novembre 2014
Mobile L’eldorado
des pays émergents
Enquête
PCI DSS : de la conformité à la culture de la sécurité
Étude Cartographie
des paiements dans le monde avec le World Payments Report
Interview
Jacques Stern PDG d’Edenred
éditorial
Paiement : l’échiquier mondial en évolution
L
es paiements constituent-ils un marché national, avec des habitudes et usages locaux, ou international avec des initiatives émanant de part et d’autre du globe pour moderniser et sécuriser les transactions ? La question est encore d’actualité alors même que de nombreux acteurs du Vieux Continent travaillent sur l’européanisation et que les géants du Web ne cessent d’avancer leurs pions dans un marché qui tend à sortir du seul cadre bancaire. Ainsi, la récente offensive d’Apple sur le marché du paiement mobile, ou encore les initiatives de Google ou Facebook démontrent qu’outre-Atlantique, le paiement n’est Andréa plus la seule activité des entités bancaires et semble séduire tous les masToucinho, todontes du Web friands d’innovation. rédactrice Mais ce n’est pas tout. Dans les marchés émergents, à l’image de l’Afrique ou en chef encore de l’Amérique Latine, les innovations liées au paiement ne sont pas en reste comme le démontrent les initiatives des acteurs locaux - issus de la banque, des telcos ou encore de la distribution - ou de sociétés historiquement positionnées sur ces marchés comme Edenred (lire la rubrique « interview ») pour qui ces régions constituent un fort potentiel. Dès lors, comment tirer son épingle du jeu dans un contexte où les innovations fleurissent partout dans le monde et tendent
Systèmes de paiement Le courrier de la monétique
est édité par Publi-News Events 23 bis rue Danjou 92100 Boulogne-Billancourt Directeur de la publication Marc Laufer Tél. 01 75 60 28 40 Fax. 01 47 57 37 25 REDACTION Rédactrice en chef Andréa Toucinho
andrea.toucinho@publi-news.fr
à traverser les frontières ? Certains professionnels des paiements ont déjà choisi leur camp et parient sur l’anticipation et la nécessité d’avancer d’ores et déjà leurs pions dans un contexte européen voire international. La preuve en est la récente finalisation du rachat, par Ingenico, de GlobalCollect, qui permet à l’acteur des paiements de se positionner dans des régions à fort potentiel comme l’Amérique Latine et l’Asie-Pacifique. Si l’innovation en matière de paiement ne connaît pas de frontières, il y a fort à parier que le Vieux Continent, bien que soumis à des contraintes réglementaires plus strictes, notamment sur la protection des données et la sécurité des paiements, pourrait avoir une carte à jouer notamment grâce à l’Europe des paiements, actuellement en construction. Ainsi, certains professionnels soulignent que cette dernière pourrait voir émerger des standards comme la norme EPAS, qui seraient, à terme, légitimes pour devenir des références mondiales à l’image d’EMV ou PCI DSS dans la mesure où l’Europe bénéficie d’un fort historique sur le marché des paiements notamment grâce à la carte à puce. Une exigence qui reste cependant soumise à un impératif : le pragmatisme, à l’heure où de nombreux professionnels misent encore sur la prudence en attendant une demande du marché. Reste donc à savoir comment évolueront leurs stratégies dans un marché en ébullition…
Certains professionnels parient sur l’anticipation et la nécessité d’avancer d’ores et déjà leurs pions dans un contexte européen voire international
PUBLICITE PUBLI-NEWS REGIE Directeur général Pierre Sacksteder, 01 75 60 28 40,
pierre.sacksteder@publi-news.fr
Directeur de clientèle David Toboul, 01 75 60 28 55
davidtoboul@publi-news.fr
Traffic Manager Laure Méry, 01 75 60 28 51
laure.mery@publi-news.fr
Sylvia Besse 01 75 60 40 93
sbesse@newscoregie.fr
ABONNEMENTS Isabelle Lancry, 01 75 60 28 66 Imprimerie de Champagne Rue de l’Etoile de Langres ZI Les Franchises, 52200 Langres Photos : Fotolia, DR Cet ouvrage est un horssérie du Systèmes de paiement / Le courrier de la monétique ISSN : 0757-8768 N° de commission paritaire 1110I89648
systèmes de paiement – le courrier de la monétique hors-série | 3
sommaire
dossier
Pays émergents
temps forts P.6
L’eldorado des services mobiles P.20 entretien
Jacques Stern, PDG d’Edenred P.13
études 366 milliards de transactions non-cash en 2013, selon le World Payments Report P.30
enquêtes
PCI DSS 3.0
De la conformité à la culture de la sécurité P.16
Paiements électroniques « Les signaux sont au vert » en Amérique Latine P.26
annuaire P.34 tribune P.38
bulletin d’abonnement page 37
systèmes de paiement – le courrier de la monétique hors-série | 5
temps forts
enquête
dossier
études
annuaire
PCI DSS 3.0
De la conformité à la culture de la sécurité
Les entreprises se contentaient jusque-là d’obtenir la certification PCI DSS. Avec la version 3.0, elles vont pouvoir intégrer la sécurité des paiements dans leur culture.
