PCI DSS : sécurisation des données des détenteurs de cartes

La protection des données financières est devenue de plus en plus cruciale pour les organisations. Alors que les sociétés adoptent les transactions sans numéraire et que les entreprises entreprennent une transformation numérique, le paysage des cyber menaces continue de s'étendre, présentant des risques accrus à la fois pour les particuliers et les organisations. La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) a été créée pour protéger les données sensibles des titulaires de cartes. Ceci et d'autres les normes et les cadres de cybersécurité contribuent à sécuriser les données critiques.

Melissa Parsons

Un article de

Melissa Parsons
Rédactrice technique
Publié le
August 13, 2024
mis à jour le
temps
min
PCI DSS - C-Risk

Qu'est-ce que la norme PCI DSS v.4.0 ?

Le Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble complet d'exigences de sécurité conçu pour garantir que les entreprises qui traitent les informations relatives aux cartes de crédit maintiennent un environnement sécurisé. Le Payment Card Industry Security Standards Council, un forum mondial qui a développé la norme PCI DSS, a été fondé en 2006 par de grandes sociétés de cartes de crédit, notamment American Express, Discover Financial Services, JCB International, MasterCard et Visa Inc. La norme PCI DSS s'applique à toute entité qui traite, stocke ou transmet les données des titulaires de cartes, quels que soient leur taille ou leur volume de transactions.

À la base, la norme PCI DSS définit les exigences techniques et opérationnelles pour protéger les informations financières sensibles. Il s'agit notamment des mesures de sécurité du réseau, des protocoles de protection des données des titulaires de cartes, des pratiques de gestion des vulnérabilités, des mesures de contrôle d'accès, une surveillance et des tests continus du réseau et la mise en œuvre de politiques de sécurité des informations robustes. Gérée par le PCI Security Standards Council, la norme n'est pas une case à cocher de conformité ponctuelle mais un processus d'évaluation continu, de correction, et de rapports. Bien qu'elle ne soit pas légalement obligatoire, la conformité à la norme PCI DSS est souvent imposée par le biais de contrats entre les commerçants et les processeurs de paiement ou les banques, constituant une défense essentielle contre la fraude par carte de crédit et les violations de données dans notre monde de plus en plus numérique.

 

Exigences PCI DSS

La documentation standard PCI DSS fournit une vue d'ensemble de haut niveau des exigences que les organisations doivent adopter pour sécuriser les données des comptes. Il est divisé en 12 exigences de haut niveau.

Selon la norme, il s'agit de l'ensemble minimal d'exigences pour les processeurs de cartes. Des contrôles supplémentaires et des méthodes de réduction des risques seront nécessaires en fonction des zones géographiques ou d'autres exigences réglementaires et légales.

 

Exigences de la norme PCI DSS 12

Le Norme de sécurité des données du secteur des cartes de paiement définit 12 exigences que les organisations doivent respecter pour garantir la conformité et la sécurité des données des titulaires de cartes. Ces exigences constituent le cadre de la norme dans le but de protéger les informations financières sensibles.

  1. Installation et maintenance des contrôles de sécurité du réseau
  2. Application des configurations sécurisées à tous les composants du système
  3. Protection des données de compte stockées
  4. Protection des données des détenteurs de cartes grâce à une cryptographie robuste lors de leur transmission sur des réseaux publics ouverts
  5. Protection de tous les systèmes et réseaux contre les logiciels malveillants
  6. Développement et maintient des systèmes et des logiciels sécurisés
  7. Restriction de l'accès aux composants du système et aux données des titulaires de cartes en fonction des besoins de l'entreprise
  8. Identification des utilisateurs et authentification de l'accès aux composants du système
  9. Restriction de l'accès physique aux données du titulaire de la carte
  10. Enregistrement et surveillance de tous les accès aux composants du système et aux données des titulaires de cartes
  11. Tests réguliers de la sécurité des systèmes et des réseaux
  12. Favorisation de la sécurité des informations grâce à des politiques et des programmes organisationnels
Exigences de la norme PCI DSS 12

Champ d'application PCI DSS

La conformité à la norme PCI DSS est obligatoire pour les entités qui stockent, traitent ou transmettent les données des titulaires de cartes et/ou des données d'authentification sensibles ou qui pourraient avoir un impact sur la sécurité de l'environnement des données des titulaires de cartes. Cela inclut les commerçants, les transformateurs, les acquéreurs, les émetteurs et les autres prestataires de services. Toute entité qui traite, stocke ou transmet les données des titulaires de cartes peut entrer dans le champ d'application, indépendamment de sa taille ou du nombre de transactions qu'elle traite.

