Tout ce qu’il faut savoir sur la norme PCI DSS 4.0 (avec une checklist de conformité pour 2025)
La date limite de conformité PCI DSS 4.0 est entrée en vigueur le 31 mars 2025. Alors que les versions précédentes de PCI DSS se concentraient principalement sur la sécurité côté serveur, la version 4.0 introduit des exigences essentielles de sécurité côté client que toutes les organisations traitant des données de cartes de paiement doivent respecter.
Le Global Bot Security Report de DataDome a révélé que 65 % des sites web restent vulnérables aux attaques de sécurité basiques, sans parler des attaques sophistiquées qui ciblent les vulnérabilités côté client. Ces dernières sont de plus en plus courantes, et touchent des entreprises majeures comme OpenAI, Bank of America et Air Europa(1), dont les données de paiement clients ont été compromises lors d’attaques côté client.
Ce guide complet vous explique tout ce que vous devez savoir sur la conformité à la norme PCI DSS 4.0, avec une attention particulière aux nouvelles exigences de sécurité côté client 6.4.3 et 11.6.1. Que vous débutiez votre parcours de conformité ou cherchiez à valider vos mesures de sécurité actuelles, cette checklist vous aidera à atteindre vos objectifs de conformité.
Checklist de conformité PCI DSS
- Sécurité du réseau
- Installer et entretenir des pare-feu réseau
- Mettre en place la segmentation du réseau
- Surveiller tous les points d’accès au réseau
- Modifier les paramètres par défaut fournis par les fournisseurs
- Protection des données
- Chiffrer les données des titulaires de carte lors de leur transmission
- Protéger les données des titulaires de carte stockées
- Mettre en place une gestion sécurisée des clés
- Documenter les politiques de conservation des données
- Contrôle des accès
- Mettre en œuvre un contrôle d’accès basé sur les rôles
- Attribuer des identifiants uniques à chaque utilisateur
- Restreindre l’accès physique aux données
- Activer l’authentification multi-facteurs
- Exigences de surveillance
- Suivre et surveiller tous les accès au réseau
- Conserver les journaux d’accès pendant au moins 12 mois
- Mettre en place des outils de surveillance automatisés
- Activer des systèmes d’alerte en temps réel
- Exigences de test
- Effectuer régulièrement des analyses de vulnérabilités
- Réaliser des tests d’intrusion
- Tester les systèmes et processus de sécurité
- Valider tous les contrôles de sécurité
- Exigences en matière de politique
- Maintenir une politique de sécurité de l’information
- Documenter les procédures de réponse aux incidents
- Établir des processus de gestion des changements
- Définir clairement les responsabilités en matière de sécurité
- Nouvelles exigences de protection côté client
- Mettre en place un système d’inventaire des scripts (6.4.3)
- Surveiller les modifications non autorisées (11.6.1)
- Contrôler l’accès des scripts tiers
- Activer la surveillance en temps réel des scripts
Pourquoi la conformité PCI est-elle importante ?
La conformité à la norme PCI DSS est essentielle pour protéger votre entreprise et vos clients. Le non-respect des exigences peut entraîner de lourdes sanctions financières, avec des amendes allant de 5 000 à 100 000 dollars par mois jusqu’à ce que votre entreprise soit conforme. Au-delà de l’impact financier immédiat, les conséquences peuvent être dévastatrices.
Une faille de sécurité due à une protection insuffisante des données de paiement peut engendrer d’importantes pertes financières liées à la fraude, aux interruptions d’activité et aux enquêtes judiciaires obligatoires. Plus important encore, les entreprises risquent de voir leur réputation ternie pendant des années. Pour de nombreuses organisations, en particulier celles du e-commerce, dont l’ensemble du chiffre d’affaires repose sur les transactions en ligne, une perte de confiance des clients peut être catastrophique.
De plus, en cas de violation des données, les entreprises non conformes risquent de perdre totalement leur capacité à traiter les paiements par carte bancaire. Elles devront alors passer par une réévaluation complète de leur conformité PCI par un Quality Security Assessor (QSA) externe afin de récupérer leurs privilèges de traitement des paiements. Avec l’échéance de mars 2025 qui approche, assurer sa conformité est une nécessité absolue.
