Quand la sécurité des données de cartes bancaires devient une norme
Par David Luponis, Senior Manager, Mazars

mercredi 9 décembre 2009

20091209 Le taux d'équipements en cartes bancaires (environ 60% de la population Française en détient au moins une et 33% en détient deux), quelles soient d'un réseau bancaire traditionnel (banque de détail) ou d'un réseau de distribution commerçants ainsi que la multiplication du nombre de fraudes à la carte, sur Internet, mais également au sein des réseaux de détaillants (grandes surfaces, centres d'appels, etc.) ont poussé les cinq réseaux majeurs Visa, MasterCard, AmericanExpress, Discover et JCB a définir un standard permettant de sécuriser au mieux les données contenues sur une carte bancaire, tant au niveau de la carte elle-même (nom, numéro de carte, etc.) qu'au niveau de la piste magnétique.

Ces cinq sociétés se sont donc réunies en 2006 au sein du Payment Card Industry Security Standard Council (PCI-DSS) afin de définir les règles minimum à imposer aux commerçants et aux opérateurs de paiement (PSP - payment service provider) et s'assurer que les données cartes transitant, ou étant stockés ou traités au sein des Systèmes d'Information des entreprises soient réalisées avec un niveau optimum de sécurité. Cette norme se décline aux travers, de 12 chapitres tant organisationnelles que techniques (sécurité des réseaux, hébergement, gouvernance, correctif et mise à jour, etc.) et d'environ 200 règles dont la plupart sont conformes aux autres référentiels de place comme le Système de Management de la Sécurité ISO2700x, le référentiel de contrôle COBIT, les bonnes pratiques de production informatique ITIL, etc.

En effet, depuis plusieurs années, de nombreuses sociétés, surtout aux Etats-Unis, ont mis en œuvre des processus qui ne garantissaient pas la protection des données cartes, par exemple en se servant de ces informations au sein de fichiers bureautiques à destination de leurs départements marketing - ceci n'est bien entendu pas spécifique aux Etats-Unis, en Europe également de nombreuses sociétés ont utilisé ou utilisent encore des données cartes dans un mode non sécurisé.

Régulièrement lors d'audits ou d'investigations, nous sommes amenés à identifier des données cartes au sein de Système d'Information sans que celles-ci bénéficient d'un niveau de sécurité conforme, à la bonne pratique, et/ou à la norme PCI-DSS. Celles-ci peuvent par exemple être stockées sur le Système d'Information dans le but de réaliser des remboursements et parfois même sans raisons.

La proximité avec les autres normes de la place permet à un nombre important d'entreprises d'avoir déjà engagé une démarche de mise en conformité. En effet une entreprise qui se serait engagée dans une certification ISO27001 (Systèmes de Management et de Sécurité de l'Information) a couvert une part importante des spécifications de PCI-DSS.

EMV vs PCI-DSS

Le système monétique Européen et Français, afin de protéger les utilisateurs de cartes, est basé en partie sur la norme EMV qui a pour objectif de réduire la fraude au niveau des terminaux de paiement, PCI-DSS s'adresse elle à la fraude liée au traitement, c'est-à-dire avant mais aussi après la transaction, et cela sur du vol ou de la divulgation en masse d'information.

Cependant ces deux normes ne sont ni opposées ni concurrentes, en effet de part sa portée mondiale, PCI-DSS s'impose à tous et laisse peu de choix en entreprises ne souhaitant pas suivre la norme. De plus, la conformité à la norme devient une condition d'engagement lors de signature de contrat entre les banques et les commerçants. Le GIE Cartes Bancaires en France a lui également stipulé que les objectifs de sécurité de PCI-DSS correspondent à l'état de l'art.

Quels sont les risques pour les entreprises non certifiées PCI-DSS ?

Il faut avoir en mémoire que les transactions en cartes bancaires ne valent que par la confiance qu'ont en elles chacun d'entre nous. En effet, nous voyons apparaître de plus en plus, notamment sur Internet, des conditions générales où il est stipulé que le site de e-commerce est certifié PCI-DSS, ce qui aurait pour objectif de rassurer le consommateur. Il est donc question ici d'une problématique d'images de marques pour l'entreprise. Mais le vol massif de données cartes conjugués à la non certification PCI-DSS peut entraîner une hausse des coûts de transactions, ce qui évidemment a des impacts directs sur le chiffre d'affaire des sociétés. Elles ont donc tout intérêt à prendre en comptes les règles de PCI-DSS afin de démontrer leur conformité.

Dans quoi ne pas tomber...

Comme pour tout standard, nous avons vu apparaître des produits, des salles d'hébergement informatiques, du matériel, des services, etc. estampillés « PCI ready ». La certification ou les projets PCI-DSS ne peuvent s'appuyer uniquement sur des produits labellisés de la sorte. En effet, un produit « PCI ready » peut s'avérer bien moins conforme à la norme une fois installé au sein d'une entreprise qui ne se soucierait pas de la sécurité des données cartes. Le fait d'acheter ou de posséder un produit PCI n'implique pas la moindre conformité pour l'entreprise au standard.

____________
David Luponis (Paris) 34 ans, Senior Manager - Département Management du Contrôle interne.

Ingénieur diplômé de l'EISTI (Ecole Internationale des Sciences du Traitement de l'Information), il est entré chez Mazars en 2007 et est spécialisé dans la Sécurité informatique et la Fraude. Il intervient auprès de nombreux clients dans l'audit des dispositifs de sécurité des systèmes d'information ainsi que dans le contrôle interne des systèmes d'information.

Imprimer l'article