PCI DSS v4.0 : un an plus tard et deux ans de conformité

Par Dan Raywood • 5 Avril 2023

Un an après l'introduction de la norme PCI DSS v4.0 et deux ans plus près de la date limite de mise en conformité, comment cette nouvelle version a-t-elle été adoptée et qu'est-ce que cela signifie pour la rencontre entre sécurité et conformité ? Dan Raywood se penche sur les nouvelles exigences.

Fin mars 2022, une nouvelle version de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) a été introduite, qui tente de suivre les techniques de cyberattaque modernes et, finalement, d'empêcher leur succès.

Remplaçant la version 3.2.1, la version 4.0 a été publiée le 31 mars 2022 et la date limite de mise en conformité est le 31 mars 2025. Entre-temps, la version 3.2.1 est retirée le 31 mars 2024, de sorte qu'une entreprise peut toujours être auditée selon cette version jusqu'à cette date. date.

Décrit comme étant « plus réactif à la nature dynamique des paiements et à l’environnement des menaces » par le Conseil des normes de sécurité PCI (SSC), l’intention était de « renforcer les principes de sécurité fondamentaux tout en offrant plus de flexibilité pour permettre une meilleure mise en œuvre de diverses technologies ».

En fin de compte, les quatre objectifs principaux étaient les suivants : continuer à répondre aux besoins de sécurité du secteur des paiements, promouvoir la sécurité en tant que processus continu, ajouter de la flexibilité pour différentes méthodologies et améliorer les méthodes de validation.

En fait, la sécurité était essentielle à son développement, car parmi les nouvelles exigences figuraient des exigences élargies d’authentification multifacteur, des exigences de mot de passe mises à jour et de nouvelles exigences de formation en matière de phishing.

Un an après le lancement de cette nouvelle norme, quel a été l’accueil réservé à cette nouvelle norme ? Un podcast l'a décrit comme une évolution significative, dans la mesure où la norme était relativement statique depuis dix ans, le dernier changement mineur remontant à cinq ans. « Simultanément à ce changement, le monde et celui de la cybersécurité ont changé, et [surtout] avec le passage au cloud. »

Jason Wallis, consultant principal et QSA chez One Compliance Cyber, a admis que le passage de la version 3.2.1 à la version 4.0 était important et « serait légèrement onéreux » pour certaines entreprises, notamment en termes de mise à jour des politiques, procédures et processus. Pourtant, en réalité, une entreprise n’a pas grand-chose à faire.

« De nouvelles exigences ont été ajoutées parce que PCI SSC a pris en compte les menaces actuelles », explique-t-il. « Chaque jour, de nouvelles attaques sont découvertes là où les pirates informatiques pénètrent dans les entreprises, et à mesure que ces menaces augmentent et que de nouvelles menaces apparaissent, les normes de protection des entreprises devraient évoluer avec ces nouvelles menaces. »

Une menace particulière est le vol de cartes. Wallis fait référence à l'incident de British Airways survenu en 2018, qui a touché 380,000 XNUMX clients, affirmant que cela a été résolu dans de nouvelles exigences. Cela signifie désormais que l'entreprise doit savoir précisément quels scripts sont affichés dans les navigateurs de ses clients et, dans certains cas, ajouter une technologie de détection des changements qui les alerterait de toute modification apportée à une configuration sur leur page de paiement.

Affirmant que la nouvelle exigence fait suite à des commentaires sur de nouvelles menaces, Wallis affirme que ce type d'attaque de type Man in the Middle est souvent activé par des identifiants de mot de passe ou un contrôle d'accès faibles, et qu'elle « peut ne pas être détectée et peut durer pendant de très nombreux mois », a-t-il déclaré. dit.

« Parfois, le commerçant ne le détecte même pas lui-même, et ce n'est que lorsque la banque acquéreuse l'informe que « nous avons de nombreux clients qui disent qu'ils ont été victimes d'une violation ou que les détails de leur carte ont été volés ». » Il dit que l'examen actif des scripts exécutés sur une page de paiement à tout moment ou l'utilisation d'un logiciel de détection de modifications devraient réduire le risque que quelqu'un y parvienne en premier lieu.

"Tout d'abord, vous augmentez les exigences de contrôle d'accès pour qu'il soit plus difficile pour eux d'obtenir l'accès, puis s'ils entrent, vous avez une exigence supplémentaire qui rend plus susceptible d'être détecté plus tôt."

