Dans le monde de la conformité, les standards semblent parfois se succéder sans bouleverser l’ordre des choses. Mais avec PCI DSS v4.0, rien n’est anecdotique. Face à l’enjeu, un seul conseil : l’anticipation. Explications avec Loïc Bréat, Regional Lead EMEA – Payment Security Programs pour Verizon.
La conformité est une discipline qui n’a jamais véritablement toléré les approximations ou les demi-mesures. Et si, bon an mal an, les précédentes versions de PCI DSS permettait quelques libertés, l’entrée en application de PCI DSS v4.0 en 2024 (autant dire demain !), va changer, du tout au tout, les règles du jeu. « Le Rapport sur la sécurité des Paiements (PSR) ne s’arrête pas à dresser un état des lieux statistiques de l’évolution de la conformité, indique Loïc Bréat, Regional Lead EMEA – Payment Security Programs pour Verizon. Le PSR 2022 met véritablement l’accent sur l’élaboration d’un plan de transition vers PCI DSS v4.0 ». Depuis près de 12 ans maintenant, (NDLR : le premier Rapport PSR a été publié en 2010), Verizon compile, avec l’aide de ses auditeurs et de quatre contributeurs externes, un certain nombre d’indicateurs qui permettent de cerner les tendances de la conformité. Mais, cette année, la donne est différente et désormais, le Rapport a été conçu comme une véritable feuille de route opérationnelle en faveur de la conformité PCI DSS v4.0. « Nous avons veillé à rassembler différents outils méthodologiques qui aideront les entreprises à négocier au mieux la transition vers le nouveau standard », précise Loïc Bréat.
Partir du bon pied…
« Il faut bien l’admettre, la négociation du virage PCI DSS v4.0 sera serrée », observe Loïc Bréat. Le niveau d’exigence du nouveau standard, adapté à l’aune d’une menace croissante sur la sécurité des paiements et sur des usages en croissance exponentielle, amènent les entreprises à la croisée des chemins. « Sur un projet de conformité comme PCI DSS 4, les entreprises ne peuvent pas s’offrir le luxe de perdre du temps ». Dans ce contexte, souligne Loïc Bréat, « on ne peut pas se lancer et s’apercevoir en cours de route que certaines contraintes n’ont pas été identifiées, que l’on ne dispose pas des bonnes ressources ou que l’on ne traite pas les bonnes priorités ou, pire encore, que l’on ne connait pas les raisons pour lesquelles on s’est orienté vers PCI DSS 4 ». Parce que l’enjeu de la conformité est aujourd’hui central, la préparation et l’anticipation sont indispensables ! « Par nature, le nouveau standard est très opérationnel, il adresse le framework. On touche au cœur du réacteur et le premier de tous les dangers, c’est de ne pas partir du bon pied », conseille l’expert. Répondre plus facilement à des appels d’offres, satisfaire les attentes de business partners, ou encore celles de clients… Autant de bonnes raisons de se lancer dans un programme de conformité PCI DSS v4.0. « Mais pour que le succès soit au bout du chemin, il faut connaître l’objectif visé », précise Loïc Bréat.
Ne pas confondre vitesse et précipitation
Le PCI Council a planifié l’entrée en application effective de PCI DSS v4.0 au 1er avril 2024. « Le calendrier peut ne pas sembler très contraignant mais le temps passe très vite, l’année 2022 s’achève et il ne reste donc plus qu’un an et quelques mois pour lancer le projet », martèle Loïc Bréat. Un an pour accomplir les trois étapes clés de la conformité PCI DSS : définir la vision, élaborer la stratégie, et enfin concevoir le design de l’architecture et du dispositif de contrôle. « Si une seule de ces étapes est incomplète, le projet sera bancal ! ». Pour accompagner les entreprises, les experts de Verizon sont pleinement mobilisés. « Nous pouvons intervenir sur chacune des trois étapes du projet, pour nous assurer que les fondations du programme PCI DSS v4.0 sont bien scrupuleusement respectées ». L’ensemble de l’écosystème de la conformité est aujourd’hui en ébullition face à ce chantier majeur qui promet une année 2023 bien remplie. « Il est grand temps de se lancer. La tâche est d’ampleur, l’esprit de PCI DSS v4.0 nativement exigeant car il renforce la notion de contrôle continu de la conformité. Nous sommes véritablement face à un tournant que trop peu d’entreprises mesurent pour ce qu’il est réellement », conclut Loïc Bréat.
Envie d’aller plus loin ? Découvrez l’intégralité du Rapport 2022 sur la sécurité des paiements