Dans le Conseils relatifs à la définition de la portée de la norme PCI DSS et à la segmentation du réseau grâce à la documentation publiée par le PCI Security Standards Council, les organisations peuvent mieux comprendre la portée et la segmentation pour la conformité à la norme PCI DSS. Selon le PCI Security Standards Council, avant de déterminer ce qui entre dans le champ d'application ou ce qui ne l'est pas, la meilleure pratique consiste à partir de l'hypothèse suivante : tout est dans le champ d'application.

 

Conséquences en cas de non-conformité

Le non-respect de la norme de sécurité des données de l'industrie des cartes de paiement peut avoir de graves conséquences, notamment en cas de cyberattaque. Les organisations qui ne respectent pas ces normes s'exposent à de nombreuses sanctions et à des impacts à long terme qui peuvent affecter de manière significative les opérations et la viabilité.

Parmi les conséquences immédiates de la non-conformité, citons :

  • Perturbations opérationnelles
  • Sanctions financières
  • Frais de transaction augmentés
  • Procès

Les conséquences à long terme de la non-conformité sont notamment les suivantes :

  • Atteinte à la réputation auprès des institutions financières et des clients
  • Impact financier à long terme
  • Contrôle réglementaire accru

PCI DSS : Conséquences en cas de non-conformité

N'attendez pas qu'une faille survienne : renforcez vos défenses contre les tiers

C-Risk permet aux organisations d'opérationnaliser et d'automatiser un programme tiers de gestion des cyberrisques basé sur les données.

Modifier un incident de santé - Implications de la norme PCI DSS

La cyberattaque de février 2024 contre l'entreprise Changer les soins de santé rappelle brutalement l'importance cruciale des mesures de cybersécurité robustes et de la conformité à des normes telles que la norme PCI DSS, même dans les secteurs principalement axés sur les données de santé.

Change Healthcare, une importante société de technologie de la santé, a détecté une activité non autorisée sur ses systèmes en février 2024. La décision de l'entreprise de mettre ses systèmes hors ligne pour contenir la menace a entraîné des perturbations généralisées des paiements et des opérations de santé aux États-Unis pendant des semaines. Les pharmacies n'étaient pas en mesure d'exécuter les ordonnances des patients. Les médecins n'ont pas pu accéder aux données des patients. Des informations personnelles, des informations de paiement, des dossiers d'assurance et d'autres informations sensibles ont été volés par le gang de rançongiciels ALPHV/BlackCat.

 

Principales leçons de la norme PCI DSS à tirer de l'incident Change Healthcare

Approche de sécurité intégrée

L'attaque a mis en évidence la nécessité d'une approche intégrée de la sécurité, en particulier lorsqu'il s'agit de données médicales et financières. La conformité à la norme PCI DSS ne doit pas être traitée isolément mais dans le cadre d'une stratégie de sécurité globale.

 

Efficacité de la réponse aux incidents

La norme PCI DSS impose aux organisations de disposer d'un plan de réponse aux incidents. L'incident de Change Healthcare a démontré l'importance réelle de tels plans pour détecter et répondre rapidement aux violations.

 

L'importance de la segmentation du système

L'impact généralisé a mis en évidence la nature cruciale d'une segmentation adéquate du réseau, un élément clé de la norme PCI DSS, pour limiter la propagation des violations potentielles.

 

Gestion efficace des risques liés aux tiers

L'incident a mis en évidence la nécessité d'une gestion efficace des risques liés aux tiers, conformément à la norme PCI DSS. De nombreux prestataires de soins de santé et assureurs faisant confiance aux services de Change Healthcare ont été touchés, ce qui illustre les conséquences considérables d'une violation des systèmes interconnectés.

