Pendant la pandémie, nombre de magasins du monde entier ont consécutivement cessé d’accepter l'argent liquide. Résultat : l’explosion du volume de données relatives aux cartes de paiement, la plupart stockées sur le cloud. Si désormais, les transactions en ligne et les règlements CB en points de vente continuent à s’imposer massivement– ils constituent 61% des opérations en France selon l’Observatoire des moyens de paiement - en parallèle, les cyberattaques ayant pour cible ces données explosent.
Annoncée au terme de la pandémie pour répondre au besoin urgent de mises à jour des contrôles de sécurité, la nouvelle norme PCI DSS v4.0 impose aux entreprises et aux organisations financières de planifier leur conformité d'ici mars 2025. Lorsque l’on sait que 34 % des sources de fraude émanent de paiements par carte et que 6 secondes suffisent pour craquer une carte bancaire à distance, un tel délai ne répond pas à la complexité de la situation.
Prenons par exemple les articles"8.3.6 –relatifs au Niveau minimum de complexité pour les mots de passe lorsqu'ils sont utilisés comme facteur d'authentification" ou "5.4.1 concernant les mécanismes en place pour détecter les attaques de phishing et protéger les effectifs contre celles-ci". Ces dernières sont listées en tant que "mises à jour non urgentes à déployer dans 36 mois". Avec le risque élevé de cybermenaces à la suite du conflit russo-ukrainien, ce délai n’est pas assez rapide pour renforcer le niveau de cyber protection nécessaire aux institutions financières et aux entreprises, une menace réelle pour les données et la confidentialité de leurs clients.
La mise en conformité à la nouvelle norme implique 64changements et mises à jour dont 13 qui doivent entrer en vigueur immédiatement. Parmi les mises à jour non urgentes qui "doivent être effectives d'ici mars 2025" on peut citer :
- 5.3.3 : Des scan anti-malware lorsque des supports électroniques amovibles sont utilisés.
- 5.4.1 : Des mécanismes pour détecter et protéger le personnel contre les attaques de phishing.
- 7.2.4 : Le passage en revue de tous les comptes d'utilisateurs et privilèges d'accès associés de manière appropriée.
- 8.3.6 : Un niveau minimum de complexité pour les mots de passe utilisés comme facteur d'authentification.
- 8.4.2 : L’authentification multi facteurs pour tous les accès au CDE (environnement de données du titulaire de la carte bancaire).
- 10.7.3 : Une réponse rapide lors de défaillances des systèmes de contrôle de sécurité critiques.
Les organisations non conformes en courent des amendes considérables et le risque de se voir retirer l'usage de cartes de crédit. Pourtant seules quelques (très) rares sanctions ont été prises jusqu'à présent. Attendre trois années supplémentaires est inconcevable face aux risques encourus. Bien entendu, certaines entreprises ont déjà déployé tout ou une partie de ces mises à jour. Cependant, pour celles qui n’ont pas encore franchi le cap, un investissement et une planification seront nécessaires avec des informations plus précises. Par exemple, si les défaillances de sécurité doivent être traitées "rapidement", cela signifie-t-il en 24 heures, 24 jours ou 24 mois ?
Si PCI DSS V4.0 constitue une base pertinente pour faire évoluer la norme, sa mise en œuvre devrait être à la hauteur de l’urgence de la situation. Certes, beaucoup de changements sont exigés. Mais une stratégie optimale doit s’appuyer sur une approche par étapes avec des échéanciers sur 12, 24 et 36 mois. Une stratégie qui sera bien plus efficace que d’imposer une mise en conformité globale à l’horizon 2025. Sans cet accompagnement, il est probable que certaines organisations gèleront leurs projets pour les réexaminer dans deux ans, à l'approche de l'échéance. A une époque où la cybercriminalité liée aux cartes de paiement est un risque omniprésent, nous n’avons rien à gagner à attendre, mais plutôt beaucoup à y perdre !
Par Julian Gouez, Partner Manager chez Fortra