Sécurité dynamique pour protéger les données des cartes

Auteur

Gabriel Juri

Publié

8 juillet 2026

Temps de lecture

minutes

Connaissances requises

  • Compétences de base dans le domaine de la sécurité de l’information
  • Expertise du secteur financier et des systèmes de paiement

En 2004, le PCI Security Standards Council (PCI SSC) a introduit la norme de sécurité des données pour l’industrie des cartes de paiement (PCI DSS). Cet organisme indépendant regroupe les principales sociétés de cartes de crédit (Visa, MasterCard, American Express, Discover et JCB). La norme constitue la base des exigences techniques et opérationnelles pour la protection des données de compte et s’applique dans le monde entier à toutes les entreprises qui traitent, stockent ou transmettent des données de carte de crédit.

Nécessité d’une nouvelle version de la norme

L’introduction de la norme PCI DSS 4.0 était nécessaire pour tenir compte de l’évolution constante des menaces et des technologies. Les principales raisons des changements apportés à la version 4.0 sont les suivantes:

  • garantir que la norme continue de répondre aux exigences de sécurité du secteur des paiements;
  • promouvoir la sécurité comme un processus continu et dynamique;
  • améliorer les procédures de validation afin de les rendre plus robustes;
  • soutenir l’utilisation de méthodes supplémentaires pour atteindre les objectifs de sécurité, afin de permettre l’utilisation de nouvelles technologies et de contrôles innovants.

Exemples de menaces et de technologies

L’évolution constante des menaces et des technologies rend nécessaire la nouvelle version de la norme:

  • Cybercriminalité et intelligence artificielle: les cybercriminels utilisent de plus en plus l’intelligence artificielle générative (IA) pour voler de l’argent ou des données à l’aide de fausses vidéos et de messages d’hameçonnage personnalisés. Les entreprises utilisent également l’IA pour prédire et neutraliser les menaces en temps réel.
  • Paiements instantanés: l’introduction des paiements instantanés renforce les exigences en matière de sécurité et la capacité à surveiller et à protéger les transactions en temps réel.
  • Technologie blockchain: l’utilisation de la blockchain dans les paiements nécessite de nouvelles mesures de sécurité pour garantir l’intégrité et la sécurité des transactions.
  • Authentification forte du client (SCA): les exigences d’authentification forte du client selon la directive européenne sur les services de paiement PSD2 nécessitent des mécanismes de sécurité robustes pour vérifier l’identité de l’utilisateur et prévenir la fraude.
  • Sécurité des paiements mobiles: la publication de la norme PCI DSS 4.0 est une étape importante, notamment au regard de l’utilisation croissante des solutions de paiement mobile. La sécurité des systèmes mobiles est devenue un enjeu majeur, car le nombre et la sophistication des cyberattaques augmentent.

Authentification multifacteur

Une différence majeure entre les versions 3.2.1 et 4.0 est l’extension des exigences en matière d’authentification multifactorielle (MFA). Alors que dans l’ancienne version, la MFA était principalement requise pour l’accès à distance aux réseaux et pour les accès administratifs à l’environnement de données du titulaire de carte (cardholder data environment, CDE) non basés sur une console, le PCI SSC a considérablement élargi les exigences dans la nouvelle version. Désormais, la MFA est nécessaire pour tout accès au CDE, qu’il soit administratif ou non, y compris dans les environnements de cloud computing, les systèmes hébergés et autres composants système. Cela implique également la mise en œuvre par les organisations de méthodes MFA résistantes au phishing, telles que les jetons matériels et les procédures biométriques (p. ex. empreintes digitales ou reconnaissance faciale). Ces mesures rendent plus difficile l’accès non autorisé aux systèmes pour les cybercriminels, même s’ils ont volé des données de carte de crédit.

Environnement de données des titulaires de carte

Le CDE comprend tous les composants système qui stockent, traitent ou transmettent des données de cartes de crédit. La norme PCI DSS 4.0 met davantage l’accent sur la sécurisation du CDE en étendant les exigences MFA et en introduisant de nouveaux contrôles de sécurité. Ces mesures visent à garantir que seuls les utilisateurs autorisés ont accès aux données sensibles et que les organisations surveillent en permanence cet accès.

Approche basée sur les risques et contrôles de sécurité

Une autre différence majeure entre la version 3.2.1 et la version 4.0 est le passage à une approche basée sur les risques. Alors que l’ancienne version était principalement basée sur des contrôles de sécurité prédéfinis, la nouvelle version promeut une approche plus préventive et dynamique de l’évaluation des risques. Les contrôles de sécurité prédéfinis sont des mesures et des procédures définies qui doivent être mises en œuvre indépendamment du risque spécifique. Ces contrôles sont normalisés et s’appliquent de la même manière à toutes les organisations. Ils incluent notamment la mise à jour régulière des logiciels antivirus, l’implémentation de pare-feux et le cryptage des données lors de leur transmission et de leur stockage.

