La sécurité numérique est désormais soumise à de nouvelles règles, et les entreprises qui traitent des données de cartes bancaires doivent s'adapter. Avec l'arrivée de la version 4.0 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), établie par le Conseil des normes de sécurité PCI (PCI SSC), les changements sont importants et ont un impact direct sur la protection des données clients et sur la manière dont les données de paiement sont stockées, traitées et transmises. Mais, concrètement, qu'est-ce qui change vraiment ?
Le principal changement réside dans la nécessité d'un niveau de sécurité numérique encore plus élevé. Les entreprises devront investir dans des technologies de pointe, telles que le chiffrement robuste et l'authentification multifacteurs. Cette méthode exige au moins deux facteurs de vérification pour confirmer l'identité de l'utilisateur avant de lui accorder l'accès aux systèmes, aux applications ou aux transactions, ce qui rend l'intrusion plus difficile, même si des criminels ont accès aux mots de passe ou aux données personnelles.
Les facteurs d'authentification utilisés comprennent :
- Un élément que l'utilisateur connaît : mots de passe, codes PIN ou réponses aux questions de sécurité.
- Un élément que possède l'utilisateur : jetons physiques, SMS avec codes de vérification, applications d'authentification (comme Google Authenticator) ou certificats numériques.
- Un élément permettant d'identifier l'utilisateur : biométrie numérique, reconnaissance faciale, reconnaissance vocale ou reconnaissance de l'iris.
« Ces différents niveaux de protection rendent l'accès non autorisé beaucoup plus difficile et garantissent une meilleure sécurité des données sensibles », explique-t-il.
« En résumé, il est nécessaire de renforcer la protection des données clients en mettant en œuvre des mesures supplémentaires pour empêcher tout accès non autorisé », explique Wagner Elias, PDG de Conviso, société de développement de solutions de sécurité applicative. « Il ne s’agit plus de s’adapter au besoin, mais d’agir de manière préventive », souligne-t-il.
Conformément aux nouvelles règles, la mise en œuvre se déroule en deux phases : la première, comportant 13 nouvelles exigences, avait pour échéance mars 2024. La seconde phase, plus exigeante, comprend 51 exigences supplémentaires et doit être achevée d’ici le 31 mars 2025. Autrement dit, ceux qui ne se sont pas préparés s’exposent à de lourdes sanctions.
Pour répondre aux nouvelles exigences, les principales actions comprennent : la mise en œuvre de pare-feu et de systèmes de protection robustes ; l’utilisation du chiffrement pour la transmission et le stockage des données ; la surveillance et le suivi continus des accès et activités suspects ; le test constant des processus et des systèmes afin d’identifier les vulnérabilités ; et la création et le maintien d’une politique de sécurité de l’information rigoureuse.
Wagner souligne que, concrètement, cela signifie que toute entreprise traitant des paiements par carte devra revoir l'intégralité de son infrastructure de sécurité numérique. Cela implique la mise à jour des systèmes, le renforcement des politiques internes et la formation des équipes afin de minimiser les risques. « Par exemple, une entreprise de commerce électronique devra s'assurer que les données clients sont chiffrées de bout en bout et que seuls les utilisateurs autorisés ont accès aux informations sensibles. Une chaîne de magasins, quant à elle, devra mettre en place des mécanismes de surveillance continue des tentatives de fraude et des fuites de données », explique-t-il.
Les banques et les fintechs devront également renforcer leurs mécanismes d'authentification, en développant l'utilisation de technologies telles que la biométrie et l'authentification multifactorielle. « L'objectif est de sécuriser davantage les transactions sans nuire à l'expérience client. Cela exige un équilibre entre protection et facilité d'utilisation, un équilibre que le secteur financier s'efforce d'améliorer ces dernières années », souligne-t-il.
Mais pourquoi ce changement est-il si important ? Il n’est pas exagéré de dire que la fraude numérique devient de plus en plus sophistiquée. Les violations de données peuvent entraîner des pertes de plusieurs millions et une atteinte irréparable à la confiance des clients.
Wagner Elias met en garde : « Nombre d’entreprises adoptent encore une attitude réactive, ne se préoccupant de la sécurité qu’après une attaque. Ce comportement est inquiétant, car les failles de sécurité peuvent entraîner des pertes financières considérables et nuire irrémédiablement à la réputation de l’organisation, ce qui pourrait être évité par des mesures préventives. »
Il souligne par ailleurs que, pour éviter ces risques, la différence fondamentale réside dans l'adoption de bonnes pratiques de sécurité applicative dès le début du développement d'une nouvelle application, garantissant ainsi la mise en place de mesures de protection à chaque étape du cycle de vie du logiciel. Ceci assure l'intégration de ces mesures à tous les stades de ce cycle, ce qui s'avère bien plus économique que de remédier aux dommages après un incident.
Il convient de rappeler qu'il s'agit d'une tendance mondiale croissante. Le marché de la sécurité des applications, qui a généré 11,62 milliards de dollars américains en 2024, devrait atteindre 25,92 milliards de dollars américains d'ici 2029, selon Mordor Intelligence.
Wagner explique que des solutions comme DevOps permettent de développer chaque ligne de code en intégrant des pratiques de protection, en plus de services tels que les tests d'intrusion et la correction des vulnérabilités. « L'analyse de sécurité continue et l'automatisation des tests permettent aux entreprises de respecter les normes sans compromettre leur efficacité », souligne-t-il.
De plus, les cabinets de conseil spécialisés jouent un rôle important dans ce processus, aidant les entreprises à s'adapter aux nouvelles exigences de la norme PCI DSS 4.0. « Parmi les services les plus demandés figurent les tests d'intrusion, les tests d'équipe rouge et les évaluations de sécurité tierces, qui permettent d'identifier et de corriger les vulnérabilités avant qu'elles ne puissent être exploitées par des criminels », explique-t-il.
Face à la sophistication croissante des fraudes numériques, négliger la sécurité des données n'est plus envisageable. « Les entreprises qui investissent dans des mesures préventives assurent la protection de leurs clients et renforcent leur position sur le marché. La mise en œuvre des nouvelles directives est avant tout une étape essentielle pour bâtir un environnement de paiement plus sûr et plus fiable », conclut-il.
