Ils peuvent dès maintenant appliquer cette norme visant à sécuriser les informations des cartes de paiement. La tâche n’est pas très complexe, et les avantages bien réels.
En application dans les institutions financières canadiennes depuis plusieurs années, et exigées aux marchands américains plus récemment, la norme PCI DSS (Payment Card Industry Data Security Standard) s’achemine vers une adoption générale.
Mode d’emploi
Il ne s’agit pas d’une norme particulièrement complexe à mettre en oeuvre. En comparaison avec d’autres modèles de gouvernance, comme ISO 17799 et ISO 27002, qui portent également sur la sécurité de l’information, PCI DSS n’impose que peu de contraintes. À partir du moment où le marchand manifeste une volonté claire de l’implanter, les choses deviennent beaucoup plus faciles. De plus, le marché évolue rapidement, et il existe dès maintenant des produits matériels et logiciels déjà certifiés qui facilitent la mise en œuvre de la norme.
Celle-ci s’applique uniquement lorsque le numéro d’une carte de paiement, appelé le numéro de compte primaire (primary account number, ou PAN) est mémorisé, traité ou transmis. Elle est composée de douze exigences simples permettant de sécuriser et de surveiller les réseaux, de protéger les données des titulaires de cartes, de gérer les vulnérabilités et de se doter d’une politique en matière de sécurité de l’information.
Elle vise toute application et tout système par lequel on peut traiter, emmagasiner et transmettre des informations des cartes de paiement. Il existe différents niveaux de certification, déterminés selon le volume des transactions effectuées par chaque marchand. Dépendamment de ce niveau, la conformité à la norme sera vérifiée par un audit annuel ou par l’entremise d’un formulaire d’auto-évaluation. Dans tous les cas, un balayage de réseau est effectué trimestriellement.
Quelles sont les données qui doivent être sécurisées? Les informations sensibles sont par exemple le numéro de la carte et sa date d’expiration, le contenu de la piste magnétique de la carte et le NIP.
Promue et régie par l’industrie du paiement par cartes, la norme PCI DSS est appuyée par des organisations de grande envergure comme Visa et MasterCard. Son but est de renforcer la protection des données sensibles d’un bout à l’autre du réseau d’échange de cette industrie, c’est-à-dire du point d’acceptation de la carte jusqu’aux systèmes de traitement des institutions financières, de manière à contrer la fraude. Principalement, la norme touche trois aspects des transactions faites par cartes de crédit :
Voici quelques données significatives appuyant l’implantation de la norme PCI DSS et qui sont tirées d’un sondage de Javelin Strategy and Reseach effectué en 2007 aux États-Unis auprès de 2 750 consommateurs. On y découvre que les marchands doivent prendre en considération l’avis des consommateurs : 77 % des clients sont prêts à arrêter de magasiner chez un marchand qui fait face à des failles de sécurité; 63 % considèrent les marchands comme le maillon faible pour la protection de leurs données confidentielles; contre 16 % pour les processeurs et 5 % pour les institutions financières (acquéreur et émetteur); mais surtout, 85 % des clients estiment qu’ils pourraient récompenser les marchands-chefs de file en matière de sécurité.
Avantages de PCI DSS
La conformité à PCI DSS implique que le marchand fasse une revue de ses systèmes, applique au besoin les changements requis et se soumette à une certification externe. Devant ce type d’investissement, les marchands sont souvent réticents vis-à-vis de cette norme. Ils peuvent pourtant en tirer des avantages tangibles. Le premier consiste à réduire considérablement le risque de fraude, ce qui permet de protéger le fonds de commerce et de préserver la confiance de sa clientèle. En effet, les incidents de sécurité peuvent affecter grandement un marchand, en altérant sa réputation et en entraînant la désertion de nombreux clients.
La norme évite aussi au marchand les désagréments financiers liés aux incidents de sécurité. Entre autres, elle peut protéger le marchand de poursuites judiciaires. Elle peut non seulement contribuer à prévenir les vols de données, mais tous les désagréments qui s’ensuivent. Certains incidents survenus notamment aux États-Unis et au Canada – par exemple, une brèche dans le réseau informatique d’une chaîne de magasins à grande surface a ouvert l’accès à des milliers de dossiers clients et leurs numéros de carte de crédit et débit – ont montré tout le tors que ce genre de situation peut causer aux marchands en cause.
Selon l’analyse de l’Institut Ponemon en 2006, le coût de la prévention de la fraude ne représente que 4 % du coût total qu’une fraude peut engendrer en perte de revenus, pénalités, support aux consommateurs, et marketing pour regagner sa part de marché.
La norme PCI DSS améliore la robustesse des systèmes des marchands et renforce la sécurité entourant l’ensemble de ses opérations, ce qui ne peut lui être que bénéfique.
Bref, de réels avantages s’offrent aux marchands. D’autant plus qu’on prévoit que la norme deviendra à terme une obligation au Canada, comme c’est déjà le cas aux États-Unis. Même la venue prochaine de la carte à puce n’empêchera pas son adoption. En effet, les deux éléments se complètent : alors que la carte à puce prévient le clonage et la contrefaçon des cartes, PCI DSS protège le traitement, la conservation et la transmission des données de la carte. De plus, la carte à piste ne disparaîtra pas de sitôt, notamment parce que les États-Unis n’ont pas annoncé leur intention de la remplacer. Malgré l’arrivée de la puce, les consommateurs continueront en outre à donner leur numéro de carte par téléphone, par Internet et par la poste.
Se donner une longueur d’avance
Actuellement au Canada, l’adoption de la norme PCI DSS se fait par les marchands sur une base volontaire. En passant à l’action dès maintenant, cependant, les marchands peuvent non seulement faire preuve de prévention, mais devancer le marché avant que la norme devienne une obligation. Ceci permet au marchand de procéder de façon plus sereine, plutôt que de baser ses travaux sur un échéancier imposé.
Au minimum, les marchands devraient évaluer l’état de la sécurité de l’information dans leurs commerces afin de déterminer le travail à faire pour se conformer à la norme et protéger leurs investissements en infrastructures informatiques. Entre autres choses, cet exercice leur permettra de vérifier qu’ils ne conservent pas inutilement certains renseignements sensibles dont les fraudeurs sont friands. La simple élimination de ces données superflues pourrait leur faciliter grandement la vie.
Des changements importants sont en préparation dans l’industrie des paiements par carte. Les marchands qui se mettront à la tâche rapidement seront les premiers à en retirer les avantages. Ils éviteront la cohue le moment venu et se doteront d’une protection contre de fâcheux incidents. Au bout du compte, cela pourrait même leur conférer un avantage concurrentiel.
De façon générale, l’application de politique de prévention telle que la norme PCI DSS va permettre un contrôle des coûts reliés à la fraude, ce qui est une plus value pour les marchands et les consommateurs et permettra ultimement de maintenir un lien de confiance vital dans cette industrie.
Stéphane Darveau, est directeur, développement des affaires, services transactionnels, et Philippe Hébrais est chef de pratique PCI DSS, chez GFI Solutions, une société qui conseille, développe et implante des solutions de pointe en technologies de l’information.