La sécurité numérique vient de recevoir de nouvelles règles et les entreprises qui traitent des données de carte doivent s'adapter. Avec l'arrivée de la version 4.0 de la Norme de Sécurité des Données du Secteur des Cartes de Paiement (PCI DSS), établie par le PCI Security Standards Council (PCI SSC), les changements sont importants et impactent directement la protection des données des clients ainsi que la manière dont les données de paiement sont stockées, traitées et transmises. Mais, au final, qu'est-ce qui change vraiment ?
La principale évolution est la nécessité d'un niveau encore plus élevé de sécurité numérique. Les entreprises devront investir dans des technologies avancées, telles que la cryptographie robuste et l'authentification multifactorielle. Cette méthode exige au moins deux facteurs de vérification pour confirmer l'identité de l'utilisateur avant d'accorder l'accès aux systèmes, applications ou transactions, rendant les intrusions plus difficiles, même si des criminels ont accès à des mots de passe ou des données personnelles.
Parmi les facteurs d'authentification utilisés, on trouve :
- Quelque chose que l'utilisateur saitmots de passe, PIN ou réponses aux questions de sécurité.
- Quelque chose que l'utilisateur possèdejetons physiques, SMS avec codes de vérification, applications d'authentification (comme Google Authenticator) ou certificats numériques.
- Quelque chose que l'utilisateur estbiométrie digitale, faciale, reconnaissance vocale ou d'iris.
"Ces couches de protection rendent l'accès non autorisé beaucoup plus difficile et garantissent une sécurité accrue pour les données sensibles", explique-t-il.
En résumé, il est nécessaire de renforcer la protection des données des clients en mettant en place des mesures supplémentaires pour prévenir les accès non autorisés, explique Wagner Elias, PDG de Conviso, développeur de solutions pour la sécurité des applications. Ce n'est plus une question de « s'adapter quand cela sera nécessaire », mais d'agir de manière préventive », souligne-t-il.
Conformément aux nouvelles règles, la mise en œuvre se déroule en deux phases : la première, comprenant 13 nouvelles exigences, avait une date limite en mars 2024. La deuxième phase, plus exigeante, comprend 51 exigences supplémentaires et devrait être achevée d'ici le 31 mars 2025. C'est-à-dire que ceux qui ne se préparèrent pas peuvent faire face à des sanctions sévères.
Pour répondre aux nouvelles exigences, certaines des principales actions incluent : mettre en œuvrepare-feuet des systèmes de protection robustes ; utiliser le cryptage lors de la transmission et du stockage des données ; surveiller et suivre en permanence les accès et activités suspectes ; tester constamment les processus et systèmes pour identifier les vulnérabilités ; créer et maintenir une politique stricte de sécurité de l'information.
Wagner souligne que, en pratique, cela signifie que toute entreprise traitant des paiements par carte devra revoir toute sa structure de sécurité numérique. Cela implique de mettre à jour les systèmes, de renforcer les politiques internes et de former les équipes pour minimiser les risques. Par exemple, un commerce électronique devra garantir que les données des clients soient cryptées de bout en bout et que seuls les utilisateurs autorisés aient accès aux informations sensibles. Une chaîne de magasins devra quant à elle mettre en place des mécanismes pour surveiller en permanence d'éventuelles tentatives de fraude et de fuite de données, explique-t-il.
Les banques et les fintechs devront également renforcer leurs mécanismes d'authentification, en élargissant l'utilisation de technologies telles que la biométrie et l'authentification multifactorielle. « L'objectif est de rendre les transactions plus sécurisées sans compromettre l'expérience client. Cela nécessite un équilibre entre protection et convivialité, ce que le secteur financier n'a cessé d'améliorer ces dernières années », souligne-t-il.
Mais pourquoi ce changement est-il si important ? Il n'est pas exagéré de dire que les fraudes numériques deviennent de plus en plus sophistiquées. Les fuites de données peuvent entraîner des pertes de millions d'euros et des dommages irréparables à la confiance des clients.
Wagner Elias avertit : « de nombreuses entreprises adoptent encore une posture réactive, ne se préoccupant de la sécurité qu'après qu'une attaque se produit. Ce comportement est préoccupant, car des failles de sécurité peuvent entraîner des pertes financières importantes et des dommages irréparables à la réputation de l'organisation, qui pourraient être évités par des mesures préventives. »
Il souligne également que pour éviter ces risques, la grande différence est d'adopter des pratiques de sécurité des applications dès le début du développement du nouveau logiciel, en veillant à ce que chaque étape du cycle de développement ait des mesures de protection. Cela garantit l'intégration de mesures de protection à toutes les phases du cycle de vie du logiciel, ce qui est beaucoup plus économique que de réparer les dommages après un incident.
Il convient de rappeler qu'il s'agit d'une tendance qui ne cesse de croître dans le monde entier. Le marché de la sécurité des applications, qui représente 11,62 milliards de dollars en 2024, devrait atteindre 25,92 milliards de dollars d'ici 2029, selon Mordor Intelligence.
Wagner explique que des solutions comme DevOps permettent que chaque ligne de code soit développée avec des pratiques de protection, ainsi que des services tels que des tests d'intrusion et la mitigation des vulnérabilités. Réaliser des analyses continues de sécurité et d'automatisation des tests permet aux entreprises de respecter les normes sans compromettre l'efficacité, souligne-t-il.
De plus, les cabinets de conseil spécialisés sont importants dans ce processus, aidant les entreprises à s'adapter aux nouvelles exigences du PCI DSS 4.0. Parmi les services les plus recherchés figurent le test de pénétration, l'équipe rouge et les évaluations de sécurité tierces, qui aident à identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées par des criminels, explique-t-il.
Avec des fraudes numériques de plus en plus sophistiquées, ignorer la sécurité des données n'est plus une option. Les entreprises qui investissent dans des mesures préventives garantissent la protection de leurs clients et renforcent leur position sur le marché. La mise en œuvre des nouvelles directives est, avant tout, une étape essentielle pour construire un environnement de paiement plus sûr et fiable, conclut-il.