C’
est au 1er janvier 2015 que les entreprises traitant des données de cartes bancaires devront se conformer à PCI DSS 3.0, la toute dernière version du standard de l’organisme PCI SSC. L’objectif principal de cette conformité est de réduire le niveau de risque de fraude à partir des données cartes grâce à un certain nombre de mesures liées à la confidentialité et à la traçabilité de ces données. Même si tous ceux qui manipulent de telles données partagent cet objectif, certaines grandes enseignes françaises, traitant annuellement plus de six millions de transactions par carte, continuent de refuser de s’aligner sur ce standard aux couleurs de Visa et MasterCard. Ce front du refus commence toutefois à se lézarder, ouvrant la voie aux premiers pas de PCI DSS en France. La pression plus insistante des banques, vis-à-vis des com-
merces en ligne notamment, n’est pas étrangère à ce basculement.
Externalisation
Conscientes que la conformité a un coût, mais aussi que la non-conformité présente potentiellement des risques majeurs pour leur survie, nombre d’entreprises s’acquittent de cette exigence en passant par le biais d’hébergeurs, tels que Monext, opérateur de paiements certifié PCI-DSS depuis 2008, Runiso et bien d’autres prestataires dont les noms figurent sur le site officiel de PCI SSC. Les procédures longues et difficiles du parcours PCI DSS sont hors de portée pour des acteurs dont le métier principal n’est pas le paiement. La certification nécessite en effet une véritable expertise de la gestion des paiements et l’instauration de procédures personnalisées. L’externalisation est une solution pour de telles entreprises.
16 | systèmes de paiement – le courrier de la monétique hors-série
Les hébergeurs commercialisent la compatibilité PCI DSS de leurs installations, laissant à ces entreprises environ le tiers des points de conformité à assurer directement. « Nos services facilitent la certification des entreprises qui souhaitent obtenir l’accréditation PCI DSS 2.0. Nous offrons deux tiers de 220 points de contrôle nécessaires pour obtenir cette accréditation. Le tiers restant est à la charge de l’entreprise car certains points ne sont pas de notre ressort », confirme à ce sujet Christophe Jodry, RSSI chez Runiso, responsable de la certification PCI DSS. Cette démarche d’externalisation d’une partie de la conformité se généralise car les entreprises savent que le coût n’est que la partie émergée de l’iceberg. Certains acteurs, reprenant le discours de PCI SSC, affirment que la mise en œuvre du standard peut être abordée comme une opportunité génératrice de valeur. Reste à
duré huit mois. Europ Assistance a obtenu la certification au 1er janvier 2012. Ont suivi la Française des jeux et le PMU, opérationnel depuis avril dernier. Leurs données sont externalisées sur le périmètre Monext. C’est dans ce contexte spécifiquement français que la version PCI DSS 3.0 va faire ses débuts dans l’Hexagone. D’ores et déjà, nombre de commentateurs ont salué la maturité de cette version. « Au fil des ans, PCI Security Standards Council a fait un travail louable pour définir et faire évoluer un ensemble cohérent de standards, tout en écoutant et en s’adaptant au fil du temps aux retours d’expérience des commerçants, des banques, des opérateurs de paiement ainsi qu’aux prestataires de services », estime Derek Brink, vice-président et chargé de recherche au cabinet Aberdeen Group. « La communauté des acteurs de la carte de paiement s’efforcent de mettre sécurité et conformité dans le bon ordre - à savoir que la conformité ne conduit pas nécessairement à la sécurité, elle est le résultat de bonnes pratiques de sécurité. » La version PCI DSS 3.0 devrait aider les entreprises à « intégrer la sécurité de leurs paiements dans leurs activités grâce à plus de flexibilité, plus de formation de leur personnel, plus de vigilance et plus de responsabilité partagée » précise pour sa part Jeremy King, directeur européen de PCI SSC. Notons que cette toute dernière version a été spécialement conçue pour « accompagner les organisations dans la sensibilisation des porteurs de cartes en mettant l’accent sur la sécurisation de leurs données plutôt que les problématiques de conformité. »