Comprendre la norme PCI DSS 4.0
Le Payment Card Industry Data Security Standard (PCI DSS) est la norme de sécurité mondiale conçue pour protéger les données des cartes de paiement et réduire la fraude aux cartes bancaires. Créée par les principales marques de cartes de crédit, dont Visa, Mastercard, American Express et Discover, PCI DSS établit les exigences fondamentales pour sécuriser les données de paiement dans toutes les organisations qui manipulent, traitent ou stockent des transactions et des données de cartes.
Publiée en mars 2022, la norme PCI DSS 4.0 représente la mise à jour la plus importante de la norme depuis plus de dix ans. Tout en maintenant les 12 exigences de base, la version 4.0 introduit de nouveaux contrôles critiques, en particulier en matière de sécurité côté client. Cette mise à jour répond aux menaces croissantes dans le paysage de la sécurité des paiements, notamment l’augmentation des attaques côté client que les mesures de cybersécurité traditionnelles ne parviennent souvent pas à détecter.
Principaux changements de la version 4.0
Les changements les plus significatifs de PCI DSS 4.0 portent sur la sécurité côté client, notamment :
- Exigence 6.4.3 : inventaire et contrôle des scripts
- Inventaire obligatoire de tous les scripts côté client
- Documentation de l’autorisation et de l’objectif de chaque script
- Vérifications régulières de l’intégrité des scripts approuvés
- Justification commerciale pour chaque script utilisé
- Exigence 11.6.1 : protection contre les modifications et falsifications
- Surveillance des en-têtes HTTP sur les pages de paiement
- Détection des accès ou modifications non autorisés
- Contrôles pour empêcher la falsification des scripts
- Alertes en temps réel pour tout changement suspect
Pourquoi ces changements sont-ils importants ?
Les recherches de DataDome ont montré que les attaques côté client deviennent de plus en plus sophistiquées. Ces attaques, comme celles de type Magecart, ciblent spécifiquement les scripts exécutés dans les navigateurs des utilisateurs. Les mesures de sécurité traditionnelles côté serveur ne peuvent pas les détecter, car elles se produisent entièrement côté client, ce qui rend les nouvelles exigences PCI DSS 4.0 cruciales pour la sécurité des paiements modernes.
Les entreprises doivent désormais renforcer la surveillance des scripts côté client et mettre en place des capacités de détection et de réponse en temps réel, un élément souvent absent des infrastructures actuelles. De plus, la documentation et les obligations de conformité sont nettement renforcées, exigeant la tenue d’inventaires détaillés et de justifications pour tous les scripts côté client.
Bien que ces nouvelles exigences imposent une charge supplémentaire, elles reflètent la réalité des menaces actuelles, où les attaques côté client sont devenues à la fois complexes et dangereuses.
Analyse détaillée de toutes les exigences de la checklist
Cette section propose une analyse approfondie des exigences de la norme PCI DSS, avec un accent particulier sur la mise en œuvre des nouveaux contrôles de la version 4.0. Chaque exigence comprend des conseils spécifiques de mise en œuvre et des considérations de conformité.
Sécurité du réseau
L’installation et la maintenance de pare-feux réseau sécurisés constituent la première ligne de défense contre les logiciels malveillants et les accès non autorisés. Les entreprises doivent mettre en place des pare-feux correctement configurés à toutes les limites du réseau, en particulier celles connectées à l’environnement des données des titulaires de cartes (CDE). Ces pare-feux doivent être régulièrement mis à jour et faire l’objet de contrôles de configuration au moins tous les six mois.
Les paramètres de sécurité nécessitent une attention particulière, notamment ceux des logiciels fournis par les fournisseurs. Par principe, tous les mots de passe doivent être modifiés avant le déploiement de tout composant du système dans le réseau. Cela inclut non seulement les mots de passe d’accès aux systèmes, mais aussi les paramètres et configurations par défaut des équipements réseau, des dispositifs de sécurité et des applications. Les entreprises doivent documenter en détail toutes les modifications de configuration et effectuer des audits réguliers pour garantir la sécurité des paramètres.
