Depuis son lancement en 2006, la norme PCI DSS (Payment Card Industry Data Security Standard) constitue la base de la protection des données des titulaires de cartes. À l’approche de la date limite de mise en œuvre fixée au 31 mars 2024, cette norme a connu une transformation majeure par rapport à sa version précédente, afin de répondre aux exigences en constante évolution et à la complexité croissante des menaces cybernétiques modernes.

Découverte de PCI DSS 4.0
PCI DSS 4.0 représente la version la plus récente de cette norme, apportant des changements significatifs en matière de conformité. Cette version met l’accent sur :

• un focus accru sur les environnements cloud et les fournisseurs de services

• une portée élargie des exigences

• une approche fondée sur les risques

• un renforcement de la protection des données

• une surveillance et des tests continus

et introduit de nouvelles exigences techniques et opérationnelles pour atteindre la conformité.

Les objectifs de PCI DSS 4.0
Cette mise à jour repose sur quatre grands objectifs :

1. Suivre l’évolution du secteur des paiements – les normes doivent évoluer avec l’industrie.

2. Promouvoir une sécurité continue – la sécurité ne doit pas être un événement ponctuel, mais un effort permanent.

3. Offrir plus de flexibilité pour maintenir la sécurité des paiements – la diversité technologique est reconnue et intégrée.

4. Améliorer les méthodes de validation – les outils de vérification doivent être aussi rigoureux que les contrôles eux-mêmes.

Principales évolutions de PCI DSS 4.0

Introduction de l’approche personnalisée (Customised Approach)
Le changement le plus notable entre PCI DSS 3.2.1 et 4.0 est l’introduction de l’approche personnalisée. Cette méthode permet aux entités de s’éloigner de l’approche dite définie (Defined Approach), qui impose une conformité stricte aux contrôles techniques prédéfinis. Avec l’approche personnalisée, les entreprises peuvent concevoir des contrôles mieux adaptés à leur environnement, tout en répondant aux objectifs de sécurité du standard. Chaque organisation peut choisir l’approche qui convient le mieux à ses besoins spécifiques.

Mises à jour et nouvelles exigences
En plus de l’approche personnalisée, PCI DSS 4.0 actualise plusieurs exigences existantes et en introduit de nouvelles pour mieux contrer les menaces émergentes. Parmi les changements clés :

• Renforcement de l’authentification, en particulier via l’authentification multifactorielle

• Complexité accrue des mots de passe (minimum de 12 caractères contre 8 auparavant)

• Nouvelles directives sur la gestion des comptes partagés, génériques ou de groupe

• Rôles et responsabilités clairement définis pour chaque exigence

• Scans authentifiés

• Intégrité des scripts sur les pages de paiement

• Chiffrement des données d’authentification sensibles (SAD)

• Interdiction de copier/déplacer les PAN via des technologies d’accès à distance

• Détection et prévention du phishing ciblant les employés

• Mécanismes automatisés pour l’examen des journaux d’audit

• Techniques de détection/prévention d’intrusions contre les canaux de communication malveillants et furtifs

Les Self-Assessment Questionnaires et les modèles de Report on Compliance ont été largement développés, doublant quasiment de taille. Les entreprises auditables sont désormais soumises à un niveau d’examen bien plus rigoureux.

Calendrier de mise en œuvre de PCI DSS 4.0
La période de transition jusqu’au 31 mars 2024 laisse aux organisations le temps de migrer vers la nouvelle version, tout en pouvant continuer à se conformer à la version 3.2.1. Sur les 64 nouvelles exigences, 51 sont différées en raison de leur complexité ou de leur coût. Elles seront considérées comme bonnes pratiques jusqu’au 31 mars 2025, date à laquelle elles deviendront obligatoires.

Impact sur les organisations
Les entreprises déjà conformes au PCI doivent examiner attentivement les changements apportés par la version 4.0 et commencer à planifier leur transition. Cela passe notamment par la collaboration avec un Qualified Security Assessor (QSA) pour évaluer l’impact de l’approche personnalisée et des autres nouveautés.

Résumé des changements
Le PCI Security Standards Council a profondément remanié la norme afin de l’aligner sur l’évolution des menaces et des technologies. Ces changements concernent un large éventail d’exigences et affectent toutes les entités manipulant des données de titulaires de carte.

Êtes-vous prêt pour l’évaluation PCI DSS v4 ?
Integrity360 vous accompagne dans cette transition avec :

• Des ateliers à distance (une demi-journée) pour comprendre les principaux changements et définir votre stratégie

• Une analyse technique approfondie des écarts pour une compréhension claire de la nouvelle norme

FAQs

Quel impact la transition de PCI DSS 3.2.1 à 4.0 aura-t-elle sur les petites et grandes entreprises ?
L’impact varie selon la taille de l’organisation. Les grandes entreprises disposent souvent de ressources financières et humaines plus importantes pour mettre en œuvre la nouvelle norme, y compris l’approche personnalisée. Cependant, la coordination dans des environnements complexes peut poser des défis. Les petites structures, souvent avec des systèmes plus simples, peuvent trouver la transition plus facile sur le plan technique, mais plus difficile en termes de ressources. L’introduction de la flexibilité dans PCI DSS 4.0 vise à permettre à toutes les entreprises, quelle que soit leur taille, d’adapter le processus à leur rythme tout en respectant les exigences de sécurité.

Quels sont les coûts estimés pour la mise en œuvre des nouvelles exigences PCI DSS 4.0 ?
Les coûts varient fortement selon l’état actuel de conformité, la complexité de l’environnement de paiement, et l’approche choisie (définie ou personnalisée). Ils peuvent inclure : mises à niveau technologiques, honoraires de consultants, formation du personnel, ajustements opérationnels. Pour les entreprises déjà proches des meilleures pratiques, les coûts supplémentaires seront modérés. Pour d’autres, des révisions plus importantes pourront générer des dépenses substantielles. Sans données chiffrées précises du PCI SSC ou d’études de cas détaillées, les estimations restent spécifiques à chaque contexte.

Peut-on utiliser une combinaison des approches personnalisée et définie dans différentes parties du traitement des paiements ?
Oui. PCI DSS 4.0 permet aux entreprises de combiner les deux approches, tant que toutes les mesures mises en œuvre répondent ou dépassent les objectifs de sécurité du standard. Cela signifie qu’une organisation peut suivre l’approche définie pour certaines exigences faciles à implémenter et l’approche personnalisée pour d’autres qui nécessitent des solutions adaptées à des situations particulières. Cette flexibilité encourage non seulement la conformité, mais aussi l’innovation dans la gestion de la sécurité.