Nouvelle approche
prouver. Passer par un hébergeur revient bien moins cher pour une entreprise qui n’a pas les ressources nécessaires pour assurer par elle même la conformité de bout en bout. Dans tous les cas de figure, ainsi d’ailleurs que le rappelle le Clusif dans un récent document dédié à ce sujet, « la mise en conformité PCI DSS doit être considérée comme un projet global transverse car elle impacte de nombreux acteurs bien au-delà du champ de l’informatique. » La difficulté avec la migration vers PCI-DSS 3.0 tient au fait que la plupart des entreprises françaises qui ne passent pas par des hébergeurs en sont encore à gérer leur premier projet de conformité à PCI-DSS 2.0. Pour de tels projets, et lorsque le paiement n’est pas leur cœur de métier, elles font appel à l’accompagnement de sociétés comme Monext. Cette dernière a acquis au cours des années une expertise reconnue en la matière, inté-
grée désormais dans l’offre PCI Trusted Services. « Depuis quelques années déjà, plusieurs entreprises nous ont demandé de les accompagner dans le processus de la mise en conformité PCI-DSS en fonction de leur environnement » confirme Thierry Le Forban, Product Manager chez Monext. Dans le cadre de ce service, le prestataire cherche à minimiser pour l’entreprise qu’il accompagne l’impact de PCI-DSS sur son système d’information, le coût de la mise en ouvre ainsi que le délai du déploiement de la solution. « Nos échanges avec nos clients et prospects ont montré que ce besoin d’accompagnement vers la certification existait dans toutes les sociétés ». Europ Assistance a été la première entreprise à faire appel à PCI Trusted Services de Monext. Principale raison ? Elle ne disposait pas des ressources internes pour obtenir par ellemême la conformité PCI-DSS. Le projet a
Pour tous les spécialistes, PCI DSS 3.0 apparaît plus comme un recueil de bonnes pratiques alors que les précédentes versions comportaient d’interminables listes de points techniques à respecter pour obtenir la conformité. Les mises à jour comportent des recommandations spécifiques pour intégrer PCI DSS aux processus et aux bonnes pratiques des entreprises grâce à un Guide de Navigation PCI DSS intégré au standard. Les procédures de tests ont été améliorées afin de clarifier le niveau de validation attendu pour chacune des 280 exigences de la version 3.0. Cette nouvelle approche permettra d’assurer plus facilement la continuité de la conformité à PCI DSS, un problème souvent soulevé au moment où des pertes de données sont constatées. Il faut dire que l’actualité en matière de vol de données est d’autant plus riche que les attaques, en très forte croissance, sont de plus en plus sophistiquées comme l’illustre l’exemple de Target. La chaîne américaine a perdu à fin 2013 les données bancaires de plus de 100 millions de ses clients. Le traditionnel rapport DBIR de Verizon sur
systèmes de paiement – le courrier de la monétique hors-série | 17
temps forts
enquête
dossier
études
annuaire
Les changements techniques de PCI DSS 3.0 Les changements techniques de la nouvelle version de PCI DSS sont au nombre de dix. Ils s’ajoutent aux recommandations majeures concernant la gestion des mots de passe et sont souvent des conseils de bon sens à ranger au chapitre des bonnes pratiques. Ainsi, le nouveau standard conseille d’évaluer l’évolution des menaces de logiciels malveillants pour tous les systèmes qui ne sont pas considérés être fréquemment touchés. Chez les prestataires de services, les accès à distance aux locaux du client doivent se faire
avec des informations d’identification uniques pour chaque client. Lorsque d’autres mécanismes d’authentification sont utilisés (jetons physiques ou logiques de sécurité, cartes à puce, certificats, etc.), ils doivent être liés à un compte individuel et s’assurer que seule l’individu concerné puisse avoir accès. Au sujet de l’accès physique aux zones sensibles du personnel sur place, y compris pour le processus d’autorisation, il doit y avoir révocation de l’accès immédiatement après la fin d’une opération. Il est conseillé en outre de protéger les appareils qui captent les données
