Structurez le coût de son projet PCI-DSS pour mieux l'optimiser

Quelle est la complexité de PCI DSS ? Ses enjeux ? Ses nouveautés ? Quels coûts prévoir pour quels bénéfices ? Quels sont les obstacles souvent rencontrés par les entreprises et les façons/conseils pour y remédier ?

Quelle est la complexité de PCI DSS ?
Le standard en lui-même n'est pas extrêmement complexe. Il comporte des règles assez précises et est même parfois assez directif. Néanmoins, il y reste des zones qui sont sujettes à interprétation et pour lesquelles la conformité des solutions mises en oeuvre doit être appréciée par le QSA. On peut toutefois dire qu'atteindre la certification est complexe car l'entreprise candidate doit démontrer sa conformité sur l'ensemble des (250+) points de la norme.



De fait, cette obligation peut impliquer :

-          Des coûts potentiellement élevés

-          Un investissement technique et organisationnel important

Par ailleurs, le maintien de la conformité est presque aussi difficile que l'obtention de la certification initiale tant elle impose à l'entreprise d'adopter de nouveaux modes de fonctionnement intégrant fortement la protection de la confidentialité des données Cartes Bancaires.

Ses enjeux ?
PCI DSS a été défini afin de prévenir le risque systémique lié aux compromissions massives de données cartes Bancaire. Il s'agit d'éviter une perte de confiance du grand public, des établissements bancaires et des commerçants dans ce mode de paiement. Une telle perte de confiance pourrait être fatale aux marques (VISA, MasterCard, Amex, JCB) et très préjudiciable pour l'économie mondiale...
A un autre niveau les enjeux sont variables selon les métiers des entreprises. Pour certaines (les opérateurs monétiques, et les fournisseurs de services spécialisés essentiellement), PCI DSS porte un enjeu de pérennité de leur activité. Pour d'autres (les centres d'appel, les hébergeurs, etc...) il s'agit d'un outil permettant de conquérir de nouveaux marchés ou de consolider leur activité. Pour les commerçants enfin et, d'une manière générale, il s'agit de se plier aux exigences contractuelles des partenaires économiques.

Ses nouveautés ?  
D'un point de vue Système d'Information, PCI DSS n'amène pas de révolution, le standard est simplement la consolidation d'un ensemble de bonnes pratiques centrées sur la protection de la confidentialité de données sensibles identifiées.
La version 2.0 publiée le 26 octobre 2010, apporte néanmoins une approche par les risques en ce qui concerne la gestion des correctifs, ce qui a pour but de prioriser la mise en place des correctifs en se basant sur une méthode de notation comme CVSS.
La notion d'audit de code des applications a, quant à elle, été renforcée et s'applique maintenant à tout type d'applications et non plus seulement aux applications de type web. Un volet relatif à la gestion des clefs de chiffrement est présent, et s'appuie sur les préconisations du NIST en ce qui concerne les modalités d'usage des clefs utilisées lors de tout chiffrement.


Le standard exige également la revue du périmètre à minima une fois par an : l'entreprise doit donc réaliser des recherches de données CB dans l'ensemble de ses systèmes pour confirmer que des données ne sont pas présentes là où elles ne devraient pas l'être.

Quels coûts prévoir pour quels bénéfices ?
Il est possible de dégager une structure pour les coûts associés à la conformité PCI DSS en se basant sur quatre grands blocs : 

-   Les coûts de mise en conformité

-   Les coûts de maintien de la conformité

-   Les coûts des audits associés aux non-conformités (pénalités, amendes et fraudes)


Les coûts de mise en conformité incluent des aspects organisationnels, (tels que des adaptations de processus métiers ou des processus liés à la gestion de la sécurité du système d'information), des aspects techniques (tels que le renforcement du cloisonnement réseau, la sécurité applicative, ou encore le durcissement de la configuration des équipements) et des aspects documentaires (à trois niveaux : politique de sécurité, procédures opérationnelles et preuves de la bonne application des procédures). Le coût de ces chantiers est bien sûr fonction de la taille de l'entreprise et du type d'activité lié à la manipulation des données Cartes Bancaires, mais l'ordre de grandeur va classiquement de quelques centaines de milliers d'Euros à plusieurs millions d'euros pour les plus grandes entreprises.