L'introduction des environnements cloud et hybrides dans les pratiques informatiques générales, notamment avec l'introduction d'AWS, Azure et Google Cloud, implique la prise en compte de leur conformité ainsi que de la vôtre. Wallis a déclaré qu'il existe des niveaux de conformité au sein de ces plates-formes, et que Google Cloud répondra à certaines exigences en votre nom tandis que d'autres exigences seront partagées, et pour d'autres, le commerçant sera responsable.

Simon Turner, directeur principal des services de conseil ISSCA et ISA chez BT, affirme que le facteur cloud est l'un des domaines d'intérêt importants de la version 4.0, car « la version 3 était terrible pour la cartographie vers le cloud et comme « les QSA dépendent de l'expertise technique, la version La version 4.0 est désormais définitivement orientée vers les technologies cloud.

L’introduction de la version 4.0 a-t-elle été une chose positive ? Turner dit en termes d'avantages pour l'industrie : alors ça vaut vraiment le coup. « En ce qui concerne les QSA et les professionnels de la sécurité, c'est un pas dans la bonne direction : certains professionnels de la sécurité diront peut-être que cela ne va pas assez loin, mais ce que les gens doivent comprendre, c'est que l'entreprise doit fonctionner et doit accepter les paiements. ordre d’opérer. »

Pour les entreprises qui doivent uniquement remplir des questionnaires d’auto-évaluation, les exigences en matière d’aide supplémentaire pour se conformer seront probablement réduites. Cependant, on s'attend à une demande accrue de QSA de la part des entreprises de premier niveau qui traitent des millions de transactions.

Turner affirme que certaines entreprises se conforment à la norme PCI DSS car « c'est une chose contractuelle, alors que certaines grandes entités s'engagent à 100 % à protéger la marque ». C'est là qu'une conformité cohérente est nécessaire, et s'assurer que vous respectez la norme ISO 27001 est une étape essentielle dans cette direction pour garantir que vous faites les choses correctement.

Alors que les deux normes se concentrent sur les contrôles techniques et organisationnels, la PCI DSS vous indique sans ambiguïté ce qu'elle s'attend à voir. En revanche, la norme ISO 27001 permet aux organisations de déterminer à quoi ressemblera le commandement en fonction de l'appétit pour le risque.

Tout indique clairement que les mesures de sécurité sont particulièrement cruciales pour cette nouvelle version et que le SSC réfléchit à de futures attaques et à la meilleure manière de s'en défendre. Cela constitue-t-il une étape vers la sécurité permettant la conformité ? Il s’agit peut-être d’un pas en avant, car le respect de ces exigences impliquera certains niveaux de sécurité.

Libérez votre avantage en matière de conformité dès aujourd’hui

Si vous souhaitez commencer votre voyage vers la conformité PCI DSS, nous pouvons vous aider.

Parlez à un expert

Dan Raywood

Dan Raywood écrit sur la sécurité informatique depuis 2008 et est un ancien analyste de la pratique de sécurité de l'information chez 451 Research. Il a pris la parole lors de salons tels que 44CON, SecuriTay, SteelCon, Irisscon et Infosecurity Europe, et a également écrit pour un certain nombre de blogs de fournisseurs et présenté des émissions sur le Web.

Lire la suite de Dan Raywood

La cyber-sécurité 30 septembre 2025

La violation de Grok créera-t-elle des problèmes de sécurité généraux ? Bannière

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Un incident récent a soulevé des inquiétudes quant à la gestion des données par les outils GenAI. Est-il temps de vous assurer que vos données ne finissent pas dans leurs bases de données ?

Dan Raywood

La cyber-sécurité 29 mai 2025

Le cadre de cybersécurité et de confidentialité du NIST fait peau neuve

Cybersécurité et confidentialité : le cadre du NIST fait peau neuve

Le NIST a récemment annoncé son intention de moderniser son cadre de protection de la vie privée pour en faire une offre plus organique et moins statique. Cela profite-t-il aux praticiens ?

Dan Raywood

La cyber-sécurité 21 Janvier 2025

vulnérabilités zero day : comment se préparer à la bannière inattendue

Vulnérabilités zero-day : comment se préparer à l’inattendu ?

Les avertissements des agences mondiales de cybersécurité ont montré que les vulnérabilités sont souvent exploitées comme des failles zero-day. Face à un contexte aussi imprévisible…

Dan Raywood