les vols de données confirme la croissance de ces attaques. Marc Spitler, co-auteur du Data Breach Report 2014 de Verizon rappelle à ce sujet que les entreprises doivent comprendre que personne n’est à l’abri d’un vol de données et qu’il peut s’écouler des semaines ou des mois avant que l’on identifie la brèche, quand l’intrusion, elle, n’a souvent pris que quelques minutes ou quelques heures. « Nous avons noté l’an dernier 1 367 cas avérés de vol de données sur un total de 63 437 incidents de sécurité. Ces données montrent une progression significative des attaques puisqu’en 2012, nous n’avons comptabilisé que 621 vols avérés de données et 47 000 incidents de sécurité » précise encore Marc Spitler. Cela représente bien sûr des millions d’enregistrements compromis, une progression de plus de 35 % des incidents de sécurité et plus du double en nombre de vols avérés de données. Pas étonnant dans ces conditions que dans la version 3.0 de PCI DSS le manque de vigilance concernant la sécurisation des mots de passe soit considéré comme crucial pour la sécurité des données bancaires. Le standard insiste sur l’importance de changer les mots de passe établis par défaut pour les comptes de service et les applications, ainsi que ceux des comptes utilisateurs, et ce afin de combler les lacunes observées dans
des cartes de paiement via une interaction physique directe avec la carte de toute falsification et substitution, une démarche qui fait clairement suite au vol de données qui a touché Target. Au sujet des tests de pénétration, il est recommandé de mettre en œuvre une méthodologie si la segmentation est utilisée pour isoler l’environnement des données provenant d’autres réseaux, effectuer des tests de pénétration pour vérifier que les méthodes de segmentation sont opérationnelles et efficaces. Il faut également mettre en œuvre un processus visant à répondre à toutes les
les pratiques de sécurité à l’origine de failles. C’est un premier pas dans la bonne direction en matière de gestion des mots de passe. Certains éditeurs estiment que c’est insuffisant et qu’il faudrait aller plus loin afin de protéger de manière adéquate les comptes à privilèges qui sont les premiers visés en cas de cyberattaque. Ainsi, selon ces éditeurs, au lieu d’attendre une activité suspecte pour réagir, les entreprises devraient mettre en place une politique de sécurisation des comptes à privilèges centralisée en amont. « Cela permettrait ainsi aux entreprises de déterminer le rythme de renouvellement des mots de passe dont la mise en place, la gestion et la surveillance seraient simplifiées grâce à une interface unique. D’une part, la simplification des processus de gestion des mots de passe et le fait de rendre le contrôle aux équipes de sécurité, de risque et d’audit, permet aux entreprises de s’aligner sur cette nouvelle mise à jour. D’autre part, cela leur facilite le renforcement de la sécurisation des paiements » explique Olivier Mélis, country manager de CyberArk en France, éditeur spécialisé dans la gestion des comptes à privilèges. Quoiqu’il en soit, les recommandations de PCI intègrent l’industrialisation croissante des attaques des cybercriminels. Compte tenu de l’intensification des fraudes sur les paiements ainsi
18 | systèmes de paiement – le courrier de la monétique hors-série
alertes générées par le mécanisme de détection des changements. Obligation est faite de maintenir des informations sur les exigences de PCI DSS qui sont gérées par chaque fournisseur de services. Enfin, pour tous les prestataires de services, il faut prévoir par écrit un accord de leurs clients comme spécifié à condition 12.8.2. Notons que les documents associés au nouveau standard, les questionnaires de mise à jour d’auto-évaluation (SAQ), les attestations de conformité (AOC) et des modèles de rapports sont disponibles depuis le début de l’année.
