Standard PCI-DSS : un bienfait pour la sécurité de l'e-commerce ?

Les entreprises françaises et européennes ne voient pas toujours d'un bon œil l'arrivée de réglementations en provenance des Etats-Unis. Même si à l'heure actuelle PCI-DSS (Payment Card Industry Data Security Standard) ne concerne que les entreprises américaines ou étrangères manipulant des données bancaires aux Etats-Unis, un lobbying actif à l'échelon européen pourrait voir son application s'étendre aux 25 états membres.

PCI-DSS s'applique donc aux clients de ces sociétés de cartes bancaires, c'est-à-dire à la fois les commerçants gérant des transactions, et notamment les acteurs du e-commerce, mais aussi les hébergeurs des systèmes de paiement, dont les banques. Les exigences définies par la norme varient proportionnellement à la taille et au nombre de transactions à traiter, avec une classification à 4 niveaux (voir le tableau ci-dessous).

PCI-DSS impose une mise en conformité des entreprises concernées, évaluée par le biais d'audits. Les sociétés du niveau 1, soit celles traitant le plus de transactions, doivent ainsi faire valider leurs processus de sécurité en se soumettant annuellement à un audit sur site et en réalisant trimestriellement un scan de vulnérabilités sur les points d'accès externes (site Web, messagerie, etc.). Les entreprises des autres niveaux ne sont pas soumises à un audit annuel, remplacé par un questionnaire d'auto-évaluation. En revanche le scan de vulnérabilités s'applique à elles également.

En termes de contenu, PCI-DSS comporte 12 exigences qui, pour Solucom, peuvent être rapprochées de 6 grandes thématiques :

» Mise en place et gestion d'un réseau sécurisé

» Protection des données des titulaires de carte

» Mise en place d'un programme de gestion des vulnérabilités

» Mise en œuvre de mesures de contrôle d'accès efficaces

» Surveillance continue et tests des réseaux à une fréquence régulière

» Établissement d'une politique en matière de sécurité de l'information

Pour Sylvain Roger, les exigences de PCI-DSS apparaissent comme "relativement pragmatiques et compréhensibles pour une entreprise ayant à se mettre en conformité". Le consultant souligne toutefois que cette précision dans la définition des exigences laisse peu de marge de manœuvre dans l'implémentation de la norme et peut donner le sentiment aux RSSI de perdre le contrôle dans la gestion de la sécurité.

"Finalement, dans monde idéal, il faudrait un système d'information dédié aux cartes bancaires afin de parvenir à une mise en œuvre qui n'impacterait pas les autres briques du SI. Ce n'est pas une norme qui sera facile à mettre en œuvre à 100% pour ensemble des entreprises françaises si comme je le pense PCI vient à s'appliquer en Europe", estime Sylvain Roger.

Selon le consultant, plusieurs grands groupes français auraient mené des travaux d'audit préalables afin de juger des efforts à entreprendre pour une mise en conformité. Des initiatives qui si elles révèlent l'ampleur du chantier, souligne également une prise de conscience - ou du moins ses prémices. PCI-DSS pourraient toutefois s'avérer coûteuse et s'ajouterait à d'autres normes déjà en applications, qui parfois, et c'est un élément positif, couvrent déjà certaines des exigences introduites par PCI.

En outre, comme le relève Solucom, les entreprises engagées dans une démarche de certification ISO 27001, bénéficieront d'un atout. 3 domaines de l'ISO 27001 s'avèrent en effet couverts par le standard PCI-DSS, à savoir le 10, le 11 et le 12, soit : la sécurité des communications et de la gestion des opérations, le contrôle d'accès et l'acquisition, le développement et la maintenance de systèmes d'information.

Si PCI-DSS se destine à sécuriser les données des clients utilisateurs de cartes bancaires et à lutter contre la fraude, le standard risque néanmoins de faire grincer des dents. Pour les émetteurs de cartes, parvenir à créer un cercle vertueux ne pourrait que leur être bénéfique. Le e-commerce devrait bénéficier lui aussi de la sécurisation des transactions, génératrice de confiance. Celle-ci aura toutefois un prix.

Des interrogations se posent également à l'heure actuelle sur les pratiques des organismes certifiés habilités à effectuer les audits PCI-DSS. Figure en effet parmi ces derniers des fournisseurs de solutions pour qui la tentation pourrait être grande de fournir en plus de l'audit, leurs produits.

Le contrat de certification encadre toutefois cette pratique. Ces assesseurs détiennent en effet un pouvoir important sur l'entreprise auditée en décidant de sa conformité ou non. L'audité demeure cependant libre du choix de son auditeur qui lui-même peut être soumis à des visites sur site.