La sécurité des paiements de demain se prépare dès aujourd’hui ! Le standard PCI-DSS 4 est disponible. À compter de 2024, la conformité en version 4.0 deviendra la norme. Entre tournant technologique et vision stratégique, décryptage avec Loïc Bréat, Regional Lead EMEA – Payment Security Programs pour Verizon.
Depuis 2020, le e-commerce pulvérise tous les records de croissance. Un phénomène mondial qui se traduit par une réalité moins réjouissante : l’explosion de la fraude aux paiements et de la cybermenace. Dans ce contexte, la publication de PCI-DSS 4.0 apparaît comme une opportunité d’améliorer considérablement la sécurité des paiements. Mais les exigences nouvelles intégrées à cette dixième version du standard peut avoir un impact non-négligeable sur les entreprises. « Le PCI Council a veillé à ne surtout pas casser la mécanique de PCI-DSS v3.2.1 qui fonctionnait très bien, note Loïc Bréat. C’est d’ailleurs l’une des raisons qui explique le temps nécessaire à la rédaction de cette nouvelle version du standard ». Mais, malgré la prudence du PCI Council et face à l’enjeu d’assurer la sécurisation des paiements électroniques, PCI-DSS 4 se traduit néanmoins par des exigences techniques sensiblement renforcées.
PCI DSS 4 : un changement majeur
Il ne faut pas en douter, le nouveau standard qui vient de voir le jour constitue la mise à jour la plus importante du standard PCI depuis la sortie de DSS 1.0 en 2004. Si la version 4.0 ne modifie pas la structure fondamentale du standard PCI DSS et que les 12 exigences clés introduites en 2006, restent d’actualité, bien des changements interviennent avec cette nouvelle version du standard. « Pour s’en convaincre, confie Loïc Bréat, il suffit de comparer la documentation du standard qui passe de 139 à 360 pages ». Un détail anecdotique ? Pas vraiment. « PCI-DSS 4.0 est non seulement plus exigeant, mais aussi plus intransigeant, note Loïc Bréat. Il introduit de nouvelles méthodes de validation, serre la vis sur plusieurs exigences, clarifie un grand nombre de points et gomme les défauts de PCI-DSS 3.2.1 ». Au cœur du changement de paradigme : la notion de conformité continue. « Le PCI Council instaure davantage de suivi et une quête d’amélioration continue qui se traduit par davantage de supervision des contrôles ».
Une urgence à se mettre en conformité ?
Si les ambitions de PCI-DSS 4.0 sont fortes et structurantes, le PCI Council a prévu son entrée définitive en application au 1er avril 2024. « Cela laisse un peu moins de deux ans pour se mettre en conformité, commente Loïc Bréat. Il n’y pas d’urgence à être certifié sur cette nouvelle version, mais il ne faut pas attendre pour s’intéresser au sujet. L’enjeu est trop important et les nouvelles exigences ne tolèrent pas le bachotage ». Le risque : que les entreprises prennent en charge le sujet tardivement et ne soient pas prêtes, alors que l’échéance sera proche. « Nous avons vécu ce phénomène avec l’entrée en application du RGPD ou encore du SWIFT CSCF, mieux vaut anticiper et éviter le rush de dernière minute ».
Passer à l’action : une question de méthode…
Pour les acteurs du e-commerce, PCI-DSS 4.0 est un atout majeur mais bien souvent la conformité est un enjeu qui porte sur le prestataire de paiement chez lequel les pages de paiement sont hébergées. Mais, pour Loïc Bréat, « cela ne dispense pas de se saisir du sujet, de tenter de comprendre les critères clés de la conformité PCI-DSS 4.0 ». Verizon a ainsi déjà rassemblé dans un livre blanc un décryptage détaillé du nouveau standard, de ses bénéfices, mais aussi des difficultés à surmonter. Au-delà des challenges liés à la conformité PCI-DSS 4.0, aux contraintes techniques et financières qui vont s’imposer, « il y a beaucoup de risques pour une entreprise à ne pas s’engager sur le chemin de la conformité ». Des risques qui surclassent, de loin, les surcoûts engendrés par le nouveau standard…
Pour vous aider à comprendre et décrypter les impacts opérationnels et techniques de PCI-DSS v4, retrouvez les experts de Verizon en visionnant le webinaire à la demande PCI-DSS 4.0