 

Planification de la continuité des activités

La panne prolongée a démontré l'importance vitale de la continuité des activités et planning de la reprise après sinistre, qui sont tous deux abordés dans les exigences de la norme PCI DSS.

 

L'incident de Change Healthcare est susceptible d'avoir des effets durables sur la manière dont le secteur de la santé sécurise les données de santé personnelles et les données de paiement des patients. Cela peut entraîner une surveillance accrue des pratiques de conformité, en particulier pour les organisations qui traitent à la fois des données de santé et des données de paiement. Les systèmes de santé et de paiement interconnectés démontrent la nécessité de mettre en place des stratégies de cybersécurité robustes et efficaces pour protéger les données critiques, notamment les PII et PHI.

Leçons à tirer de l'incident Change Healthcare

Adopter des normes et des cadres de cybersécurité


L'adoption de normes de cybersécurité offre aux entreprises des avantages qui vont au-delà de la conformité réglementaire. Les normes et cadres tels que NIST CSF, PCI DSS et MITRE ATT&CK permettent de mettre en place un programme de cybersécurité solide. Les normes et les cadres fournissent un langage commun et un ensemble de meilleures pratiques, qui permettent aux organisations de rationaliser leurs efforts en matière de sécurité, de prendre des décisions éclairées et de gérer efficacement les risques.

Gestion des cyber-risques à l'aide de la norme FAIR


Alors que les normes et cadres mentionnés ci-dessus proposent des contrôles de sécurité et des meilleures pratiques, la norme FAIR (Factor Analysis of Information Risk) adopte une approche différente en mesurant l'impact des risques et des contrôles de sécurité pour aider à prendre des décisions fondées sur des données.

L'Open FAIR Body of Knowledge est une norme ouverte qui fournit un modèle permettant de comprendre, d'analyser et de quantifier le risque d'information en termes financiers. Ses principales caractéristiques sont les suivantes

1 - Approche quantitative : FAIR permet aux organisations d'estimer l'impact financier des cyber-risques, allant au-delà des évaluations qualitatives.
2 - Langage commun en matière de risques : Il établit une taxonomie normalisée pour décrire les risques, ce qui facilite une communication claire entre les différentes unités opérationnelles et avec la direction générale.
3 - Une prise de décision fondée sur les données : En fournissant une méthode structurée d'analyse des risques, FAIR permet aux organisations de prendre des décisions plus éclairées en matière d'investissements dans la cybersécurité et d'affectation des ressources.
4 - Alignement sur les objectifs de l'entreprise : La quantification financière des risques permet de lier directement les efforts de cybersécurité aux résultats et aux priorités de l'entreprise.
5 - Modélisation de scénarios : FAIR permet de créer et d'analyser divers scénarios de risque, ce qui aide les organisations à se préparer à toute une série de menaces cyber potentielles.
6 - Compatibilité : FAIR peut être utilisé en conjonction avec d'autres cadres comme le NIST CSF pour fournir une approche plus complète de la gestion des risques.

En appliquant la norme FAIR parallèlement à d'autres cadres de cybersécurité, les organisations peuvent développer une approche plus holistique de la gestion des cyber-risques. Cette combinaison permet à la fois de mettre en œuvre des contrôles de sécurité solides, de quantifier et de communiquer efficacement les implications financières des cyber-risques.

L'adoption de normes et de cadres de cybersécurité, ainsi que de modèles de quantification des risques tels que FAIR, permet aux entreprises de disposer d'une solide boîte à outils pour gérer leur posture en matière de cybersécurité. Ces outils permettent de répondre aux exigences réglementaires et de construire des organisations résilientes, axées sur les données et capables de naviguer dans un paysage numérique complexe et en constante évolution.

Les experts en cybersécurité et en gestion des risques de C-Risk utilisent les normes Open FAIRTM Risk Analysis (O-RA) et Risk Taxonomy (O-RT). En utilisant le cadre FAIR, il est possible de faire correspondre des scénarios de risque quantifiés à des cadres de contrôle afin d'établir des seuils financiers significatifs pour des décisions basées sur le risque.

Si vous souhaitez en savoir plus, prenez rendez-vous avec un expert de C-Risk.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.