En revanche, la version actuelle favorise une approche plus préventive et dynamique de l’évaluation des risques et du contrôle de la sécurité. Cela signifie que les entreprises et autres organisations qui traitent des données de cartes de crédit doivent surveiller en permanence leur niveau de sécurité et l’adapter aux menaces et vulnérabilités actuelles. Les mesures préventives comprennent l’exécution régulière de tests d’intrusion, la surveillance en temps réel de l’activité du réseau et la mise en œuvre de systèmes de renseignement sur les menaces capables de détecter et de contrer les attaques potentielles à un stade précoce. Il est de plus en plus important que les systèmes de paiement mobile soient résistants à des attaques telles que Ghost Tap. Il s’agit d’une méthode par laquelle les cybercriminels utilisent des données de carte de crédit volées et associées à des systèmes de paiement mobile tels qu’Apple Pay ou Google Pay. Cette technique consiste à détourner le trafic NFC entre les appareils pour effectuer des transactions sans que la carte physique ou l’appareil de la victime ne soit présent (voir encadré). La norme PCI DSS 4.0 peut aider à prévenir ce type d’attaque, notamment en mettant en place des mécanismes de sécurité tels que des protocoles de communication sécurisés et en surveillant les anomalies dans le trafic NFC.

Algorithmes et cryptage

La norme PCI DSS 4.0 apporte également des changements en matière d’algorithmes de cryptage et de gestion des clés. La nouvelle version exige l’utilisation d’algorithmes de cryptage plus puissants afin de garantir la sécurité des données de carte pendant la transmission et le stockage. Par ailleurs, les organisations qui traitent les données de cartes de crédit doivent veiller à conserver leurs clés de cryptage en toute sécurité et à les changer régulièrement. Ces mesures devraient rendre plus difficiles l’interception et l’utilisation abusive de ces données par les cybercriminels.

État d’avancement de la mise en œuvre

La mise en œuvre de la norme PCI DSS 4.0 est toujours en cours en Suisse. Les nouvelles exigences seront obligatoires à partir du 31 mars 2025. Les processeurs de cartes tels que Worldline et les sociétés spécialisées autorisées à effectuer des audits aident les entreprises à adapter leurs mesures de sécurité aux nouvelles normes et proposent des formations et des conseils pour faciliter la transition.

Impact sur les entreprises et les processeurs de cartes

L’introduction de la nouvelle version comporte à la fois des défis et des avantages pour les entreprises et les processeurs de cartes. Le coût de la mise en conformité peut être considérable, car les entreprises doivent revoir leurs mesures de sécurité existantes et, le cas échéant, les adapter. Cela peut en effet nécessiter des investissements dans de nouvelles technologies, la formation du personnel et la mise en place de contrôles de sécurité supplémentaires.

Cependant, le retour sur investissement est également considérable. La nouvelle version promet d’améliorer la sécurité des données de cartes de crédit, ce qui réduit considérablement le risque de violation de données et de fraude. Cela permet non seulement de mieux protéger les données sensibles, mais aussi de renforcer la confiance des clients dans les mesures de sécurité de l’entreprise. Sur le long terme, le respect des nouvelles normes permet aux entreprises de protéger leur réputation et d’éviter les pertes financières potentielles liées aux incidents de sécurité.

 

Gabriel Juri
SIX

Découvrez-en plus

Intelligence artificielle: les données de paiement qui font la différence

Focus

Intelligence artificielle: les données de paiement qui font la différence

L’IA est essentielle dans le quotidien des banques. Des données de paiement de haute qualité permettent des expériences personnalisées et des applications IA efficaces. L’enrichissement des paiements améliore la qualité des données et optimise les processus importants.

8 juillet 2026

5 minutes
Bureaux de service: des acteurs clés peu connus du trafic des paiements en Suisse

Experts

Bureaux de service: des acteurs clés peu connus du trafic des paiements en Suisse

Depuis les années 1990, les bureaux de service sont des acteurs centraux du trafic des paiements en Suisse. Ils transmettent les ordres de paiement et assurent l'intégrité des données. La BNS a publié des exigences formelles afin de garantir la sécurité et l'efficacité.

8 juillet 2026

6 minutes
MNBC et paiements instantanés: une combinaison semée d’embûches

Panorama

MNBC et paiements instantanés: une combinaison semée d’embûches

Un seul pays exploite à la fois une MNBC et un système de paiement instantané afin d’accroître l’inclusion financière et l’efficacité. Cependant, les différences de normes et de technologies rendent l’interopérabilité difficile. Certains pays envisagent plutôt des MNBC de gros.

8 juillet 2026

4 minutes
Un regard sur les coûts des méthodes de paiement

Panorama

Un regard sur les coûts des méthodes de paiement

Dans l’e-commerce allemand, certains modes de paiement coûtent cher. Un virement anticipé ou paiement sur facture sur vingt nécessite un traitement manuel.

8 juillet 2026

3 minutes
L’IA va-t-elle s’imposer au niveau transfrontalier?

Panorama

L’IA va-t-elle s’imposer au niveau transfrontalier?

L’intégration de l’IA et de l’apprentissage profond va influencer l’avenir des systèmes de paiement, y compris pour les paiements transfrontaliers. Les recherches indiquent que l’IA promet plus d’efficacité, de sécurité et de conformité pour les systèmes de paiement traditionnels.

8 juillet 2026

3 minutes
«La machine bat l’homme» – C’est vrai non seulement aux échecs, mais aussi dans le domaine des paiements

Talk

«La machine bat l’homme» – C’est vrai non seulement aux échecs, mais aussi dans le domaine des paiements

Helge Kraas, PPI, parle de l'IA dans le trafic des paiements. Il met l'accent sur la détection des fraudes, les paiements instantanés, les factures électroniques, le Request-to-Pay, les services personnalisés, la réglementation, la criminalité et les décisions compréhensibles.

8 juillet 2026

9 minutes