Auteur
Publié
8 juillet 2026
Temps de lecture
Connaissances requises
En 2004, le PCI Security Standards Council (PCI SSC) a introduit la norme de sécurité des données pour l’industrie des cartes de paiement (PCI DSS). Cet organisme indépendant regroupe les principales sociétés de cartes de crédit (Visa, MasterCard, American Express, Discover et JCB). La norme constitue la base des exigences techniques et opérationnelles pour la protection des données de compte et s’applique dans le monde entier à toutes les entreprises qui traitent, stockent ou transmettent des données de carte de crédit.
Nécessité d’une nouvelle version de la norme
L’introduction de la norme PCI DSS 4.0 était nécessaire pour tenir compte de l’évolution constante des menaces et des technologies. Les principales raisons des changements apportés à la version 4.0 sont les suivantes:
Exemples de menaces et de technologies
L’évolution constante des menaces et des technologies rend nécessaire la nouvelle version de la norme:
Authentification multifacteur
Une différence majeure entre les versions 3.2.1 et 4.0 est l’extension des exigences en matière d’authentification multifactorielle (MFA). Alors que dans l’ancienne version, la MFA était principalement requise pour l’accès à distance aux réseaux et pour les accès administratifs à l’environnement de données du titulaire de carte (cardholder data environment, CDE) non basés sur une console, le PCI SSC a considérablement élargi les exigences dans la nouvelle version. Désormais, la MFA est nécessaire pour tout accès au CDE, qu’il soit administratif ou non, y compris dans les environnements de cloud computing, les systèmes hébergés et autres composants système. Cela implique également la mise en œuvre par les organisations de méthodes MFA résistantes au phishing, telles que les jetons matériels et les procédures biométriques (p. ex. empreintes digitales ou reconnaissance faciale). Ces mesures rendent plus difficile l’accès non autorisé aux systèmes pour les cybercriminels, même s’ils ont volé des données de carte de crédit.
Environnement de données des titulaires de carte
Le CDE comprend tous les composants système qui stockent, traitent ou transmettent des données de cartes de crédit. La norme PCI DSS 4.0 met davantage l’accent sur la sécurisation du CDE en étendant les exigences MFA et en introduisant de nouveaux contrôles de sécurité. Ces mesures visent à garantir que seuls les utilisateurs autorisés ont accès aux données sensibles et que les organisations surveillent en permanence cet accès.
Approche basée sur les risques et contrôles de sécurité
Une autre différence majeure entre la version 3.2.1 et la version 4.0 est le passage à une approche basée sur les risques. Alors que l’ancienne version était principalement basée sur des contrôles de sécurité prédéfinis, la nouvelle version promeut une approche plus préventive et dynamique de l’évaluation des risques. Les contrôles de sécurité prédéfinis sont des mesures et des procédures définies qui doivent être mises en œuvre indépendamment du risque spécifique. Ces contrôles sont normalisés et s’appliquent de la même manière à toutes les organisations. Ils incluent notamment la mise à jour régulière des logiciels antivirus, l’implémentation de pare-feux et le cryptage des données lors de leur transmission et de leur stockage.
En revanche, la version actuelle favorise une approche plus préventive et dynamique de l’évaluation des risques et du contrôle de la sécurité. Cela signifie que les entreprises et autres organisations qui traitent des données de cartes de crédit doivent surveiller en permanence leur niveau de sécurité et l’adapter aux menaces et vulnérabilités actuelles. Les mesures préventives comprennent l’exécution régulière de tests d’intrusion, la surveillance en temps réel de l’activité du réseau et la mise en œuvre de systèmes de renseignement sur les menaces capables de détecter et de contrer les attaques potentielles à un stade précoce. Il est de plus en plus important que les systèmes de paiement mobile soient résistants à des attaques telles que Ghost Tap. Il s’agit d’une méthode par laquelle les cybercriminels utilisent des données de carte de crédit volées et associées à des systèmes de paiement mobile tels qu’Apple Pay ou Google Pay. Cette technique consiste à détourner le trafic NFC entre les appareils pour effectuer des transactions sans que la carte physique ou l’appareil de la victime ne soit présent (voir encadré). La norme PCI DSS 4.0 peut aider à prévenir ce type d’attaque, notamment en mettant en place des mécanismes de sécurité tels que des protocoles de communication sécurisés et en surveillant les anomalies dans le trafic NFC.
