Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PCI DSS : un standard contraignant ?

avril 2011 par Emmanuelle Lamandé

Face à l’augmentation constante des flux financiers et des acteurs qui transitent autour de la carte bancaire, mais aussi du nombre de fraudes, les grands émetteurs de cartes bancaires ont mis en place en 2006 le standard PCI DSS (Payment Card Industry Data Security Standard). Ce standard regroupe les principales exigences en termes de sécurité. Toutefois la mise en œuvre et le respect de PCI DSS peut s’avérer être un projet coûteux, long et difficile. Afin de mieux comprendre et analyser ces enjeux, le CLUSIF a créé un groupe de travail dédié en 2008, qui s’intéresse actuellement à la mise en œuvre opérationnelle de ces exigences.

La France, elle non plus, n’est pas épargnée par ce phénomène, comme le souligne Thierry Autret, RSSI du GIE Carte Bancaire. Fin 2010, on comptait en France près de 60 millions de CB, plus de 56.000 DAB CB et plus de 7 milliards d’opérations de paiements, avec toutes les menaces que cela suppose. Indépendamment du standard PCI DSS, il rappelle que tout organisme qui traite des données carte est soumis en France à l’article 34 de la Loi Informatique & Libertés, les données carte étant des données à caractère personnel. Le non-respect de cette obligation est pénalement sanctionné.

Le référentiel PCI DSS correspond à l’état de l’art en termes de protection des données

Composé de 130 membres, le GIE Carte Bancaire est l’une des 625 organisations participantes du PCI SSC (PCI Security Standards Council). Ce groupement assure un soutien affirmé au référentiel PCI DSS, car il correspond à l’état de l’art en termes de protection des données. Dans le cadre de ses missions, le GIE CB travaille actuellement sur certains aspects qui restent à améliorer. Parmi eux, on retrouve, entre autres, une meilleure visibilité du standard dans les règles contractuelles, ou encore la disparition des données au niveau des systèmes d’échanges une fois qu’elles ne sont plus utiles.
En 2011, il souhaite se focaliser sur le secteur du T&E, et établir une cartographie des acteurs du secteur (agences de voyage, hôtels, loueurs de voiture...). Ce secteur s’avère complexe, car il compte de nombreux intervenants : plusieurs niveaux de sous-traitance en cascade, différentes localisations géographiques, types de contrat, etc.

Il référence, à ce jour, sur son site 4 sociétés accréditées PCI DSS QSA (Qualified Security Assessor) par le PCI SSC, proposant une offre en français et adaptée au marché national : Elitt, Provadys, Trustwave et Verizon Business. Toutefois, d’autres QSA proposent également ce type d’offre en France : Orange Business Services, HSC et XMCO Partners.

Entre obligation et pression commerciale, la conformité PCI DSS touche de plus en plus d’acteurs

Quel est l’impact de ce standard sur les différents acteurs du marché (marchands, PSP, banques ...) ? Pour Sébastien Mazas, QSA - Responsable GRC France - Verizon Business, il existe de nombreux acteurs dans la chaîne enclins au respect de ce standard, soit en raison d’une relation contractuelle, soit d’une pression commerciale.

Pour les marchands, la conformité est une obligation vis-à-vis de son contrat avec sa banque. C’est le niveau de marchand qui impose la certification. PCI DSS cible plus particulièrement le e-commerce, mais aussi d’autres secteurs sensibles (hôtellerie, autoroute, ...). D’un côté, la conformité s’avère être une contrainte, car elle représente un coût certain, toutefois elle peut aussi, selon lui, être un levier, pour débloquer des budgets par exemple.

Concernant les PSP (Payment Service Providers), l’obligation vient des réseaux. Toutefois l’audit et la mise en conformité des PSP sont souvent complexes, de par leur architecture, puisqu’un PSP ne compte généralement pas qu’un seul service.

Les banques, quant à elles, n’ont pas d’obligation de certification, mais une obligation morale de conformité. Les contraintes sont vraiment spécifiques dans les banques car les données carte sont partout. Le périmètre d’applicabilité du standard est donc énorme.

Parmi les autres acteurs concernés, on retrouve tous ceux qui interviennent de près ou de loin dans la gestion de ces données. C’est donc une obligation par ricochets, qui de plus en plus sera également perçue comme un argument commercial.

La conformité ou certification PCI DSS devient donc de plus en plus incontournable et inévitable pour tous. Toutefois, être certifié PCI DSS n’est pas de tout repos. Lors d’un audit, 280 exigences devront être respectées et 900 points seront contrôlés. Il faut 100% de conformité pour obtenir la certification. La préparation à l’audit est donc fondamentale. Comme l’explique Sébastien Mazas, le QSA joue en la matière un rôle prépondérant. Il évalue, et c’est le réseau certifie. Le QSA établit un constat, non un jugement de valeur. Son rôle va être essentiel, notamment sur la réduction du périmètre, un aspect qui représente d’ailleurs environ 50% du projet. Le QSA peut également intervenir dans la mise en conformité, conseiller l’entreprise sur une éventuelle externalisation, ou encore la façon d’auditer une organisation complexe...

