Les Américains ont exporté tellement de choses dans le monde : des bonnes, et des moins bonnes. Pour chaque Elvis Presley, il y a un Michael Jackson, pour chaque Harley Davidson vient un Humvee… Qu’il s’agisse de produits, de personnes ou tout simplement d’idées, les Américains sont souvent incontournables et nous n’avons d’autre choix que de nous adresser à eux. Ceci s’avère d’autant plus vrai pour une toute nouvelle forme d’exportation, celle des normes réglementaires. La norme PCI est une obligation de conformité très importante outre Atlantique, et sur le point de l’être encore davantage sur le continent européen…

La certification PCI DSS (Payment Card Industry Data Security Standard) sera probablement l’un des premiers leviers de conformité réglementaire pour la sécurité informatique et la protection des donnés personnelles dans de nombreux pays d’Europe de l’Ouest. Aux États-Unis, les entreprises ont environ deux ans d’avance sur nous ; elles ont dû satisfaire aux exigences onéreuses de la loi Sarbanes-Oxley (SOX). Des deux propositions, on peut soutenir que la certification PCI est plus simple parce que beaucoup plus spécifique. Mais ne nous y trompons pas : cette obligation peut être interprétée de multiples manières, ce qui vous amènera à prendre conscience de la nécessité de communiquer efficacement avec votre Évaluateur de Sécurité Qualifié (Qualified Security Assessor).

Toutes les entreprises qui stockent traitent ou transmet des donénes de carte de crédit sont concernées

Nous devons mettre un terme au mythe selon lequel très peu d’entreprises seraient effectivement concernées par la certification PCI. En réalité, toute entreprise qui stocke, traite ou transmet des données de carte de crédit d’un consommateur est concernée, et vous n’échappez probablement pas à la règle. Une autre erreur serait de croire que les exigences du DSS dépendent du nombre de transactions opérées par l’entreprise. Désolé, il s’agit encore d’une idée fausse. La seule différence relative au nombre de transactions renvoie aux obligations de contrôle de la conformité PCI auxquelles l’entreprise est soumise ; en revanche, le cahier des charges techniques reste le même. On observe toutefois certaines différences d’une marque de carte de crédit à l’autre. Pour le programme Visa par exemple, les commerçants de ‘Niveau I’ sont ceux qui effectuent plus de six millions de transactions par an. Pour ce niveau, l’audit doit être assuré par un évaluateur de sécurité qualifié indépendant.

... et les émetteurs de cartes de crédit son en train de trouver un terrain d’entente sur la norme PCI

Toutes les sociétés émettrices de cartes de crédit trouvent un terrain d’entente sur la problématique du niveau de risque. Les risques sont les plus élevés avec les distributeurs et les opérateurs représentant le gros de transactions effectuées par carte de paiement. De fait, ces acteurs sont les premiers exposés aux pressions de mise en conformité exercées par les sociétés émettrices de cartes. Imperva le constate déjà : les enseignes de distribution européennes et les fournisseurs de service de paiement sont en effet de plus en plus nombreux à rechercher activement des solutions précises pour résoudre leurs problématiques de conformité PCI.

Pour assurer leur conformité à la norme PCI, les sociétés émettrices de cartes de crédit ont défini toute une batterie de récompenses et de sanctions. Du côté positif (la carotte), différents dispositifs sont proposés parmi lesquels celui de réduire le coût des transactions pour les entreprises en règle. Et du côté négatif (le bâton), les sanctions potentielles peuvent aller de simples amendes à l’interdiction totale d’accepter des paiements par carte.

À l’instar des évaluateurs de sécurité qualifiés (QSA), les intermédiaires de confiance auront une appréhension différente de la définition même de la certification. Encore une fois, si la certification PCI est bonne parce qu’elle est plus spécifique que les autres, elle peut toujours donner lieu à différentes interprétations. Beaucoup d’entreprises devront nécessairement se confronter aux nouvelles mesures de sécurité. La sécurité réseau, les dispositifs de prévention des intrusions (IPS), les antivirus sont autant de segments de marché bien connus : ils correspondent au volet le plus ‘facile’ du cahier des charges techniques pour la certification PCI. Dans les faits, les entreprises – pour la plupart d’entre elles – ont déjà effectué ces installations et disposent déjà des moyens nécessaires pour assurer leur conformité PCI sur ces points. En revanche, la sécurité des données et des applications qui renvoie aux chapitres 10 (audit de l’accès aux données), 3 (protection et cryptage des données) et 6 (sécurité des applications) de la norme PCI représentent le volet le plus difficile de la certification PCI, d’un point de vue technique. Aux États-Unis, de nombreuses entreprises américaines ont rencontré d’importantes difficultés dans ce domaine. Pour éviter que l’histoire ne se répète, les entreprises françaises doivent en prendre bonne note et entreprendre les actions nécessaires.

PCI : Nouveau challenge pour les entreprises

Les entreprises vont également devoir relever de nouveaux défis dès lors que la certification PCI affectera les processus de l’entreprise, et non plus seulement son parc matériel et ses investissements technologiques. Certains volets de la norme PCI ne peuvent être traités qu’au travers de la technologie. Les commerciaux chercheront à vous faire croire que leurs solutions peuvent tout résoudre, mais ne les croyez surtout pas, quelle que soit la qualité de leur argumentaire. Il n’existe pas de solution miracle ‘PCI’. Il existe d’excellentes technologies et d’autres qui peuvent vous faire gagner du temps et de l’énergie. Mais attendez-vous surtout à consacrer beaucoup de temps à la gestion de projet et à la mise en place de processus tout au long de votre démarche de certification PCI.

Les entreprises les plus habiles sauront tirer parti de la technologie et de leurs développements en matière de processus pour anticiper et s’adapter aux normes réglementaires de demain. La norme PCI ne constitue que la face émergée de l’iceberg car d’autres réglementations et normes sur la protection des données privées vont naturellement voir le jour. Beaucoup d’entreprises américaines ont envisagé la loi Sarbanes-Oxley comme une problématique ponctuelle mais ils ont depuis déchanté. Cette approche court-termiste leur a fait perdre beaucoup de temps et d’énergie et ce, pour une raison simple : les normes PCI et SOX ont en commun un certain nombre de procédés et de technologies ; seules les applications et les données sont différentes. Ne commettez pas la même erreur, à savoir celle d’appréhender la norme SOX de manière tactique et non stratégique. Et ce, d’autant plus que les rumeurs d’une ‘EuroSOX’ vont bon train. Choisissez des technologies qui couvrent l’ensemble des problématiques de sécurité des données et des applications. Élaborez une stratégie – en assurant le suivi de sa mise en œuvre – vous permettant de garantir une gouvernance efficace des données qui vous servira ensuite dans vos démarches de conformité réglementaire aux normes actuelles et futures.

Contrairement aux autres exportations américaines, peu importe que la norme PCI vous plaise ou non. Vous n’avez pas le choix, même en cas de désaccord : vous devez tout simplement l’appliquer.