que les usurpations d’identité, le standard PCI DSS a déjà été intégré à la loi dans certains pays, au point que le législateur européen, en pleine phase de préparation d’une nouvelle directive sur la sécurité des données personnelles, pourrait bien instaurer une obligation de protection des données bancaires inspirée du standard de PCI SSC. « Mais même en dehors de toute obligation légale, le sujet prend toute son importance lorsque l’on sait que plus de 95 % des failles de sécurité exploitées dans les cas de piratage sont couvertes par le système et que le coût des dommages dépasse celui de la prévention », remarque Thierry Le Forban. Pour les entreprises, le défi est de passer d’une simple logique d’obtention de la certification à un instant donné à une démarche de sécurisation des paiements intégrée dans sa culture. L’obtention de la conformité valide en effet un état à un instant donné. Afin de conserver dans le temps ce niveau de conformité, mais aussi d’optimiser les coûts de fonctionnement dans la durée et de maximiser la création de valeurs de ce projet pour l’entreprise, il sera essentiel de l’intégrer dans une démarche d’amélioration continue via la mise en œuvre d’un Système de Management de la Sécurité de l’Information conclut le document du Clusif. Jo Cohen
Combien de temps la grande distribution boudera-t-elle PCI DSS ? Les enseignes de la grande distribution - où l’essentiel de l’activité passe par des paiements de proximité campent sur leurs positions depuis des années. « PCIDSS est un ensemble de bonnes pratiques censé limiter une fraude aux cartes à pistes magnétiques évaluée à plus de 8 Md$ par an » rappelle Xavier de Lavit, président de l’Association française des transactions sécurisées (AFTS), ancien responsable financier chez Leroy Merlin et figure de proue de la fronde contre le standard. Principales critiques ? PCI DSS couterait
cher et n’offrirait aucune garantie de sécurité. Leroy Merlin a préféré déployer ISO 27000, la norme de sécurité qui s applique à toutes les données de l entreprise, et pas seulement aux données bancaires. La plupart des enseignes de la grande distribution partagent plus ou moins ce point de vue. Elles suggèrent par exemple qu il n y ait plus de stockage de données cartes et que tout se passe en ligne avec un cryptage point à point. Certes, PCI DSS n’est pas un standard parfait. Pour Thierry Le Forban, il
présente toutefois l’avantage d’être mesurable, ce qui est essentiel à l’heure où l’on dénombre cinq attaques par jour sur les bases de données de paiements. Il est également possible de le faire évoluer dans la bonne direction, ce qui est déjà le cas avec la version 3.0. « Il n’y a pas d’autre standard dans les paiements » rappelle l’expert de Monext, remarquant que « les sociétés françaises qui refusent PCI SSC et se rangent du côté de l’ISO 27001 sont déjà conformes à 80 % ». Elles finiront donc par adopter
PCI DSS conclut Thierry Le Forban, convaincu que Leroy Merlin ne tardera pas à s’aligner. L’opposition entre l’ISO 27001 et PCI DSS n’est qu’apparente. Certains souhaitent que PCI SSC inverse sa démarche en partant du point de départ de l’analyse de risque comme c’est le cas avec la norme ISO 27001. La solution ? « Une convergence des référentiels de sécurité de l’ISO 27001 et de PCI DSS résoudrait bien des problèmes » estime Christophe Jodry.