La stratégie de mise en conformité gagnante repose sur la réduction du périmètre d’application de la norme

L’externalisation apparait, en effet, comme une alternative pour les entreprises qui souhaitent se dédouaner de cette obligation. Toutefois, l’externalisation est-elle une véritable échappatoire à PCI DSS ?

Comme nous l’explique Matthieu Garin, Manager au sein de la practice Sécurité & Risk Management – Solucom, les mesures de sécurité imposées par ce standard exigent un périmètre d’application conséquent. PCI DSS s’applique, en effet, à tous les composants qui manipulent ou permettent l’accès aux données bancaires (systèmes, applications, DB), sans compter tous les environnements qui se trouvent autour.

Pour lui, la stratégie de mise en conformité gagnante repose sur la réduction du périmètre d’application de la norme. Pour ce faire, quelles sont les différentes alternatives ?
 Supprimer la donnée carte bancaire : toutefois, pour la supprimer, faut-il déjà savoir où elle se trouve : points de collecte de données CB (site Web, point de vente, call center, ...), gestion des paiements, reporting, bases de données clients, lutte anti-fraude, ... Parmi toutes ces activités, l’entreprise devra définir les données dont elle a réellement besoin.
 Désensibiliser la donnée carte : celle-ci peut se faire via différents moyens : la troncature/le masquage, le hash ou la tokenisation.

Une fois cette diminution du périmètre établie, les coûts de mise en conformité s’en trouvent réduits, mais s’avèrent malgré tout conséquents pour les périmètres restants. D’après les premières évaluations financières de ce type de projets, une mise en conformité coûterait entre 6 et 12 millions d’euros. L’externalisation peut-elle alors contribuer à réduire davantage les coûts ?

Toutefois, dans ce débat, il distingue 2 approches à ne pas confondre quand on parle d’externalisation :
 « J’externalise l’infrastructure et je conserve les applications » : il s’agit d’une offre d’infogérance certifiée PCI DSS. Ces offres sont encore peu développées.
 « J’externalise les applications résiduelles » : offres PSP. Il s’agit d’acteurs historiques, très sollicités dans le cadre de projets PCI DSS.

Par rapport à ce 2ème cas de figure, l’externalisation des solutions de paiement est complète. 11 des 15 premiers sites de vente en ligne seraient entièrement externalisés auprès d’un PSP (selon un classement effectué par la Fédération e-commerce et vente à distance (FEVAD)). Ils n’ont d’ailleurs pas attendu PCI DSS pour ça.

L’externalisation : une opportunité pour accompagner la conformité PCI DSS et impliquer les directions métiers

Après l’externalisation auprès d’un PSP, la zone PCI DSS s’en trouve extrêmement réduite, mais pas encore totalement. Vous n’arriverez pas, selon lui, à vous en affranchir complètement. L’externalisation ne permet donc pas de s’échapper à PCI DSS à 100%, c’est un facteur de réduction complémentaire du périmètre PCI DSS. Néanmoins, elle peut également apporter de la valeur au-delà de la mise en conformité : apport de nouvelles fonctionnalités (contrôle anti-fraude par exemple), harmonisation et simplification des processus de paiement… En outre, l’externalisation est, selon lui, une opportunité pour accompagner la conformité PCI DSS et impliquer les directions métiers.

Laurent Beaussart est Directeur Adjoint des Systèmes Opérationnels – RSSI de Cofiroute. Comme il l’explique, les métiers autoroutiers présentent des spécificités bien particulières : un nombre élevé de transactions bancaires, une transaction moyenne peu élevée (environ 6 euros), un passage qui se doit d’être rapide, une exploitation 24/24, une forte variation saisonnière, ... De plus, l’activité se trouve soumise à un risque important de fraude et de compromission de cartes bancaires.

Pour ces différentes raisons, le groupe a choisi de mener différents chantiers en parallèle depuis 2006 : la mise en conformité PCI DSS, la migration EMV-MPAA, la rénovation du système informatique et une mise à plat réglementaire et fonctionnelle. Il a ainsi choisi de mettre en œuvre un SMSI basé sur l’ISO 27001. Pour lui, PCI DSS n’est qu’un sous-ensemble du périmètre, et le sous bassement ISO 27001 facilite la démarche PCI DSS.

Malgré son caractère contraignant, le standard PCI DSS s’inscrirait donc dans une démarche globale de conformité et d’état de l’art en termes de protection des données. Toutefois, il ne faut pas perdre de vue, comme le souligne Hervé Schauer, Fondateur d’HSC, que Visa, Mastercard et les réseaux se sont, avec PCI DSS, tout bonnement dédouanés de leurs responsabilités sur les QSA et les marchands.


Voir les articles précédents

    

Voir les articles suivants