La forte croissance des transactions en ligne attire de plus en plus de fraudeurs. Avec un taux d’environ 0,3%*, la violation des données bancaires s’élève à près de 74 millions d’euros, un chiffre en constante augmentation. Pour renforcer la sécurité des systèmes d’information, le comité PCI SSC a développé le standard PCI DSS qui préconise de respecter un ensemble de bonnes pratiques.
Par Christophe Jodry, RSSI chez Runiso, responsable de la certification PCI DSS.
Une sécurité à renforcer
Malgré ce nombre important de fraudes, les systèmes d’information restent encore très vulnérables. Les mises à jour de plus en plus fréquentes ne facilitent pas le respect des normes de sécurité qui passe souvent après les exigences marketing et commerciales. Le risque de fraude est donc souvent sous-estimé. Les grandes entreprises ne sont pas épargnées, plusieurs d’entre elles ont d’ailleurs été victimes de cyberattaques ces derniers mois. Les nombreux exemples de vols de données bancaires inquiètent les clients qui deviennent de plus en plus méfiants. Or l’absence de confiance est un véritable frein à l’achat en ligne !
Les méthodes de violation de données évoluent très rapidement. Il est difficile de garantir un risque zéro mais en respectant les préconisations du standard PCI DSS, on peut réduire considérablement le nombre de vulnérabilités.
PCI DSS, un standard fortement recommandé
Il y a une réelle volonté du législateur de renforcer la sécurité des informations bancaires. La loi oblige les e-commerçants à prendre toutes les précautions pour garantir l’intégrité des données sensibles.
Le standard PCI DSS n’est pas obligatoire en France mais de plus en plus d’acteurs l’exigent. C’est le cas du groupe Visa qui annonce qu’il demandera dès janvier 2013 la certification PCI DSS à ses clients. Le comité PCI SSC, qui définit les standard de sécurité, préconise à l’ensemble des acteurs qui gèrent, stockent ou transportent des données sensibles de respecter les bonnes pratiques PCI DSS. La mise en conformité est donc fortement conseillée aux e-commerçants.
PCI DSS, un processus long mais intéressant
Ce standard amène l’entreprise à s’interroger sur son traitement des données bancaires. Il intègre la contrainte de la sécurité dans la gestion quotidienne de l’application. La mise en conformité est souvent longue et demande un accompagnement personnalisé. Faire appel à un hébergeur PCI DSS permet de diminuer considérablement le délai et le coût de cette mise en conformité. L’e-commerçant se concentre ainsi uniquement sur une partie du périmètre.
Au-delà de cette recommandation, le respect de ce standard a un double intérêt pour les e-commerçants qui sont en première ligne puisqu’ils récupèrent les informations bancaires de leurs clients. L’e-commerçant sécurise ainsi ses données et renforce l’image de l’entreprise ; ce qui peut avoir un impact économique non négligeable dans la durée. Les sites e-commerce ont donc tout intérêt à sécuriser leurs systèmes d’information.
*Le taux de fraude à la carte bancaire sur Internet dans le cadre de transactions nationales s’établit en 2010 à 0,276 % selon banque de France : http://www.banque-france.fr/observatoire/rap_act_fr_10.htm
