Le standard de sécurité informatique PCI DSS, bien connu des entreprises anglo-saxonnes, était resté anecdotique pour les e-commerçants français. La diffusion de la réglementation PCI DSS est établie selon un principe pyramidale. Le consortium VISA/Mastercard impose le standard aux banques, qui doivent à leur tour l'imposer à leurs clients e-commerçants et fournisseurs de services de paiement. La règle d'application est simple : chaque système informatique par lequel transitent des numéros de carte de crédit, même sans les stocker, doit se mettre en conformité avec le PCI DSS et le déclarer auprès de la banque acquéreuse.

Dans le monde anglo-saxon, les banques ont été actives et imposent depuis plusieurs années le standard PCI DSS à leurs clients (anciennement appelé programme VISA AIS). Pour plusieurs raisons, l'application de ce standard de sécurité informatique dans les entreprises françaises a été légèrement bloquée.

La première raison est que les banques françaises se sont senties moins concernées ou plutôt protégées par le système des cartes à puce EMV, (qui rappelons-le ne sécurise pas les achats sur Internet pour le moment). La seconde raison est que les banques françaises se reposent sur le GIE Cartes Bancaires et son réseau e-rsb en charge de traiter des opérations par carte bleue. En effet, en France, la banque acquéreuse ne traite pas directement avec VISA ou Mastercard. Lorsque la banque émettrice de la carte est française, la transaction est traitée par le réseau des e-rsb sans passer par le réseau VISA ou Mastercard.

Mais aujourd'hui nous constations dans nos missions que les entreprises françaises qui font du e-commerce sont confrontées au PCI DSS, mais par une autre voie que celle de la banque acquéreuse qui leur imposerait le standard : Les entreprises françaises sont rattrapées par leur propre service marketing qui constate que leurs clients et leurs prospects étrangers leur demandent "d'être PCI DSS".

Car, comme l'impose le standard PCI DSS, les entreprises certifiées qui partagent des informations de cartes avec une autre entreprise (ventes liées, partenaire e-commerce) doivent s'assurer que leur partenaire est également conforme. Ainsi, beaucoup d'entreprises qui n'avaient pas été jusqu'alors réellement inquiétées par le PCI DSS se voient dans une situation où elles doivent rapidement débuter une mise en conformité avec le PCI car ce dernier devient une condition à la signature de contrats de partenariat.

Dans cette situation, les entreprises cherchent des moyens pour gérer rapidement ce nouveau problème. Or, la méconnaissance du standard laisse croire qu'il ne s'agit que d'une simple histoire d'hébergement de leurs serveurs dans un datacenter certifié PCI DSS avec l'installation de quelques logiciels de sécurité comme un firewall applicatif (WAF).

Le standard PCI est, en effet, peu connu. Au-delà des contraintes d'implémentations techniques de logiciels de sécurité ou de renforcement des authentifications, le standard demande également la mise en place des processus organisationnels, la rédaction de documentation précise et l'audit régulier des systèmes.

Pour aider les entreprises dans cette situation, il nous semble ici important d'illustrer le standard PCI DSS suivant plusieurs points de vue.

Tout d'abord, une répartition des 201 contrôles du PCI DSS en fonction de l'acteur qui devra les mettre en place : responsable système, études, hébergement, maitrise d'ouvrage et SSI :

Ce qui peut être imputée à la responsabilité de la production informatique et des systèmes ne représente que de 50% des contrôles.

Ensuite, une répartition des 201 contrôles en fonction de leur nature : s'agit-il d'une configuration particulière d'un logiciel, de l'implémentation d'une technologie supplémentaire et de l'implémentation d'un contrôle dans le code source des programmes, s'agit-il d'un processus organisationnel à mettre en place en interne ou s'agit-il d'un audit de sécurité à réaliser ?

Nous constatons ici que le PCI DSS est autant de nature organisationnelle et documentation que purement technique.

Il y a environ 201 contrôles différents dans le PCI DSS, chacun d'entre eux présente la même valeur du point de vue de l'auditeur et la certification n'est obtenue que si tous les contrôles sont satisfaits.

A la vue de ces graphiques, les entreprises seront plus vigilantes à l'égard du discours commercial des vendeurs de logiciels de « compliance PCI DSS » : même si un logiciel ou une appliance satisfait une ou deux exigences du PCI DSS, il en restera 199 à adresser. Le budget et les efforts doivent donc être intelligemment répartis dans un projet de conformité PCI DSS, avec une roadmap claire pour tous les acteurs du projet.