Les coûts de maintien de la conformité incluent tous les postes de coûts récurrents, pour d'une part maintenir la conformité sur l'existant, et d'autre part intégrer les contraintes PCI DSS dans les évolutions et les nouveaux projets du Système d'Information.



Parmi les coûts récurrents, on peut mentionner celui des différents audits demandés par PCI DSS : d'une part les audits de sécurité (tests d'intrusion et balayages de vulnérabilités, tant internes qu'externes, et tant sur les infrastructures que sur les applications) ainsi que les audits de certification pour les entreprises les plus importantes. Pour chacune de ces deux catégories d'audits, l'échelle de coût va de dix à cent mille Euros, en fonction de la taille et de la complexité du périmètre.

Les bénéfices de la conformité PCI DSS peuvent être très variables en fonction de l'activité de chaque entreprise. Pour certaines, il peut s'agir d'une question de survie. Par exemple, un fournisseur de service monétique ne peut pas envisager une activité pérenne sans la conformité PCI DSS. Pour d'autres, il peut s'agir de l'acquisition d'un avantage concurrentiel substantiel permettant de gagner des parts de marché. Enfin, il peut s'agir d'une contribution importante à la négociation de conditions financières préférentielles sur les frais de transaction par exemple. Il demeure qu'en s'appuyant sur une analyse de son business et de ses opportunités une entreprise est en mesure de quantifier ces bénéfices

Quels sont les obstacles souvent rencontrés par les entreprises et les façons et conseils pour y remédier ?
Le sujet des coûts représente le principal obstacle à la mise en place d'un tel projet, car comme nous l'avons expliqué plus haut c'est une démarche qui peut se révéler être très onéreuse, d'autant plus que le ROI associé peut s'avérer difficilement appréciable.
De plus, cela implique de vrais changements organisationnels, notamment dans le processus métier, qui au-delà des coûts,  peuvent représenter un véritable bouleversement des pratiques.

PCI DSS est d'ailleurs souvent assimilé à une norme de plus, ou même de « trop ».
Il est donc primordial d'aborder la notion de l'optimisation des coûts lorsqu'une entreprise souhaite entrer dans une démarche de certification PCI DSS.
Optimiser les coûts ne veut pas simplement dire réduire les dépenses. Il s'agit plutôt d'adopter une démarche permettant d'amener les coûts au niveau optimal en agissant sur les différentes briques de la structure de coûts.



Les objectifs de cette démarche seraient ainsi de :
Comprendre l'origine des coûts et identifier les leviers qui permettent de les traiter.

·         - Rendre les coûts prévisibles

·        -  Rendre les coûts mesurables

·        - Rendre possible la gouvernance et le pilotage financier de la conformité PCI DSS.

D'une manière pratique, il s'agit d'adapter les coûts afin de maximiser les ratios bénéfices / investissements et Risques / Investissements.

Il convient donc d'appliquer les principes fondamentaux de gestion des risques en gardant à l'esprit la dimension des coûts associés tant à l'occurrence des scénarios qu'aux mesures de réduction envisageables. Dans cette optique il est primordial selon nous, de prendre en considération les aspects légaux et la maîtrise des risques à travers :

- Une approche légale : Une bonne Analyse des responsabilités et des engagements à travers des contrats bien rédigés permet de pouvoir « prévoir » les coûts et connaitre son niveau réel d'exposition aux risques liés à la non-conformité PCI DSS ou aux compromissions de données CB

- Une analyse assurantielle : Des contrats d'assurance bien choisis et négociés peuvent permettre de transférer une partie des risques liés à la non-conformité ou aux compromissions et donc limiter les coûts associés

- Une expertise technique : Une bonne approche des différentes briques techniques et organisationnelles de la mise en conformité peut permettre de garder les risques et les coûts sous contrôle

La combinaison de ces trois briques essentielles constitue une démarche unique qui vise à répondre à la question d'optimisation des coûts d'un tel projet.