 3 : Entre 20 000 et 1 million de transactions par an

  4. Niveau 4 : Moins de 20 000 transactions par an

Chaque niveau impose des critères de certification qui lui sont propres : par exemple, les entreprises de niveau 1 doivent fournir à la fois une attestation de conformité et un rapport annuel de conformité. Les petites entreprises de niveau 4 n’ont besoin de produire qu’une attestation de conformité et un questionnaire d’autoévaluation.

Ces niveaux aident les entreprises à satisfaire aux exigences de sécurité sans investir trop de temps ou d’argent. Les critères de conformité évoluent naturellement en suivant la croissance des organisations.

Même si PCI DSS n’est pas une loi, mais une norme, toute situation de non-conformité entraîne des amendes, dont le coût peut atteindre 500 000 $ par faille de sécurité, auquel peuvent s’ajouter des amendes mensuelles qui incitent fortement les entreprises à rendre des comptes. De même, certains émetteurs de cartes, dont Visa et Mastercard, imposent des amendes en cas de non-conformité.

Adapter l’évolution de la norme aux standards de sécurité modernes

La norme PCI DSS a toujours évolué dans un souci de cohérence avec les autres normes internationales, comme celles de l’Organisation internationale de normalisation (ISO). En particulier, la norme ISO 27001 relative à la sécurité de l’information est cohérente avec la norme PCI DSS, puisqu’elle a été introduite en 2005 et a suivi une évolution proche des normes relatives aux paiements.

Les mises à jour de cette norme ont suivi le rythme d’ISO 27001, dont la dernière mise à jour remonte à octobre 2022. Alors que la norme ISO 27001 concerne les systèmes de management et se base sur la notion de risque, en fournissant un référentiel pour la protection des données, PCI DSS est une norme basée sur des règles qui régit la protection des données de cartes de paiement.

Favoriser l’adoption des normes dans tout le secteur des applications de paiement

Les difficultés d’interopérabilité constatées entre les grands organismes de cartes de paiement au moment de l’émergence de leurs normes respectives ont motivé la création d’une approche uniformisée. Aujourd’hui, nous disposons d’un ensemble d’outils de validation de la conformité qui nous permettent de garantir que ces normes resteront acceptables pour tous les commerçants et responsables du traitement des données :

  1. Les auditeurs de sécurité qualifiés sont des groupes ou des entités indépendant(e)s responsables d’auditer les commerçants.

  2. Les auditeurs de sécurité internes ont été certifiés pour mener les évaluations en interne.

  3. Les rapports de conformité s’appliquent aux commerçants Visa de niveau 1 afin de protéger les titulaires de cartes contre les transactions frauduleuses. Des modèles de rapports de conformité sont disponibles sur le site web du PCI SSC.

  4. Les questionnaires d’autoévaluation sont disponibles en huit versions, correspondant au niveau des commerçants, et doivent être transmis à la banque de l’entreprise pour prouver sa conformité.

Les normes ont parfois fait l’objet de critiques par le passé, et les émetteurs de cartes de paiement ont dû surmonter ces difficultés pour éviter de subir un préjudice en termes d’image. Par exemple, un commerçant prétendait que les normes n’avaient pour but que de collecter le montant des amendes (en anglais) et non de protéger les entreprises.

Néanmoins, ces normes permettent aussi de faire la lumière sur la sécurité de l’information en général, puisqu’elles incitent toutes les entreprises à analyser leurs systèmes informatiques et à atténuer les menaces. Elles sont mises à jour régulièrement en suivant l’évolution des technologies. Par exemple, d’ici 2025, l’authentification multifacteur devrait devenir une exigence de conformité PCI DSS.

Derniers développements de la norme PCI DSS

Depuis 2021, de nouveaux développements en matière d’exigences de conformité ont été ajoutés à la norme sur la sécurité des données PCI :

  • En juin 2021, le PCI Security Standards Council publie la Version 4.0.

  • En octobre 2021, des mises à jour sont ajoutées à la Version 4.0, dont des recommandations relatives au chiffrement des données des titulaires de cartes pendant leur transit.

  • En novembre 2021, le PCI SSC publie une mise à jour : un supplément d’information abordant le cloud computing dans les environnements PCI DSS.

  • En décembre 2021, de nouvelles informations sont publiées au sujet de l’utilisation des jetons de paiement, qui sont des représentations chiffrées des données des titulaires de cartes.

Certaines sous-normes du PCI DSS s’alignent avec l’évolution des technologies. À la fin de l’année 2022, le référentiel PCI SSF (PCI Software Security Framework) remplace l’ancienne norme PA-DSS (Payment Application Data Security Standard). Il inclut des dispositions relatives à la surveillance de la fraude et à l’authentification des données des titulaires de cartes, en réponse aux menaces les plus récentes.

Étapes à suivre pour maintenir la conformité PCI DSS

Pour satisfaire aux exigences de conformité de PCI DSS, il est essentiel de :

  1. Tenir à jour la documentation de conformité, comme l’attestation de conformité ;

  2. S’assurer que les fournisseurs tiers sont eux aussi conformes, par exemple les fournisseurs de machines d’impression pour cartes de paiement ;

  3. Se tenir informé des dernières évolutions en consultant régulièrement le site web du PCI SSC ;

  4. Signaler sans attendre toute fuite de données ou tout incident de sécurité afin d’éviter les amendes ;

  5. Auditer régulièrement l’efficacité des programmes de conformité ;

  6. Envisager d’externaliser cette expertise auprès d’un expert en conformité PCI DSS.

Maintenir la conformité face à l’évolution des normes PCI DSS

L’introduction de la norme Payment Card Industry Data Security Standard a marqué une étape importante dans la protection des consommateurs et des entreprises contre la fraude et les fuites de données. Suite à la recrudescence des arnaques en ligne et des cyberattaques dans les années 90 et au début des années 2000, les grandes marques mondiales de cartes bancaires se devaient de réagir pour protéger leurs clients et leurs collaborateurs.

Si la norme a connu de nombreuses mises à jour et plusieurs versions depuis son lancement en 2004, les principes fondamentaux de la PCI DSS s’appliquent encore aujourd’hui, notamment l’idée selon laquelle les fournisseurs doivent adhérer aux normes les plus strictes en matière de protection des données des titulaires de cartes, en limitant les accès et en chiffrant les informations dès que possible.

On remarque que ces bonnes pratiques se reflètent dans chaque nouvelle version de la norme PCI DSS et de ses sous-normes. L’évolution tant au niveau des méthodes de paiement que des cybermenaces a motivé l’émergence de nouvelles exigences de sécurité des données, notamment grâce au recours à des technologies comme la MFA.

Maintenir la conformité avec la norme PCI DSS peut s’avérer complexe et difficile pour bon nombre d’organisations. C’est pourquoi le PCI SSC a mis au point un ensemble d’exigences cohérent avec les normes internationales. Le PCI SSC publie régulièrement des conseils dans l’optique d’aider les organisations à bien comprendre les règles et à les suivre pour éviter les amendes.

XFacebookLinkedIn

Essayez UserLock gratuitement

Plus de 3400 organisations comme la vôtre utilisent UserLock pour sécuriser les accès des identités Active Directory et répondre aux exigences de conformité.

Télécharger une version d'essai gratuite