Protection des données
La protection des données des titulaires de cartes repose sur plusieurs couches de contrôle de cybersécurité. Le chiffrement est un élément clé : utilisez une cryptographie forte et des protocoles de sécurité comme TLS 1.3 pour la transmission des données des titulaires de carte. Cela rend beaucoup plus difficile l’interception et l’exploitation des données par des pirates. Pour les données stockées, les organisations doivent mettre en place des méthodes de chiffrement robustes et des processus sécurisés de gestion des clés. Cela inclut la rotation régulière des clés, leur stockage sécurisé et la documentation des procédures de gestion des clés.
Les politiques de stockage des données nécessitent également une attention particulière. Les entreprises ne doivent stocker les données des titulaires de carte que lorsqu’elles sont absolument nécessaires à une finalité commerciale spécifique. Les données d’authentification sensibles, telles que les numéros CVV, ne doivent jamais être conservées après autorisation. Des politiques claires de rétention des données doivent préciser la durée de conservation des informations et les méthodes sécurisées de suppression lorsqu’elles ne sont plus nécessaires.
Contrôle des accès
La mise en place de mesures strictes de contrôle des accès repose sur le principe du moindre privilège. Chaque individu doit avoir accès uniquement aux données et systèmes nécessaires à l’exécution de son travail. L’accès doit être limité au strict nécessaire. Les entreprises doivent définir des paramètres de sécurité stricts et utiliser des systèmes de contrôle d’accès basés sur les rôles afin d’appliquer ces règles de manière claire et cohérente. Les droits d’accès doivent être examinés trimestriellement pour s’assurer qu’ils restent pertinents et justifiés.
L’authentification joue un rôle clé dans le contrôle des accès. L’authentification multi-facteurs est désormais obligatoire pour tous les accès à distance au CDE ainsi que pour tous les accès administratifs, même à l’intérieur des réseaux de confiance. Chaque utilisateur doit disposer d’un identifiant unique pour accéder aux systèmes, et les politiques de gestion des mots de passe doivent imposer des exigences de complexité, des changements réguliers et interdire la réutilisation des mots de passe.
Exigences de surveillance
La surveillance des systèmes assure une visibilité continue sur les opérations de sécurité. Les entreprises doivent suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes, en maintenant des journaux d’audit détaillés qui comprennent l’identification de l’utilisateur, le type d’événement, la date et l’heure, l’indication de succès ou d’échec, l’origine de l’événement et l’identité des données ou composants système affectés.
La gestion des journaux doit être réalisée avec rigueur. Tous les composants système doivent conserver des journaux d’audit pendant au moins 12 mois, dont au moins trois mois doivent être immédiatement accessibles pour analyse. Ces journaux doivent être protégés contre toute altération et examinés régulièrement afin de détecter des incidents de cybersécurité, des malwares, des violations de données, des anomalies ou toute activité suspecte.
Exigences de test
Les tests de sécurité doivent être systématiques et réguliers pour garantir l’efficacité des contrôles. Des analyses de vulnérabilités doivent être réalisées au moins trimestriellement et après toute modification majeure du réseau, en utilisant des fournisseurs d’analyse approuvés (ASV) conformément au PCI Security Standards Council(2). Ces analyses doivent couvrir toutes les adresses IP accessibles depuis l’extérieur (publiques) ainsi que les adresses IP internes critiques, avec une documentation des résultats et une correction des vulnérabilités en fonction de leur niveau de risque.
Les tests d’intrusion ont été renforcés avec la norme PCI DSS 4.0. Les entreprises doivent effectuer des tests d’intrusion externes et internes au moins une fois par an et après toute modification significative de l’infrastructure ou des applications. Ces essais doivent suivre une méthodologie de test d’intrusion reconnue par l’industrie et inclure des tests au niveau du réseau et de l’application dans l’environnement des données des titulaires de carte.
Exigences en matière de politique
Les politiques de sécurité constituent la base de tous les efforts de protection. Les organisations doivent maintenir une politique complète de sécurité de l’information couvrant toutes les exigences PCI et incluant des procédures claires de réponse aux incidents, de continuité des activités et de reprise après sinistre. Ces politiques doivent être revues et mises à jour annuellement pour refléter les évolutions des opérations commerciales et des exigences de sécurité.
