Malgré son adoption relativement récente, la norme de sécurité PCI-DSS (Payment Card Industry Data Security Standard) a déjà fait couler beaucoup d’encre. Il s’agit d’une norme de sécurité de l’information développée par l’association de cartes de crédit PCI SSC (Payment Card Industry Security Standards Council) pour contrer la fraude.
La norme PCI-DSS est obligatoire pour tous les marchands qui vont stocker, traiter, exploiter ou transmettre des données de porteurs de carte de crédit. Les instigateurs sont nul autre que les émetteurs de grandes cartes : Visa, MasterCard, American Express, Discover et JCB.
Un survol de la situation démontre un retard dans les mesures à prendre pour être conforme à la norme. On peut comprendre qu’il est facile de se perdre dans tous les rapports exigés par les divers paliers de gouvernements et les demandes des fournisseurs, des clients et des banques. La norme PCI s’ajoute à la liste, mais en contrepartie elle offre l’opportunité pour les marchands de se protéger contre les nouvelles menaces liées à l’information. Il s’agit de menaces réelles comme le vol d’identité de clients, le vol d’informations sur l’entreprise, l’utilisation des systèmes pour commettre des délits, etc., le tout pouvant mener à des pertes financières très importantes.
Est-ce qu’on doit attendre le feu pour se protéger du feu? Les marchands qui tardent à appliquer la norme attendent le feu. Différentes approches ont été utilisées pour sensibiliser les marchands au fait que la norme sera obligatoire, mais on vise les profits à court terme, pour le futur on verra.
Le développement de la norme était devenu nécessaire pour contrôler la fraude. Le problème était tel que l’industrie du paiement électronique était menacée. On remet maintenant les pendules à l’heure avec cette norme. L’approche est plus large que la technologie : on traite de sécurité de l’information et non de la sécurité de la technologie.
Comme toujours, la mise en place d’une mesure de sécurité amène des contraintes : si on veut verrouiller une porte, on doit avoir la clé pour l’ouvrir.
La sécurité de l’information commence à peine à faire partie de notre culture. Tout le monde pense à verrouiller les portes de sa maison en quittant le matin. Est-ce qu’on prend le temps de déchiqueter les documents nous identifiant avant de les mettre à la poubelle? Pas toujours, plutôt lorsque cela nous convient.
Que peut faire le marchand?
L’acquéreur (celui à qui les marchands acheminent les paiements de leurs clients) est le premier point de contact et aidera le marchand tout au long du processus. La même norme s’applique à tous les marchands, peu importe s’ils acceptent un seul paiement électronique par année ou des millions par année. Cependant, les mesures pour démontrer l’adhérence à la norme vont varier, partant d’un simple questionnaire et allant à la vérification sur place par une entreprise certifiée, le tout selon le niveau établi selon le nombre annuel de transactions.
Une fois le niveau établi, la suite des mesures est prévue dans la norme. S’il s’agit de remplir un questionnaire, les informations demandées peuvent être simples ou exhaustives sur l’environnement du marchand, tel que son architecture technologique, ses politiques et normes de sécurité, le contrôle de sécurité de personnel, etc. Pour les grands marchands, un audit sur place est obligatoire.
Est-ce qu’on doit faire affaire avec une entreprise spécialisée? Le personnel technique de la plupart des entreprises est déjà surchargé de travail et n’a pas le temps de s’attaquer aux exigences de la norme PCI-DSS. Il sera avantageux de retenir les services d’une firme spécialisée pour fournir les conseils stratégiques et accompagner la démarche non seulement pour se conformer à la norme, mais aussi pour optimiser la sécurité : ni trop, ni trop peu.
Retenir les services d’une firme spécialisée ou d’une firme certifiée?
La firme spécialisée accompagne le marchand et devient son porte-parole auprès de l’acquéreur. Diverses alternatives peuvent être identifiées pour réduire les risques potentiels et un spécialiste aidera à la planification et à la mise en œuvre. Si un audit sur place est nécessaire, une firme certifiée par PCI SSC fera l’audit. Les marchands seront bien avisés d’être prêts pour l’audit pour réduire les surprises et les dépassements.
La démarche devra être bien structurée et approvisionnée. Il s’agit de continuer d’utiliser les paiements électroniques comme les cartes de crédit. Les conséquences d’un incident de sécurité peuvent être désastreuses si la norme n’est pas suivie.
À quel coût?
Comme toujours, on a le choix de prioriser le temps, le coût ou la qualité. Comme la qualité est dictée par la norme, il ne reste que le coût et le temps. Si on veut garder le coût au minimum, il faut avoir plus de temps. Cet énoncé si simple est souvent une source de frustration importance chez les marchands qui attendent la dernière minute et qui sont pris avec toutes sortes de coûts supplémentaires parce qu’ils sont en mode urgence.
Le coût du projet dépendra de la situation de chaque marchand, de son organisation et de ses habitudes face à la sécurité de l’information. Il peut s’agir d’un simple ajustement procédural allant jusqu’à l’achat de nouveaux équipements, formation du personnel, changement des habitudes de travail. L’adoption de la norme fera partie du coût d’être en affaires.
André Rodrigue est consultant pour l’entreprise Stratégie Conformité. Il œuvre dans le domaine de la sécurité depuis plus de 20 ans. Il agit comme expert-conseil dans le domaine de la conformité aux normes des paiements électroniques, dont la norme PCI-DSS.