La sécurité numérique vient d'être réglementée, et les entreprises qui traitent des données de cartes doivent s'adapter. Avec l'arrivée de la version 4.0 de la norme de sécurité des données du secteur des cartes de paiement (PCI DSS), établie par le Conseil des normes de sécurité PCI (PCI SSC), les changements sont importants et impactent directement la protection des données clients et la manière dont les données de paiement sont stockées, traitées et transmises. Mais qu'est-ce qui change réellement ?
Le principal changement réside dans la nécessité d'un niveau de sécurité numérique encore plus élevé. Les entreprises devront investir dans des technologies avancées telles que le chiffrement robuste et l'authentification multifacteur. Cette méthode requiert au moins deux facteurs de vérification pour confirmer l'identité d'un utilisateur avant de lui accorder l'accès aux systèmes, aux applications ou aux transactions, ce qui rend le piratage plus difficile, même si des criminels parviennent à accéder aux mots de passe ou aux données personnelles.
Parmi les facteurs d’authentification utilisés figurent :
- Quelque chose que l’utilisateur connaît : mots de passe, codes PIN ou réponses aux questions de sécurité.
- Quelque chose que l'utilisateur possède : des jetons physiques, des SMS avec des codes de vérification, des applications d'authentification (comme Google Authenticator) ou des certificats numériques.
- Quelque chose que l'utilisateur est : numérique, reconnaissance faciale, vocale ou de l'iris biométrique.
« Ces couches de protection rendent l’accès non autorisé beaucoup plus difficile et garantissent une plus grande sécurité pour les données sensibles », explique-t-il.
« En bref, nous devons renforcer la protection des données clients en mettant en œuvre des mesures supplémentaires pour empêcher tout accès non autorisé », explique Wagner Elias, PDG de Conviso, développeur de solutions de sécurité applicative. « Il ne s'agit plus de s'adapter si nécessaire, mais d'agir de manière préventive », souligne-t-il.
En vertu des nouvelles règles, la mise en œuvre se déroule en deux phases : la première, avec 13 nouvelles exigences, avait une date limite fixée à mars 2024. La deuxième phase, plus exigeante, comprend 51 exigences supplémentaires et doit être respectée avant le 31 mars 2025. En d’autres termes, ceux qui ne se préparent pas peuvent faire face à de lourdes sanctions.
Pour s’adapter aux nouvelles exigences, certaines des actions clés comprennent : la mise en œuvre de pare-feu et de systèmes de protection robustes ; l’utilisation du cryptage dans la transmission et le stockage des données ; la surveillance et le suivi continus des accès et activités suspects ; le test constant des processus et des systèmes pour identifier les vulnérabilités ; et la création et le maintien d’une politique rigoureuse de sécurité de l’information.
Wagner souligne qu'en pratique, cela signifie que toute entreprise gérant des paiements par carte devra revoir l'ensemble de sa structure de sécurité numérique. Cela implique de mettre à jour les systèmes, de renforcer les politiques internes et de former les équipes afin de minimiser les risques. « Par exemple, une entreprise de commerce électronique devra s'assurer que les données clients sont chiffrées de bout en bout et que seuls les utilisateurs autorisés ont accès aux informations sensibles. Une chaîne de distribution, quant à elle, devra mettre en place des mécanismes de surveillance continue des éventuelles tentatives de fraude et fuites de données », explique-t-il.
Les banques et les fintechs devront également renforcer leurs mécanismes d'authentification, en développant l'utilisation de technologies telles que la biométrie et l'authentification multifacteur. « L'objectif est de sécuriser davantage les transactions sans compromettre l'expérience client. Cela nécessite un équilibre entre protection et facilité d'utilisation, un domaine que le secteur financier a amélioré ces dernières années », souligne-t-il.
Mais pourquoi ce changement est-il si important ? Il n'est pas exagéré de dire que la fraude numérique devient de plus en plus sophistiquée. Les violations de données peuvent entraîner des pertes de plusieurs millions de dollars et porter un préjudice irréparable à la confiance des clients.
Wagner Elias met en garde : « De nombreuses entreprises adoptent encore une approche réactive, ne se préoccupant de la sécurité qu'après une attaque. Ce comportement est inquiétant, car les failles de sécurité peuvent entraîner des pertes financières importantes et des dommages irréparables à la réputation de l'organisation, qui pourraient être évités grâce à des mesures préventives. »
Il souligne également que pour éviter ces risques, la clé est d'adopter des pratiques de sécurité applicative dès le début du développement de la nouvelle application, en veillant à ce que chaque phase du cycle de développement logiciel soit déjà dotée de mesures de protection. Cela garantit la mise en œuvre de mesures de protection à toutes les étapes du cycle de vie du logiciel, ce qui est bien plus rentable que de réparer les dommages après un incident.
Il convient de noter qu'il s'agit d'une tendance croissante à l'échelle mondiale. Le marché de la sécurité des applications, évalué à 11,62 milliards de dollars en 2024, devrait atteindre 25,92 milliards de dollars d'ici 2029, selon Mordor Intelligence.
Wagner explique que des solutions comme DevOps permettent de développer chaque ligne de code avec des pratiques sécurisées, en plus de services comme les tests d'intrusion et la réduction des vulnérabilités. « L'analyse continue de la sécurité et l'automatisation des tests permettent aux entreprises de se conformer aux réglementations sans compromettre leur efficacité », souligne-t-il.
De plus, les services de conseil spécialisés sont importants dans ce processus, aidant les entreprises à s'adapter aux nouvelles exigences de la norme PCI DSS 4.0. « Parmi les services les plus recherchés figurent les tests d'intrusion, les Red Teams et les évaluations de sécurité par des tiers, qui permettent d'identifier et de corriger les vulnérabilités avant qu'elles ne soient exploitées par des criminels », explique-t-il.
La fraude numérique devenant de plus en plus sophistiquée, ignorer la sécurité des données n'est plus une option. « Les entreprises qui investissent dans des mesures préventives assurent la protection de leurs clients et renforcent leur position sur le marché. La mise en œuvre des nouvelles directives est avant tout une étape essentielle vers un environnement de paiement plus sûr et plus fiable », conclut-il.
