Blogue

Certification PCI-DSS : des classifications différenciées

Cogeco Peer 1

décembre 22, 2011

Share:    

La forte croissance du commerce électronique – 30 milliards de chiffre d’affaires en France en 2010, sûrement plus en 2011 – rendent de plus en plus aigus les problèmes de sécurité et, plus particulièrement, ceux liés aux risques de piratage de données associées au paiement en ligne. Pour rassurer les clients, mais aussi les partenaires commerciaux, les e-commerçants et leurs hébergeurs se doivent aujourd’hui d’apporter les garanties techniques les plus strictes en matière de sécurité des transactions. Et dans ce domaine, c’est l’accréditation à la norme PCI DSS (pour Payment Card Industry Data Security Standard) qui fait référence.

Cet agrément est décerné aux candidats qui satisfont à douze exigences majeures en matière de protection des données critiques : sécurisation des numéros de cartes bancaires et de leur transmission, protection des systèmes informatiques contre les attaques, surveillance de leur environnement humain, etc. Ces normes de sécurité ont été «édictées par le PCI Security Standards Council, l’organisation créée en 2006 par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa, dans le but de combattre la fraude, prévenir le vol des codes des cartes de crédit, sécuriser leur transfert et protéger leur sauvegarde. Mais beaucoup reste à faire et les failles de défense demeurent nombreuses chez beaucoup de commerçants.

Dans une récente étude américaine effectuée auprès de 670 acteurs de la sécurité informatique, 67% des entreprises théoriquement soumises à la certification PCI ne répondaient pas entièrement aux critères, tandis que Visa, l’un des promoteurs de PCI, constatait que 95% des commerçants dépassant les 6 millions de chiffre d’affaires payés par sa carte répondaient bien aux dits critères, contre 60% des vendeurs affichant des niveaux de transaction inférieures.

Rien de surprenant alors de constater que la fraude subsiste et que 85% des réseaux de ventes sondés par l’étude précédemment citée ont connu ces désagréments ces deux dernières années. Ces pertes étaient évaluées à 7,2 millions de dollars d’impayés sans compter les frais induits par la mise à jour précipitée des protections et les pénalités qu’ils peuvent subir pour leur négligence. Pourquoi cette « prudence » vis-à-vis de PCI ? Beaucoup de petites structures pensent que c’est trop compliqué à mettre en œuvre et qu’elles manquent de compétence en interne. Leur support informatique externe – justement – ne serait pas très au fait de PCI.

Pour se faire une idée juste, il est utile de s’informer sur le site Web de PCI où l’on trouve un guide pratique, un questionnaire qui aide à faire le bilan de la sécurité transactionnelle, et une approche raisonnée en six étapes pour répondre au mieux à la certification PCI.

Les hébergeurs qui se sont soumis à la certification PCI sont évidemment de bon conseil pour leurs clients du e-commerce et peuvent les accompagner dans leur démarche vers la conformité. Un acteur majeur de l’hébergement aux Etats-Unis conseillait ainsi, une progression en huit étapes :

  • Ne pas tergiverser : dés que la décision est prise, le e-commerçant doit engager le processus et définir son approche en fonction de la configuration de son système
  • Délimiter le périmètre d’intervention : protéger l’environnement dédié à la gestion des numéros de carte en l’isolant des autres parties du réseau
  • Supprimer les données inutiles : se focaliser sur la protection des informations critiques
  • Garder en tête les fondamentaux de la sécurité : mettre en œuvre une méthodologie systématique
  • Impliquer tous les membres de l’entreprise : la sécurité n’est pas seulement l’affaire de la DSI
  • Attention aux détails : ne pas hésiter à changer les habitudes
  • Impliquer les partenaires : la sécurité concerne également ses prestataires économiques
  • Documentez tout : notez ce que vous faites et faites ce que vous notez

Contactez-nous

Vous aimeriez savoir comment tirer le maximum de votre infrastructure de données ? Contactez l’un de nos experts en solutions d’infrastructure dès aujourd’hui et découvrez ce qu’Aptum peut faire pour vous !

Obtenir un devis