Les politiques de gestion des changements nécessitent une attention particulière. Toutes les modifications des systèmes doivent suivre des procédures documentées de contrôle des changements, incluant des évaluations d’impact, des exigences de test et des processus d’approbation. Ces procédures doivent garantir que la sécurité est prise en compte à chaque étape du processus de gestion des changements et que les modifications ne compromettent pas les contrôles de sécurité existants.
Nouvelles exigences de protection côté client
Les nouvelles exigences de protection côté client de la norme PCI DSS 4.0 marquent une avancée significative dans la sécurité des paiements. L’exigence 6.4.3 impose un inventaire et une gestion détaillés des scripts. Les organisations doivent documenter précisément tous les scripts côté client utilisés dans le traitement des paiements, y compris leur objectif, l’étendue de leur accès et leur justification commerciale. Chaque script doit faire l’objet de vérifications régulières d’intégrité afin de s’assurer qu’il n’a pas été altéré ou modifié sans autorisation.
L’exigence 11.6.1 est axée sur la protection des pages de paiement contre les modifications non autorisées. Cela implique la mise en place de contrôles pour détecter et réagir à toute modification des éléments des pages de paiement, y compris le HTML, les scripts tiers et le contenu iframe.
Stratégie de mise en œuvre de la norme PCI DSS 4.0
La conformité à PCI DSS 4.0 nécessite une approche structurée qui combine une planification adéquate, les bons outils et une maintenance continue. Voici comment mettre en œuvre efficacement un programme de conformité ou améliorer les niveaux de conformité.
Commencez par une évaluation
Effectuez une évaluation approfondie des risques en comparant vos contrôles de sécurité actuels avec les exigences de la norme PCI DSS 4.0. Portez une attention particulière aux nouvelles exigences de sécurité côté client (6.4.3 et 11.6.1), qui constituent les principaux changements. Documentez toutes vos conclusions et établissez une liste priorisée des améliorations nécessaires en fonction du niveau de risque et de la complexité de mise en œuvre.
Mettez en œuvre une surveillance continue
Plutôt que de traiter la conformité comme un point de contrôle annuel, établissez des pratiques de surveillance continue. Ceci est particulièrement crucial pour la sécurité côté client, où les menaces peuvent émerger et évoluer rapidement. DataDome s’associe à Source Defense, un spécialiste de la sécurité côté client, pour fournir une protection complète. La solution de surveillance automatisée de Source Defense offre une visibilité en temps réel sur le comportement et les changements des scripts, permettant une réponse rapide aux menaces potentielles. En savoir plus sur notre partenariat.
Automatisez autant que possible
Les processus manuels sont sujets aux erreurs et nécessitent beaucoup de ressources. L’automatisation de la sécurité doit inclure l’inventaire et la surveillance des scripts, la détection et les alertes de modifications, la gestion des accès, la collecte et l’analyse des journaux, ainsi que la documentation de la conformité. Cette automatisation améliore la sécurité, simplifie la préparation des audits et réduit les charges opérationnelles.
Concentez-vous sur la documentation
La documentation est la base de votre programme de conformité. Maintenez une documentation claire et à jour de tous les contrôles et processus de sécurité, y compris les inventaires détaillés des systèmes, les schémas de réseau et les flux de données. Les politiques et procédures de sécurité doivent être accessibles et mises à jour régulièrement, avec des plans de réponse aux incidents et des registres de gestion des changements correctement documentés et accessibles aux équipes concernées.
Formez vos employés
Un programme de sensibilisation à la sécurité est un élément essentiel d’une conformité efficace. Des sessions de formation régulières doivent couvrir les menaces et protocoles de sécurité actuels, tout en veillant à ce que chaque employé comprenne ses responsabilités spécifiques en matière de sécurité. En intégrant la conformité à la culture de votre entreprise, plutôt que de la traiter comme une simple obligation, vous renforcez votre posture de sécurité.
