La sécurité numérique vient de recevoir de nouvelles règles et les entreprises qui traitent des données de carte doivent s'adapter. Avec l'arrivée de la version 4.0 du Standard de Sécurité des Données de l'Industrie des Cartes de Paiement (PCI DSS), établi par le PCI Security Standards Council (PCI SSC), les changements sont importants et impactent directement la protection des données des clients et la manière dont les données de paiement sont stockées, traités et transmis. Mais, finalement, ce qui change vraiment
Le principal changement est la nécessité d'un niveau de sécurité numérique encore plus élevé. Les entreprises devront investir dans des technologies avancées, comme cryptographie robuste et authentification multifactorielle. Cette méthode exige au moins deux facteurs de vérification pour confirmer l'identité de l'utilisateur avant d'accorder l'accès aux systèmes, applications ou transactions, difficultant les invasions, même si des criminels ont accès à des mots de passe ou à des données personnelles
Parmi les facteurs d'authentification utilisés, on trouve :
- Quelque chose que l'utilisateur saitmots de passe, PINs ou réponses à des questions de sécurité
- Quelque chose que l'utilisateur possèdetokens physiques, SMS avec des codes de vérification, applications d'authentification (comme Google Authenticator) ou certificats numériques
- Quelque chose que l'utilisateur estbiométrie digitale, facial, reconnaissance vocale ou iris
Ces couches de protection rendent l'accès non autorisé beaucoup plus difficile et garantissent une plus grande sécurité pour les données sensibles, explique
En résumé, il est nécessaire de renforcer la protection des données des clients, mettant en œuvre des mesures supplémentaires pour prévenir les accès non autorisés, explique Wagner Elias, PDG de Conviso, développeur de solutions pour la sécurité des applications. Ce n'est plus une question de "s'adapter quand c'est nécessaire", mais d'agir préventivement, points forts
Conformément aux nouvelles règles, l'implémentation se déroule en deux phases : la première, avec 13 nouvelles exigences, la date limite était en mars 2024. Quant à la deuxième phase, mais exigeant, inclut 51 exigences supplémentaires et devrait être respectée d'ici le 31 mars 2025. C'est-à-dire,celui qui ne s'est pas préparé peut faire face à des sanctions sévères
Pour s'adapter aux nouvelles exigences, certaines des principales actions incluent : mettre en œuvrepare-feuet les systèmes de protection robustes; utiliser la cryptographie dans la transmission et le stockage de données; surveiller et suivre en continu les accès et les activités suspectes; tester les processus et les systèmes en permanence pour identifier les vulnérabilités; créer et maintenir une politique rigoureuse de sécurité de l'information
Wagner souligne que, dans la pratique, cela signifie que toute entreprise traitant des paiements par carte devra revoir l'ensemble de sa structure de sécurité numérique. Cela implique de mettre à jour des systèmes, renforcer les politiques internes et former les équipes pour minimiser les risques. Par exemple, un e-commerce devra garantir que les données des clients soient cryptées de bout en bout et que seuls les utilisateurs autorisés aient accès aux informations sensibles. Une chaîne de distribution devra mettre en place des mécanismes pour surveiller en continu les tentatives de fraude et les fuites de données possibles, exemplifie
Les banques et les fintechs devront également renforcer leurs mécanismes d'authentification, élargissant l'utilisation de technologies telles que la biométrie et l'authentification multifactorielle. L'objectif est de rendre les transactions plus sûres sans compromettre l'expérience client. Cela exige un équilibre entre protection et utilisabilité, quelque chose que le secteur financier améliore depuis plusieurs années, points forts
Mais, pourquoi ce changement est-il si important? Il n'est pas exagéré de dire que les fraudes numériques sont de plus en plus sophistiquées. Les fuites de données peuvent entraîner des pertes de millions et des dommages irréparables à la confiance des clients.
Wagner Elias alerte : « de nombreuses entreprises adoptent encore une posture réactive », ne se préoccuper de la sécurité qu'après qu'une attaque se soit produite. Ce comportement est préoccupant, car les failles de sécurité peuvent entraîner des pertes financières importantes et des dommages irréparables à la réputation de l'organisation, qui pourraient être évités par des mesures préventives
Il souligne également que pour éviter ces risques, le grand différentiel est d'adopter des pratiques de sécurité des applications dès le début du développement de la nouvelle application, en s'assurant que chaque phase du cycle de développement logiciel dispose déjà de mesures de protection. Cela garantit l'insertion de mesures de protection à toutes les étapes du cycle de vie du logiciel, étant beaucoup plus économique que de remédier aux dommages après un incident
Il convient de rappeler que c'est une tendance qui ne cesse de croître dans le monde entier. Le marché de la sécurité des applications, qui génère 11 millions de dollars,62 milliards en 2024, doit atteindre 25 $,92 milliards d'ici 2029, selon Mordor Intelligence
Wagner explique que des solutions comme DevOps, permettent que chaque ligne de code soit développée avec des pratiques de protection, en plus de services tels que des tests d'intrusion et la mitigation des vulnérabilités. Réaliser des analyses continues de sécurité et d'automatisation des tests permet aux entreprises de se conformer aux normes sans compromettre l'efficacité, points forts
De plus, les consultations spécialisées sont importantes dans ce processus, aidant les entreprises à s'adapter aux nouvelles exigences du PCI DSS 4.0. Parmi les services les plus recherchés figurent les tests de pénétration, Équipe Rouge et évaluations de sécurité de tiers, qui aident à identifier et corriger les vulnérabilités avant qu'elles ne puissent être exploitées par des criminels, compte
Avec des fraudes numériques de plus en plus sophistiquées, ignorer la sécurité des données n'est plus une option. Les entreprises qui investissent dans des mesures préventives garantissent la protection de leurs clients et renforcent leur position sur le marché. Mettre en œuvre les nouvelles directives est, avant tout, un pas essentiel pour construire un environnement de paiements plus sûr et fiable, conclut
