PCI DSS : êtes-vous prêt pour la prochaine évolution ?

La prochaine évolution du standard PCI DSS (Payment Card Industry Data Security Standard) annoncée pour octobre 2013, impose aux entreprises de devoir s’adapter à de nouvelles technologies de traitement et de stockage des transactions financières. Problèmes en vue !

Si la conformité à PCI DSS participe à renforcer la sécurité des entreprises, la sécurité à proprement parler ne se résume pas à satisfaire les exigences des auditeurs internes. Elle suppose d’appréhender parfaitement les risques et de les maîtriser en permanence.
Gabriel Leperlier, responsable de l’activité PCI DSS en France de Verizon, et Nicolas Villatte, de l’équipe RISK de Verizon, ont longuement débattu de l’importance de la conformité au standard PCI DSS et du lien constaté entre le défaut de conformité et l’augmentation du risque de compromissions des données.
Or, selon ces experts, quelques principes simples permettraient aux entreprises d’affiner leur compréhension de PCI DSS, condition essentielle à la réussite de leur projet de mise en conformité. Depuis les premières évaluations jusqu’à la mise en place, des mesures qui s’imposent.
Les voici :
  • S’y mettre au plus vite
Beaucoup d’entreprises ignorent à quel moment commencer à planifier leur projet de mise en conformité au standard PCI DSS. Pour mettre toutes les chances de leur côté, elles doivent s’y atteler dès qu’elles décident d’accepter les paiements par carte ou qu’elles envisagent de nouveaux types de transaction, e-commerce ou nouveau système sur le point de vente, par exemple.
  • Limiter le champ d’application
Celui-ci dépend de la manière dont les données des porteurs de cartes de paiement sont stockées, traitées et transmises par les commerçants ou à destination de prestataires de services.
Il faut absolument isoler le plus possible l’environnement où transitent les données des porteurs de cartes, en installant des pare-feu entre les différents sous-réseaux. Cela tombe sous le sens. Mais la tâche est parfois ardue, en particulier pour les entreprises dont la stratégie de protection s’est historiquement limitée au périmètre de sécurité.
  • Ne garder que l’essentiel
Une des règles d’or de la conformité à PCI DSS est de ne stocker que l’essentiel. Si vous n’en avez pas besoin (ex. les données concernant les porteurs de cartes de paiement), ne le stockez pas !
  • Garder à l’esprit la finalité des contrôles
De nombreux responsables de la sécurité préféreraient se fier à des check-lists préétablies ou à des outils prêts à l’emploi pour simplifier leurs procédures de mise en conformité. Ces instruments permettent effectivement d’atteindre des objectifs précis, de manière simple et vérifiable, mais on risque alors de passer à côté de l’intention à l’origine des contrôles. Le risque est grand, alors, de dépeindre la situation sous un meilleur jour qu’elle ne l’est en réalité. En résumé, si les check-lists sont utiles, seul le DSI ou le RSSI peut juger si les efforts déployés sont effectivement alignés sur la finalité initialement recherchée.
  • Obtenir l’adhésion de toutes les parties prenantes

La conformité au standard PCI DSS n’est pas uniquement l’affaire du DSI. Toutes les parties prenantes dans l’entreprise doivent être représentées dans l’équipe de gestion du projet : les fonctions de sécurité de l’information, les opérations métiers, l’administration/les services généraux et les ressources humaines, en plus des services IT. La participation active de l’ensemble de ces fonctions, toutes concernées par le respect de PCI DSS, est déterminante pour le maintien durable de la conformité.
  • Rester vigilant

PCI DSS est un standard unique, spécifiquement pensée, appliquée et maintenue à jour pour assurer la protection des données des cartes de paiement. Toutes les entreprises sont concernées, y compris et peut-être surtout celles qui ont déjà implémenté d’autres normes ou standards de sécurité.
Le niveau d’exigences PCI DSS est tel qu’il ne laisse aucune place à l’improvisation et appelle à la plus grande vigilance. Il faudra peut-être aussi que les entreprises revoient certaines de leurs pratiques métier ou de leurs technologies habituelles de mise en conformité. Il est donc recommandé d’étudier de très près tout projet de conformité PCI DSS avant de se lancer.

  • Veiller à la conformité des fournisseurs

Concentrées sur leur propre mise en conformité, les entreprises en oublient parfois que leurs fournisseurs et prestataires de services doivent eux aussi répondre aux exigences de PCI DSS.
Car ce standard ne tolère pas la demi-mesure ! Tous les fournisseurs et prestataires de services impliqués dans le traitement des données des porteurs de cartes de paiement doivent y adhérer.
En effet, c’est l’entreprise détentrice des données qui engage sa responsabilité, même si elle en externalise le traitement.

  • Documenter la moindre initiative

Pour se conformer à PCI DSS, les entreprises ont intérêt à documenter toutes leurs initiatives et à s’y tenir à la lettre. PCI DSS exige en effet de justifier les mesures mises en place et leur efficacité.
Les entreprises n’ont donc d’autre choix que de documenter soigneusement tous les contrôles qu’elles mettent en œuvre et de veiller à ce que les contrôles soient conformes à la documentation qui en est faite tout au long du projet.