Le 31 mars dernier, la version 4.0 de la norme PCI DSS (Payment Card Industry Data Security Standard) est entrée en vigueur. Elle exige non seulement que les identités numériques soient liées aux individus, mais impose également l’application d’une sécurité solide face à l’évolution des cybermenaces. Ce dernier point oblige ainsi toutes les organisations qui traitent des données de cartes de paiement à mettre en œuvre des exigences de sécurité renforcées, parmi lesquelles l’authentification multi-facteur (MFA) forte. Bien que ces exigences soient déjà reconnues comme bonnes pratiques depuis un certain temps déjà, il est désormais obligatoire pour les organisations de s’y conformer.
Tribune – Fabrice de Vésian, Sales Director France and South Europe chez Yubico, décrypte les évolutions majeures de la norme PCI DSS 4.0 et ce qu’elles vont impliquer pour les entreprises :
« La norme PCI DSS 4.0 impose à présent aux entreprises qui traitent des données de cartes de paiement de s’assurer qu’elles maintiennent une sécurité solide, ce qui inclut une authentification multi-facteur (MFA) moderne. Ceci est d’autant plus pertinent que ces organisations sont des cibles privilégiées pour les cybercriminels – en raison des vastes quantités de données financières sensibles qu’elles détiennent – qui emploient des techniques de cyberattaques telles que le phishing.
Si les entreprises ne se conforment pas pleinement à la nouvelle réglementation, elles perdront leur certification et se verront infliger de lourdes amendes, mais elles resteront également vulnérables à des cyberattaques de plus en plus sophistiquées telles que le phishing. Par ailleurs, les entreprises vulnérables des secteurs qui traitent les paiements, notamment les services financiers et le commerce de détail, courent aussi le risque d’une grave atteinte à leur réputation et d’une lourde perte de confiance de la part de leurs clients et parties prenantes si elles sont attaquées. Il est extrêmement difficile de s’en remettre dans ces secteurs.
Plus important encore, la norme PCI DSS 4.0 impose spécifiquement l’utilisation d’un système d’authentification forte et moderne, conformément aux meilleures pratiques selon l’Alliance FIDO en matière d’authentification, basé sur le standard FIDO ; ce qui renforce la cybersécurité des institutions financières et des organisations gérant des informations relatives au traitement des paiements. Afin de garantir cette conformité, les entreprises doivent mettre en œuvre une MFA résistante au phishing pour tous leurs employés et sensibiliser les utilisateurs aux cyber-risques. Une MFA résistante au phishing, comme les passkeys liées à un appareil, garantit que, même si les informations d’identification d’une personne sont compromises, les attaquants ne peuvent pas accéder à ses informations sans posséder la clé physique. L’utilisation d’une mesure de sécurité de haut niveau comme celle-ci aide non seulement les entreprises à se conformer à la norme PCI DSS 4.0, mais renforce également leur engagement à protéger les données de leurs clients tout en préservant l’intégrité de la marque.
Cette échéance marque donc un tournant décisif pour les entreprises qui gèrent des informations relatives au traitement des paiements. Il leur est impératif de se conformer aux nouvelles exigences afin garantir une sécurité robuste et d’éviter les pénalités, ainsi que les conséquences qui pourraient en découler. »