Testez et validez
Mettez en place un programme de tests rigoureux incluant des analyses de vulnérabilités trimestrielles et des tests d’intrusion annuels. La validation des contrôles doit être un processus continu, avec des simulations de réponse aux incidents réalisées périodiquement pour assurer une bonne préparation. Les revues de configuration doivent être intégrées aux procédures de maintenance de routine, afin d’identifier et de corriger les failles de sécurité avant qu’elles ne puissent être exploitées.
Maintenez des relations solides avec vos partenaires
Les relations avec les partenaires nécessitent une gestion active et des canaux de communication clairs. Travaillez en étroite collaboration avec vos partenaires technologiques et prestataires de services pour garantir que tous les composants de votre système de paiement restent sécurisés et conformes. Établissez des accords de niveau de service précis et documentez clairement les responsabilités en matière de sécurité, tout en maintenant des canaux de communication réguliers pour la coordination des réponses aux incidents.
Comment DataDome et Source Defense facilitent la conformité 4.0
Satisfaire aux exigences PCI DSS 4.0 exige une sécurité en profondeur protégeant à la fois les vecteurs d’attaque côté serveur et côté client. DataDome s’est associé à Source Defense pour fournir une protection complète sur l’ensemble de votre surface d’attaque numérique, combinant une expertise spécialisée à chaque couche avec zéro lacune de couverture. Voici comment :
Protection complémentaire pour une conformité complète
La sécurité moderne des paiements nécessite une protection depuis le moment où un client accède à votre site jusqu’à la finalisation de la transaction. DataDome et Source Defense fournissent des solutions spécialement conçues qui fonctionnent ensemble :
DataDome gère les menaces côté serveur : attaques de bots, account takeover, credential stuffing, abus d’API et vérification d’agents d’IA sur le web, mobile et les API en utilisant 5 000 milliards de signaux quotidiennement.
Source Defense gère la sécurité côté client : protection des pages de paiement, conformité automatisée PCI DSS 4.0, prévention Magecart, surveillance des scripts tiers et protection contre les attaques de la chaîne d’approvisionnement.
Répondre aux nouvelles exigences PCI DSS 4.0
Exigence 6.4.3 (Inventaire des scripts) : Source Defense automatise l’aspect de conformité le plus difficile en découvrant et documentant en continu chaque script sur les pages de paiement, en suivant l’autorisation et l’objectif, en effectuant des vérifications d’intégrité et en éliminant la gestion manuelle de l’inventaire.
DataDome complète cela en garantissant que seul le trafic légitime atteint vos pages de paiement, bloquant les bots et les sessions frauduleuses avant qu’ils n’exploitent les vulnérabilités côté client.
Exigence 11.6.1 (Détection des changements) : Source Defense fournit une surveillance en temps réel avec une alerte instantanée pour les modifications non autorisées de scripts, la surveillance des en-têtes HTTP, des contrôles de prévention d’altération et une documentation d’audit complète.
DataDome protège contre les attaques côté serveur qui pourraient compromettre l’infrastructure et permettre le déploiement de code non autorisé, notamment DDoS, abus d’API et account takeover automatisé.
Se préparer pour mars 2025 et au-delà
La complexité des nouvelles exigences de la norme PCI DSS 4.0 exige une attention immédiate. Les organisations doivent aller au-delà de la vision de la conformité comme un exercice annuel de cases à cocher et l’adopter comme un parcours de sécurité continu.
Le succès dans l’obtention et le maintien de la conformité PCI DSS 4.0 nécessite la mise en œuvre de contrôles de sécurité appropriés, le maintien d’une documentation complète et l’établissement de pratiques de surveillance continue. Avec les attaques côté client devenant de plus en plus sophistiquées, vous avez besoin d’une solution qui peut suivre le rythme des menaces évolutives tout en restant conforme.
Prêt à atteindre la conformité ? Découvrez comment DataDome et Source Defense offrent une sécurité en profondeur avec une expertise spécialisée à chaque couche. Visitez notre page de partenariat pour découvrir comment ces solutions complémentaires protègent votre entreprise et garantissent la conformité PCI DSS 4.0.
Références