Algorithmes et cryptage
La norme PCI DSS 4.0 apporte également des changements en matière d’algorithmes de cryptage et de gestion des clés. La nouvelle version exige l’utilisation d’algorithmes de cryptage plus puissants afin de garantir la sécurité des données de carte pendant la transmission et le stockage. Par ailleurs, les organisations qui traitent les données de cartes de crédit doivent veiller à conserver leurs clés de cryptage en toute sécurité et à les changer régulièrement. Ces mesures devraient rendre plus difficiles l’interception et l’utilisation abusive de ces données par les cybercriminels.
État d’avancement de la mise en œuvre
La mise en œuvre de la norme PCI DSS 4.0 est toujours en cours en Suisse. Les nouvelles exigences seront obligatoires à partir du 31 mars 2025. Les processeurs de cartes tels que Worldline et les sociétés spécialisées autorisées à effectuer des audits aident les entreprises à adapter leurs mesures de sécurité aux nouvelles normes et proposent des formations et des conseils pour faciliter la transition.
Impact sur les entreprises et les processeurs de cartes
L’introduction de la nouvelle version comporte à la fois des défis et des avantages pour les entreprises et les processeurs de cartes. Le coût de la mise en conformité peut être considérable, car les entreprises doivent revoir leurs mesures de sécurité existantes et, le cas échéant, les adapter. Cela peut en effet nécessiter des investissements dans de nouvelles technologies, la formation du personnel et la mise en place de contrôles de sécurité supplémentaires.
Cependant, le retour sur investissement est également considérable. La nouvelle version promet d’améliorer la sécurité des données de cartes de crédit, ce qui réduit considérablement le risque de violation de données et de fraude. Cela permet non seulement de mieux protéger les données sensibles, mais aussi de renforcer la confiance des clients dans les mesures de sécurité de l’entreprise. Sur le long terme, le respect des nouvelles normes permet aux entreprises de protéger leur réputation et d’éviter les pertes financières potentielles liées aux incidents de sécurité.
Déroulement d’une Ghost Tap Attack
Gabriel Juri SIX
Focus
L’IA est essentielle dans le quotidien des banques. Des données de paiement de haute qualité permettent des expériences personnalisées et des applications IA efficaces. L’enrichissement des paiements améliore la qualité des données et optimise les processus importants.
Experts
Depuis les années 1990, les bureaux de service sont des acteurs centraux du trafic des paiements en Suisse. Ils transmettent les ordres de paiement et assurent l'intégrité des données. La BNS a publié des exigences formelles afin de garantir la sécurité et l'efficacité.
Panorama
Un seul pays exploite à la fois une MNBC et un système de paiement instantané afin d’accroître l’inclusion financière et l’efficacité. Cependant, les différences de normes et de technologies rendent l’interopérabilité difficile. Certains pays envisagent plutôt des MNBC de gros.
Dans l’e-commerce allemand, certains modes de paiement coûtent cher. Un virement anticipé ou paiement sur facture sur vingt nécessite un traitement manuel.
L’intégration de l’IA et de l’apprentissage profond va influencer l’avenir des systèmes de paiement, y compris pour les paiements transfrontaliers. Les recherches indiquent que l’IA promet plus d’efficacité, de sécurité et de conformité pour les systèmes de paiement traditionnels.
Talk
Helge Kraas, PPI, parle de l'IA dans le trafic des paiements. Il met l'accent sur la détection des fraudes, les paiements instantanés, les factures électroniques, le Request-to-Pay, les services personnalisés, la réglementation, la criminalité et les décisions compréhensibles.
NEWSLETTER PAY
Rejoignez notre communauté et ne manquez plus aucune mise à jour!
Catégories